horus1613 Posted May 22, 2018 Добрый день. Решил я проверить работу proxy-arp. Конфиг на Джунипере: show configuration interfaces lo0.1 family inet { address 1.1.1.1/24; address 1.1.2.1/24; show configuration interfaces ge-2/0/1 description HOST1; proxy-arp restricted; family inet { unnumbered-address lo0.1; } set routing-instances bgp-def routing-options static route 1.1.1.2/32 qualified-next-hop ge-2/0/1 show configuration interfaces ge-2/0/2 description HOST2; proxy-arp restricted; family inet { unnumbered-address lo0.1; } set routing-instances bgp-def routing-options static route 1.1.2.2/32 qualified-next-hop ge-2/0/2 show configuration interfaces ge-2/0/3 description Mik; proxy-arp restricted; family inet { unnumbered-address lo0.1; } set routing-instances bgp-def routing-options static route 1.1.1.3/32 qualified-next-hop ge-2/0/3 К ge-2/0/1 и ge-2/0/2 подключаю ПК с IP 1.1.1.2/24 и 1.1.2.2/24 соответственно. К ge-2/0/3 микротик и начинаю тестить. В итоге для всех 3х режимов ARP интерфейса ge-2/0/3 (no arp-proxy, arp-proxy restricted, arp-proxy unrestricted) результат получился одинаковый: При правильной маске на микротике (1.1.1.3/24 без gw): ping 1.1.1.2 ok ARP 1.1.1.2 ok ping 1.1.2.2 fail ARP 1.1.2.2 fail При "неправильной" маске на микротике (1.1.1.3/16 без gw): ping 1.1.1.2 ok ARP 1.1.1.2 ok ping 1.1.2.2 ok ARP 1.1.2.2 ok Вероятно, я неправильно понял технологию proxy-arp, но мне казалось, что c 1.1.1.3/16 при "no arp-proxy" я не должен пинговать оба хоста, при "arp-proxy restricted" смог бы пропинговать только 1.1.2.2, и только с "arp-proxy unrestricted" пропинговал бы оба. Не пойму, почему получилось везде одинаково Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 22, 2018 proxy-arp не самый лучший инструмент, это очень большая дыра в безопасности. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
horus1613 Posted May 22, 2018 Только что, pingz сказал: proxy-arp не самый лучший инструмент, это очень большая дыра в безопасности. Тут проблема в том, что я не могу понять, почему я получил одинаковый результат при разных режимах proxy-arp Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
pingz Posted May 22, 2018 @horus1613 gw должно быть как не крути есть прямой маршрут есть "обратный", вот прокси арп может выполнить функцию "обратного" маршута. при 1.1.1.3/24 без gw до сети 1.1.2.2 нужен gw R1 1.1.1.1/24 у него маршрут будет 1.1.1.0/24 R2 1.1.1.2/24 у него маршрут будет 1.1.1.0/24 + gw 1.1.1.1 PC допустим с pppoe сессий выдали ip 1.1.1.3 у него будет прямой маршрут до 1.1.1.1, но 1.1.1.1 не будет знать, что за 1.1.1.2 есть 1.1.1.3 для этого и включают proxy-arp, чтобы 1.1.1.1 у себя в arp записях сделал, что 1.1.1.3 находится за 1.1.1.2 Либо на R1 нужно прописывать маршрут, что 1.1.1.3 находится за 1.1.1.2. Либо OSPF, BGP. Попробуй прочитать конфиг вот так: show configuration interfaces ge-2/0/1 description HOST1; family inet { unnumbered-address lo0.1 А теперь начинай думать, чем отличается L2 от L3 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
horus1613 Posted May 22, 2018 (edited) 20 минут назад, pingz сказал: @horus1613 gw должно быть как не крути есть прямой маршрут есть "обратный", вот прокси арп может выполнить функцию "обратного" маршута. при 1.1.1.3/24 без gw до сети 1.1.2.2 нужен gw R1 1.1.1.1/24 у него маршрут будет 1.1.1.0/24 R2 1.1.1.2/24 у него маршрут будет 1.1.1.0/24 + gw 1.1.1.1 PC допустим с pppoe сессий выдали ip 1.1.1.3 у него будет прямой маршрут до 1.1.1.1, но 1.1.1.1 не будет знать, что за 1.1.1.2 есть 1.1.1.3 для этого и включают proxy-arp, чтобы 1.1.1.1 у себя в arp записях сделал, что 1.1.1.3 находится за 1.1.1.2 Либо на R1 нужно прописывать маршрут, что 1.1.1.3 находится за 1.1.1.2. Либо OSPF, BGP. Попробуй прочитать конфиг вот так: show configuration interfaces ge-2/0/1 description HOST1; family inet { unnumbered-address lo0.1 А теперь начинай думать, чем отличается L2 от L3 На 1.1.1.2/24 и 1.1.2.2/24 gw прописаны. На джунипере все 3 маршрута тоже есть. Нет gw только на 1.1.1.3, но он и так прекрасно пингует 1.1.2.2, если выставить маску /16. Пинг есть, значит есть маршруты в обе стороны. В арпах микротика 1.1.1.3 есть ip 1.1.2.2 c маком Джунипера. Даже с выключенным proxy-arp. Вопрос: почему? Edited May 22, 2018 by horus1613 Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
horus1613 Posted May 22, 2018 Ситуация изменилась. С выключенным proxy-arp не пингуются адреса 1.1.1.2 и 1.1.2.2 с 1.1.1.3/16. Не знаю, почему тогда пинговались, может арп завис, хотя и чистил везде. Теперь осталось понять, чем принципиально отличаются режимы restricted и unrestricted, так как при активации любого из них пингуются и 1.1.1.2, и 1.1.2.2 (оба в есть в арпах) Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
Ivan_83 Posted May 22, 2018 Наверное в одном из них тебе на все запрошенные IP будет прилетать ответ с маком шлюза, а в другом только для тех кто есть в его таблице маршрутизации. Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
vvertexx Posted May 22, 2018 логично прочитать документацию: https://www.juniper.net/documentation/en_US/junos/topics/concept/interfaces-restricted-unrestricted-proxy-arp-overview.html Вставить ник Quote Ответить с цитированием Share this post Link to post Share on other sites More sharing options...
