Jump to content
Калькуляторы

Juniper: ip unnumbered + proxy arp

Добрый день. Решил я проверить работу proxy-arp.

 

Конфиг на Джунипере:

 

show configuration interfaces lo0.1
family inet {
    address 1.1.1.1/24;
    address 1.1.2.1/24;

 

show configuration interfaces ge-2/0/1
description HOST1;
proxy-arp restricted;
family inet {
    unnumbered-address lo0.1;
}

 

set routing-instances bgp-def routing-options static route 1.1.1.2/32 qualified-next-hop ge-2/0/1

 

show configuration interfaces ge-2/0/2
description HOST2;
proxy-arp restricted;
family inet {
    unnumbered-address lo0.1;
}

 

set routing-instances bgp-def routing-options static route 1.1.2.2/32 qualified-next-hop ge-2/0/2

 

 

show configuration interfaces ge-2/0/3
description Mik;
proxy-arp restricted;
family inet {
    unnumbered-address lo0.1;
}

 

set routing-instances bgp-def routing-options static route 1.1.1.3/32 qualified-next-hop ge-2/0/3

 

К ge-2/0/1 и ge-2/0/2 подключаю ПК с IP 1.1.1.2/24 и 1.1.2.2/24 соответственно. 

 

К ge-2/0/3 микротик и начинаю тестить. 

 

В итоге для всех 3х режимов ARP интерфейса ge-2/0/3 (no arp-proxy, arp-proxy restricted, arp-proxy unrestricted) результат получился одинаковый:

 

При правильной маске на микротике (1.1.1.3/24 без gw):

 

ping 1.1.1.2 ok

ARP 1.1.1.2 ok

 

ping 1.1.2.2 fail

ARP 1.1.2.2 fail

 

При "неправильной" маске на микротике (1.1.1.3/16 без gw):

 

ping 1.1.1.2 ok

ARP 1.1.1.2 ok

 

ping 1.1.2.2 ok

ARP 1.1.2.2 ok

 

Вероятно, я неправильно понял технологию proxy-arp, но мне казалось, что c 1.1.1.3/16 при "no arp-proxy" я не должен пинговать оба хоста, при "arp-proxy restricted" смог бы пропинговать только 1.1.2.2, и только с "arp-proxy unrestricted" пропинговал бы оба. Не пойму, почему получилось везде одинаково

 

 

Share this post


Link to post
Share on other sites

proxy-arp не самый лучший инструмент, это очень большая дыра в безопасности.

Share this post


Link to post
Share on other sites
Только что, pingz сказал:

proxy-arp не самый лучший инструмент, это очень большая дыра в безопасности.

Тут проблема в том, что я не могу понять, почему я получил одинаковый результат при разных режимах proxy-arp

Share this post


Link to post
Share on other sites

@horus1613 gw должно быть как не крути есть прямой маршрут есть "обратный", вот прокси арп может выполнить функцию "обратного" маршута. 

 

при 1.1.1.3/24 без gw до сети 1.1.2.2 нужен gw

 

 

R1 1.1.1.1/24 у него маршрут будет 1.1.1.0/24

R2 1.1.1.2/24 у него маршрут будет 1.1.1.0/24 + gw 1.1.1.1

PC допустим с pppoe сессий выдали ip 1.1.1.3 у него будет прямой маршрут до 1.1.1.1, но 1.1.1.1 не будет знать, что за 1.1.1.2 есть 1.1.1.3 для этого и включают proxy-arp, чтобы 1.1.1.1 у себя в arp записях сделал, что 1.1.1.3 находится за 1.1.1.2

 

Либо на R1 нужно прописывать маршрут, что 1.1.1.3 находится за 1.1.1.2. Либо OSPF, BGP. 

 

Попробуй прочитать конфиг вот так: 

show configuration interfaces ge-2/0/1
description HOST1;
family inet {
    unnumbered-address lo0.1

А теперь начинай думать, чем отличается L2 от L3 

Share this post


Link to post
Share on other sites
20 минут назад, pingz сказал:

@horus1613 gw должно быть как не крути есть прямой маршрут есть "обратный", вот прокси арп может выполнить функцию "обратного" маршута. 

 

при 1.1.1.3/24 без gw до сети 1.1.2.2 нужен gw

 

 

R1 1.1.1.1/24 у него маршрут будет 1.1.1.0/24

R2 1.1.1.2/24 у него маршрут будет 1.1.1.0/24 + gw 1.1.1.1

PC допустим с pppoe сессий выдали ip 1.1.1.3 у него будет прямой маршрут до 1.1.1.1, но 1.1.1.1 не будет знать, что за 1.1.1.2 есть 1.1.1.3 для этого и включают proxy-arp, чтобы 1.1.1.1 у себя в arp записях сделал, что 1.1.1.3 находится за 1.1.1.2

 

Либо на R1 нужно прописывать маршрут, что 1.1.1.3 находится за 1.1.1.2. Либо OSPF, BGP. 

 

Попробуй прочитать конфиг вот так: 

show configuration interfaces ge-2/0/1
description HOST1;
family inet {
    unnumbered-address lo0.1

А теперь начинай думать, чем отличается L2 от L3 

На 1.1.1.2/24 и 1.1.2.2/24 gw прописаны.

На джунипере все 3 маршрута тоже есть.

Нет gw только на 1.1.1.3, но он и так прекрасно пингует 1.1.2.2, если выставить маску /16. Пинг есть, значит есть маршруты в обе стороны. В арпах микротика 1.1.1.3 есть ip 1.1.2.2 c маком Джунипера. Даже с выключенным proxy-arp. Вопрос: почему?

Edited by horus1613

Share this post


Link to post
Share on other sites

Ситуация изменилась. С выключенным proxy-arp не пингуются адреса 1.1.1.2 и 1.1.2.2 с 1.1.1.3/16. Не знаю, почему тогда пинговались, может арп завис, хотя и чистил везде.

 

Теперь осталось понять, чем принципиально отличаются режимы restricted и unrestricted, так как при активации любого из них пингуются и 1.1.1.2, и 1.1.2.2 (оба в есть в арпах)

Share this post


Link to post
Share on other sites

Наверное в одном из них тебе на все запрошенные IP будет прилетать ответ с маком шлюза, а в другом только для тех кто есть в его таблице маршрутизации.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this