burevestnik_1983 Опубликовано 7 апреля, 2017 (изменено) · Жалоба Добрый день! Используем CISCO ASR 1002X для подключения IPOE клиентов Клиенты подключены через несколько интерфейсов (вланов), используется IP-unnumbered и общая IP-подсеть на всех клиентов. В данный момент работает proxy-arp на каждом из интерфейсов, чтобы клиенты из одной IP-подсети, но сидящие через разные интерфейсы, могли общаться. Почему-то не получается его отключить. Прошивка ASR: ASR1002-X#sh ver Cisco IOS XE Software, Version 03.13.00.S - Extended Support Release Cisco IOS Software, ASR1000 Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.4(3)S, RELEASE SOFTWARE (fc11) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2014 by Cisco Systems, Inc. Compiled Mon 28-Jul-14 01:21 by mcpre Proxy-arp глобально отключён командой ip arp proxy disable. На интерфейсе, куда подключён тестовый компьютер, proxy-arp тоже отключён, вот его конфиг: ASR1002-X#sh running-config interface po1.1244 Building configuration... Current configuration : 459 bytes ! interface Port-channel1.1244 description test vlan encapsulation dot1Q 1244 second-dot1q 250-1300 ip dhcp relay information option-insert ip dhcp relay information policy-action replace ip unnumbered Loopback4 ip helper-address X.Y.128.28 no ip proxy-arp ip access-group malware-filter-ipoe in no ip route-cache same-interface pppoe enable group test_dump service-policy type control ISG-QNQ ip subscriber l2-connected initiator dhcp end Подсеть абонентов - ip address X.Y.144.1 255.255.248.0 Проблема проявляется в двух вариантах: 1. Я пытаюсь пропинговать неактивный в данный момент IP из той же подсети. На самом ASR1002 смотрю, что нет arp запили для этого IP ASR1002-X#sh ip arp X.Y.146.13 ASR1002-X# С клиентского тестового компьютера пытаюсь пропинговать этот IP, не пингуется, но появляется arp запись для этого IP с маком ASR: C:\Users\burevestnik>arp -a Интерфейс: X.Y.146.161 --- 0xc адрес в Интернете Физический адрес Тип X.Y.144.1 64-12-25-d2-cc-c0 динамический X.Y.146.13 64-12-25-d2-cc-c0 динамический то есть ASR ответил своим маком для того IP адреса, который не работает, и о его реальном маке ASR не знает ничего. 2. Я пытаюсь пропинговать активнный IP из той же подсети На ASR его мак виден, но не в моём интерфейсе ASR1002-X#sh ip arp X.Y.146.46 Protocol Address Age (min) Hardware Addr Type Interface Internet X.Y.146.46 - 0027.227d.06ad ARPA Port-channel1.945 ASR1002-X#sh ru И с клиентского тестового комьютера я могу пропинговать этот адрес, несмотря на то, что отключен proxy-arp! C:\Windows\system32>ping X.Y.146.46 Обмен пакетами с X.Y.146.46 по с 32 байтами данных: Ответ от X.Y.146.46: число байт=32 время=8мс TTL=63 Ответ от X.Y.146.46: число байт=32 время=2мс T C:\Windows\system32>arp -a Интерфейс: X.Y.146.161 --- 0xc адрес в Интернете Физический адрес Тип X.Y.144.1 64-12-25-d2-cc-c0 динамический X.Y.146.46 64-12-25-d2-cc-c0 динамический То есть ASR продолжает фактически делать proxy-arp, даже когда он явно отключен. Кто-нибудь с этим сталкивался? Есть ли ещё какие-то дополнительные параметры, связанные с proxy-arp, которые можно "покрутить" ? В каком из цисквоских мануалов? Я пока в мануале "IP Addressing: ARP Configuration Guide" нашёл только включение/отключене proxy-arp глобально и для интерфейса Изменено 7 апреля, 2017 пользователем burevestnik_1983 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ShyLion Опубликовано 7 апреля, 2017 · Жалоба сделай show run all, мож чего интересного увидишь еще Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
burevestnik_1983 Опубликовано 7 апреля, 2017 · Жалоба сделай show run all, мож чего интересного увидишь еще А какое это отношение имеет к proxy-arp? Какой параметр там нужно поискать, который влияет на proxy-arp? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
buckethead Опубликовано 7 апреля, 2017 · Жалоба Proxy-arp на l2-connected работает вне зависимости от команды на интерфейсе. To support IP subscribers with foreign IP addresses, ISG must be able to respond to Address Resolution Protocol (ARP) requests that originate from foreign IP addresses with a MAC address of the ISG itself. Because the access network is Layer 2-connected, ISG maintains an adjacency to every subscriber. http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/isg/configuration/xe-3s/isg-xe-3s-book/isg-acess-ip-sess.html Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
burevestnik_1983 Опубликовано 8 апреля, 2017 · Жалоба Proxy-arp на l2-connected работает вне зависимости от команды на интерфейсе. Спасибо за информацию и за ссылку на мануал. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...