Перейти к содержимому
Калькуляторы

cisco local-proxy-arp не работает

Приветствую.

 

Есть cisco 4900M с 15.1(1)SG2, на которой терминируется несколько подсетей. Никаких ip unnumbered или arp polling. Возникла необходимость разделить клиентов через traffic_segmentation. Соответственно, на циске надо включить proxy arp. Судя по прочитанному - лучше использовать local-proxy-arp.

 

Настраиваю 2 тестовых интерфейса простейшим образом:

 

interface Vlan960
ip address 192.168.60.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip local-proxy-arp
ip route-cache same-interface
!
interface Vlan961
ip address 192.168.61.1 255.255.255.0
no ip redirects
no ip proxy-arp
ip local-proxy-arp
ip route-cache same-interface
!

На компьютере с eth0.960 c 192.168.60.2/23 пробую тестить arping'ом и получаю такие результаты:

 

1. "no ip proxy-arp" + "ip local-proxy-arp" - получаю ответы только на 192.168.60.1

2. "ip proxy-arp" - отвечает на все запросы (если есть нужынй маршрут)

3. "ip proxy-arp" + "ip local-proxy-arp" - точно та же картина, что во втором варианте (разница есть, моя ошибка)

 

То есть, абсолютно никакого эффекта от "local-proxy-arp" не вижу. Может быть, необходимы ещё какие-то настройки?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

local proxy arp работает в пределах одного и того же влана. В основном используют если от доступа до порта роутера коммутация между маками запрещена (switchport protect).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Если судить по документации:

интерфейс с proxy-arp не должен отвечать на запросы от хостов из своей ip подсети, а с locsl-proxy-arp должен отвечать на все запросы.

 

Правда на 6500 и me3400 я разницы не заметил разве что на 6500-sup720-3b c local-proxy-arp нет нагрузки на проц в отличии от proxy-arp. А вот если на me3400 включить local-proxy-arp то клиент не может адрес получить по dhcp - me клиенту говорит что у неё адрес

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Просто по моим тестам local-proxy-arp вообще не работал. Или я неправвильно тестирую/настраиваю. Но вроде ж всё предельно просто.

 

1. прибиваю на interface vlan 960 ip адрес, отключаю proxy arp, включаю local-proxy-arp. Запускаю "arping -I eth0.960 192.168.61.1" - ответов нет (всё верно, это и ждал от local-proxy). Делаю "arping -I eth0.960 192.168.60.3" - и тоже никаких ответов (вот это уже не соответствует ожиданиям)

 

2. оставляю включенным local-proxy-arp, дополнительно включаю обычный proxy-arp на интерфейсе. Запускаю "arping -I eth0.960 192.168.60.3" - появляется ответ, чудесно. Но ответ появляется и для "arping -I eth0.960 192.168.61.5" - что огорчает.

 

В этих вланах никаких других компьютеров во время тестов не было. Кроме arp и icmp ничего не бегало.

 

Это же не нормальное поведение, так быть не должно?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Это же не нормальное поведение, так быть не должно?

Посоветую внимательней доки читать.

local-proxy-arp требует включения proxy-arp. Типа - первый расширяет возможности второго.

Я, правда разбирался с этим применительно к 6500 но, думаю, и для других моделей это справедливо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

OKyHb, попробуйте последнюю из 12 ветки прошивку. У нас local-proxy-arp не взлетел на 15 ветке (правда у нас 7600).

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

OKyHb, попробуйте последнюю из 12 ветки прошивку. У нас local-proxy-arp не взлетел на 15 ветке (правда у нас 7600).

Причём тут это то?

У меня сложилось впечатление что ТС хочет чтоб интерфейс отвечал только на арп запросы к адресам из своей ip подсети - этого не будет.

proxy-arp не должен отвечать на запросы к адресам из своей подсети что и логично. А local-proxy-arp отвечает на ВСЕ запросы своим мак-адресом.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

всё правильно. это же не мешает, а как раз таки наоборот.

вот есть клиент, у него /23 прописана, а на самом деле он сидит за /24. если он хочет пингануть клиента во второй сетке /24, ему кто должен ответить на арп запрос?

 

просто я невнимательно прочитал чего хочет ТС.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

proxy-arp не должен отвечать на запросы к адресам из своей подсети что и логично

 

Чёрт, таки да. Я неправильно понимал local-proxy-arp. Мне почему-то казалось, что local-proxy-arp ограничивает proxy arp (разрешает ответы только для локальных адресов). А оказывается наоборот - local-proxy-arp расширяет функционал proxy arp, и разрешает ответы для локальных адресов. Перепроверил свой третий пункт - таки разница есть.

 

Всё работает. Спасибо за помощь! :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.