cisco local-proxy-arp

[OKyHb]

Приветствую.

 

Есть cisco 4900M с 15.1(1)SG2, на которой терминируется несколько подсетей. Никаких ip unnumbered или arp polling. Возникла необходимость разделить клиентов через traffic_segmentation. Соответственно, на циске надо включить proxy arp. Судя по прочитанному - лучше использовать local-proxy-arp.

 

Настраиваю 2 тестовых интерфейса простейшим образом:

 

interface Vlan960
ip address 192.168.60.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip local-proxy-arp
ip route-cache same-interface
!
interface Vlan961
ip address 192.168.61.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip local-proxy-arp
ip route-cache same-interface
!

На компьютере с eth0.960 c 192.168.60.2/23 пробую тестить arping'ом и получаю такие результаты:

 

1. "no ip proxy-arp" + "ip local-proxy-arp" - получаю ответы только на 192.168.60.1

2. "ip proxy-arp" - отвечает на все запросы (если есть нужынй маршрут)

3. "ip proxy-arp" + "ip local-proxy-arp" - точно та же картина, что во втором варианте (разница есть, моя ошибка)

 

То есть, абсолютно никакого эффекта от "local-proxy-arp" не вижу. Может быть, необходимы ещё какие-то настройки?

[uxcr]

local proxy arp работает в пределах одного и того же влана. В основном используют если от доступа до порта роутера коммутация между маками запрещена (switchport protect).

[NikAlexAn]

Если судить по документации:

интерфейс с proxy-arp не должен отвечать на запросы от хостов из своей ip подсети, а с locsl-proxy-arp должен отвечать на все запросы.

 

Правда на 6500 и me3400 я разницы не заметил разве что на 6500-sup720-3b c local-proxy-arp нет нагрузки на проц в отличии от proxy-arp. А вот если на me3400 включить local-proxy-arp то клиент не может адрес получить по dhcp - me клиенту говорит что у неё адрес

[OKyHb]

Просто по моим тестам local-proxy-arp вообще не работал. Или я неправвильно тестирую/настраиваю. Но вроде ж всё предельно просто.

 

1. прибиваю на interface vlan 960 ip адрес, отключаю proxy arp, включаю local-proxy-arp. Запускаю "arping -I eth0.960 192.168.61.1" - ответов нет (всё верно, это и ждал от local-proxy). Делаю "arping -I eth0.960 192.168.60.3" - и тоже никаких ответов (вот это уже не соответствует ожиданиям)

 

2. оставляю включенным local-proxy-arp, дополнительно включаю обычный proxy-arp на интерфейсе. Запускаю "arping -I eth0.960 192.168.60.3" - появляется ответ, чудесно. Но ответ появляется и для "arping -I eth0.960 192.168.61.5" - что огорчает.

 

В этих вланах никаких других компьютеров во время тестов не было. Кроме arp и icmp ничего не бегало.

 

Это же не нормальное поведение, так быть не должно?

[NikAlexAn]

Это же не нормальное поведение, так быть не должно?

Посоветую внимательней доки читать.

local-proxy-arp требует включения proxy-arp. Типа - первый расширяет возможности второго.

Я, правда разбирался с этим применительно к 6500 но, думаю, и для других моделей это справедливо.

[zstas]

OKyHb, попробуйте последнюю из 12 ветки прошивку. У нас local-proxy-arp не взлетел на 15 ветке (правда у нас 7600).

[NikAlexAn]

OKyHb, попробуйте последнюю из 12 ветки прошивку. У нас local-proxy-arp не взлетел на 15 ветке (правда у нас 7600).

Причём тут это то?

У меня сложилось впечатление что ТС хочет чтоб интерфейс отвечал только на арп запросы к адресам из своей ip подсети - этого не будет.

proxy-arp не должен отвечать на запросы к адресам из своей подсети что и логично. А local-proxy-arp отвечает на ВСЕ запросы своим мак-адресом.

[zstas]

всё правильно. это же не мешает, а как раз таки наоборот.

вот есть клиент, у него /23 прописана, а на самом деле он сидит за /24. если он хочет пингануть клиента во второй сетке /24, ему кто должен ответить на арп запрос?

 

просто я невнимательно прочитал чего хочет ТС.

[OKyHb]

proxy-arp не должен отвечать на запросы к адресам из своей подсети что и логично

 

Чёрт, таки да. Я неправильно понимал local-proxy-arp. Мне почему-то казалось, что local-proxy-arp ограничивает proxy arp (разрешает ответы только для локальных адресов). А оказывается наоборот - local-proxy-arp расширяет функционал proxy arp, и разрешает ответы для локальных адресов. Перепроверил свой третий пункт - таки разница есть.

 

Всё работает. Спасибо за помощь! :)