OKyHb Опубликовано 11 февраля, 2014 · Жалоба Приветствую. Есть cisco 4900M с 15.1(1)SG2, на которой терминируется несколько подсетей. Никаких ip unnumbered или arp polling. Возникла необходимость разделить клиентов через traffic_segmentation. Соответственно, на циске надо включить proxy arp. Судя по прочитанному - лучше использовать local-proxy-arp. Настраиваю 2 тестовых интерфейса простейшим образом: interface Vlan960 ip address 192.168.60.1 255.255.255.0 no ip redirects no ip proxy-arp ip local-proxy-arp ip route-cache same-interface ! interface Vlan961 ip address 192.168.61.1 255.255.255.0 no ip redirects no ip proxy-arp ip local-proxy-arp ip route-cache same-interface ! На компьютере с eth0.960 c 192.168.60.2/23 пробую тестить arping'ом и получаю такие результаты: 1. "no ip proxy-arp" + "ip local-proxy-arp" - получаю ответы только на 192.168.60.1 2. "ip proxy-arp" - отвечает на все запросы (если есть нужынй маршрут) 3. "ip proxy-arp" + "ip local-proxy-arp" - точно та же картина, что во втором варианте (разница есть, моя ошибка) То есть, абсолютно никакого эффекта от "local-proxy-arp" не вижу. Может быть, необходимы ещё какие-то настройки? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
uxcr Опубликовано 11 февраля, 2014 · Жалоба local proxy arp работает в пределах одного и того же влана. В основном используют если от доступа до порта роутера коммутация между маками запрещена (switchport protect). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 12 февраля, 2014 · Жалоба Если судить по документации: интерфейс с proxy-arp не должен отвечать на запросы от хостов из своей ip подсети, а с locsl-proxy-arp должен отвечать на все запросы. Правда на 6500 и me3400 я разницы не заметил разве что на 6500-sup720-3b c local-proxy-arp нет нагрузки на проц в отличии от proxy-arp. А вот если на me3400 включить local-proxy-arp то клиент не может адрес получить по dhcp - me клиенту говорит что у неё адрес Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 12 февраля, 2014 · Жалоба Просто по моим тестам local-proxy-arp вообще не работал. Или я неправвильно тестирую/настраиваю. Но вроде ж всё предельно просто. 1. прибиваю на interface vlan 960 ip адрес, отключаю proxy arp, включаю local-proxy-arp. Запускаю "arping -I eth0.960 192.168.61.1" - ответов нет (всё верно, это и ждал от local-proxy). Делаю "arping -I eth0.960 192.168.60.3" - и тоже никаких ответов (вот это уже не соответствует ожиданиям) 2. оставляю включенным local-proxy-arp, дополнительно включаю обычный proxy-arp на интерфейсе. Запускаю "arping -I eth0.960 192.168.60.3" - появляется ответ, чудесно. Но ответ появляется и для "arping -I eth0.960 192.168.61.5" - что огорчает. В этих вланах никаких других компьютеров во время тестов не было. Кроме arp и icmp ничего не бегало. Это же не нормальное поведение, так быть не должно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 13 февраля, 2014 · Жалоба Это же не нормальное поведение, так быть не должно? Посоветую внимательней доки читать. local-proxy-arp требует включения proxy-arp. Типа - первый расширяет возможности второго. Я, правда разбирался с этим применительно к 6500 но, думаю, и для других моделей это справедливо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 февраля, 2014 · Жалоба OKyHb, попробуйте последнюю из 12 ветки прошивку. У нас local-proxy-arp не взлетел на 15 ветке (правда у нас 7600). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
NikAlexAn Опубликовано 13 февраля, 2014 · Жалоба OKyHb, попробуйте последнюю из 12 ветки прошивку. У нас local-proxy-arp не взлетел на 15 ветке (правда у нас 7600). Причём тут это то? У меня сложилось впечатление что ТС хочет чтоб интерфейс отвечал только на арп запросы к адресам из своей ip подсети - этого не будет. proxy-arp не должен отвечать на запросы к адресам из своей подсети что и логично. А local-proxy-arp отвечает на ВСЕ запросы своим мак-адресом. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zstas Опубликовано 13 февраля, 2014 · Жалоба всё правильно. это же не мешает, а как раз таки наоборот. вот есть клиент, у него /23 прописана, а на самом деле он сидит за /24. если он хочет пингануть клиента во второй сетке /24, ему кто должен ответить на арп запрос? просто я невнимательно прочитал чего хочет ТС. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
OKyHb Опубликовано 13 февраля, 2014 · Жалоба proxy-arp не должен отвечать на запросы к адресам из своей подсети что и логично Чёрт, таки да. Я неправильно понимал local-proxy-arp. Мне почему-то казалось, что local-proxy-arp ограничивает proxy arp (разрешает ответы только для локальных адресов). А оказывается наоборот - local-proxy-arp расширяет функционал proxy arp, и разрешает ответы для локальных адресов. Перепроверил свой третий пункт - таки разница есть. Всё работает. Спасибо за помощь! :) Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...