Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Proxy NDP y proxy DAD

RESUMEN En este tema se proporcionan detalles sobre la funcionalidad del proxy del protocolo de descubrimiento de vecinos (NDP) y del proxy de detección de direcciones duplicadas (DAD) para el modo restringido y sin restricciones de la interfaz.

Visión general

La funcionalidad de proxy NDP permite el reenvío de paquetes entre los hosts que se encuentran en la misma subred y que no pueden comunicarse directamente entre sí. El proxy NDP es necesario cuando desea habilitar un dispositivo host en diferentes segmentos físicos con la misma subred para comunicarse sin una puerta de enlace ni un prefijo adicionales. El proxy NDP es como un nodo o un enrutador en medio de varios segmentos con el mismo prefijo.

Cuando configura el dispositivo como proxy NDP para direcciones, la interfaz de proxy configurada (enrutador proxy o nodo) envía las respuestas de Neighbor Advertisement (NA) a Neighbor Solicitation (NS) en nombre de dispositivos en un segmento físico diferente.

La funcionalidad de proxy DAD permite que un dispositivo responda a consultas DAD para un nodo que no puede comunicarse directamente con otros nodos en la misma subred.

Nota:

La funcionalidad de proxy NDP o DAD no funciona si el NS es para una dirección local de vínculo.

Proxy NDP y DAD (modo restringido de interfaz)

La funcionalidad de proxy NDP (modo restringido de interfaz) permite el reenvío de paquetes entre los hosts que se encuentran en la misma subred y restringidos para comunicarse directamente entre sí. Esta funcionalidad se utiliza principalmente en un escenario en el que el nodo proxy necesita aplicar control de acceso e interceptar el tráfico que fluye entre los hosts. Cuando se configura el proxy NDP en un dispositivo de la serie SRX, el dispositivo envía NA y responde a las solicitudes de los dispositivos que buscan direcciones MAC de prefijos IPv6 asignados a hosts dentro del dispositivo de la serie SRX.

La función DAD detecta el uso de direcciones duplicadas en un vínculo local mediante mensajes de solicitud de vecinos (NS). La función DAD es para direcciones IPv6 y funciona de manera similar al ARP gratuito en IPv4.

Proxy NDP y DAD (modo sin restricciones de interfaz)

A partir de Junos OS versión 22.1R1, admitimos la funcionalidad de proxy NDP y DAD en varias interfaces configuradas por proxy (modo sin restricciones de interfaz). El proxy no restringido de la interfaz NDP funciona dentro de la funcionalidad ND IPv6 existente y se invoca solo si está habilitado. Modo sin restricciones de interfaz la funcionalidad ND funciona en conjunto en todas las interfaces configuradas para NDP y proxy DAD.

En versiones anteriores, la funcionalidad del proxy NDP y DAD estaba limitada y restringida solo a la interfaz configurada. Actualmente, la funcionalidad de proxy NDP y DAD funciona en varias interfaces configuradas (modo sin restricciones de interfaz).

Con la funcionalidad de proxy NDP y DAD en el modo sin restricciones de la interfaz, las interfaces configuradas funcionan juntas para enviar respuestas de anuncio de vecino (NA) a la solicitud de vecino (NS) en nombre de nodos en un segmento físico diferente a los que no pueden acceder directamente los nodos del segmento de origen sin la sobrecarga de la asignación de prefijos adicional.

Cuando se habilita el proxy NDP en modo sin restricciones de interfaz en interfaces que usan el set interfaces interface-name unit number family inet6 ndp-proxy interface-unrestricted comando, las interfaces de proxy:

  • Genera NA para solicitudes NS. A continuación, las solicitudes se envían desde los hosts en nombre de otros hosts a los que se puede acceder en la subred a través de las interfaces de proxy.

  • Genera NS y se envía a todas las interfaces proxy para la subred, cuando la dirección solicitada en NS no está disponible en la tabla de vecinos.

    Busca rutas reenviables para la dirección de destino en la tabla de rutas que pertenece a la interfaz de entrada del paquete NS. La búsqueda de rutas proporciona una lista de rutas que apuntan para resolver los próximos saltos. El proxy utiliza estos siguientes saltos para enviar NS en diferentes puertos configurados.

    Nota:

    Cuando el proxy realiza la búsqueda de ruta y el siguiente salto de ruta resultante apunta a la misma interfaz donde llegó el NS, el proxy descarta ese NS.

  • Le permite aplicar la detección de inaccesibilidad del vecino (NUD) incluso si la dirección de destino solicitada está disponible en la caché del vecino y es accesible. La función Force ND es útil cuando los hosts se mueven de un segmento a otro. Para habilitar la funcionalidad de resolución forzada de proxy NDP, use el set protocols neighbor-discovery ndp-proxy proxy-force-resolve comando.

  • Reenvía paquetes entre hosts que representa, permitiendo la comunicación entre los hosts, una vez resueltos los vecinos.

La función DAD detecta el uso de direcciones duplicadas en un vínculo local mediante mensajes de solicitud de vecinos (NS).

Cuando habilita el proxy DAD en varias interfaces mediante el set interfaces interface-name unit <number> family inet6 dad-proxy interface-unrestricted comando:

  • El proxy DAD genera una respuesta NA para las solicitudes NS de DAD en nombre de otros hosts, si se puede acceder a la dirección provisional de NS a través de otra interfaz de proxy.

  • Cuando llega una solicitud DAD NS y si la dirección tentativa no está disponible o en estado obsoleto en la caché vecina, el proxy DAD inicia NUD en todas las demás interfaces proxy excepto en la recibida.
  • Si una solicitud de DAD es de un host para una dirección tentativa que ya está en medio de un proceso DAD de otro host, entonces el proxy de DAD responde con NA para ambos hosts.

Configuración del proxy NDP

Puede habilitar el proxy del Protocolo de descubrimiento de vecinos (NDP) en el modo restringido de interfaz o en el modo sin restricciones de interfaz (en varias interfaces). No puede configurar simultáneamente el modo restringido de interfaz de proxy DAD y el modo sin restricciones de interfaz en una interfaz.
  1. Para habilitar el proxy NDP restringido a una interfaz (modo restringido de interfaz):
  2. Para habilitar el proxy NDP en varias interfaces (modo sin restricciones de interfaz):
  3. Para habilitar o deshabilitar el comportamiento del proxy NDP de enviar NS para entradas ya aprendidas a las que se puede acceder:
  4. Para deshabilitar el proxy NDP para una dirección que no está presente en la caché vecina:
  5. Para obtener estadísticas de eventos como solicitudes de proxy NDP, conflictos de proxy NDP, duplicados de proxy NDP, solicitudes de resolución de proxy NDP y paquetes NDP descartados:
    show system statistics icmp6

Configuración del proxy de DAD

Puede habilitar el proxy de detección de direcciones duplicadas (DAD) en una interfaz restringida (modo restringido de interfaz) o en varias interfaces (modo sin restricciones de interfaz). No puede configurar el proxy DAD en modo restringido de interfaz y en modos sin restricciones de interfaz simultáneamente.

Para configurar el proxy de DAD en una interfaz o en varias interfaces:

  1. Para habilitar el proxy DAD restringido a una interfaz (modo restringido de interfaz):
  2. Para habilitar el proxy DAD en varias interfaces (modo sin restricciones de interfaz):
  3. Para deshabilitar el proxy DAD para una dirección que no está presente en una caché vecina:
  4. Para obtener estadísticas de eventos como solicitudes de proxy DAD, conflictos de proxy DAD, duplicados de proxy DAD, solicitudes de resolución de proxy DAD y paquetes DAD descartados:
    show system statistics icmp6