Proxy(プロキシ)-ARPの仕組みと設定、ローカルProxy-ARP

Proxy-ARPとは、自分宛ではないARP要求に対し、ルートを知っているIPであれば、そのIPの端末の代わりにARP応答を返す機能です。ARP応答を受け取った端末は、Proxy-ARPでARP応答した端末にパケットを送ってきますが、その端末はルートを知っているので、ルーティングによりさらにパケットを転送します。

スポンサーリンク
スポンサーリンク

NATのProxy-ARPの例

例えば下記のようなNAT設定をしているルータの場合、PC Bから「5.5.5.5のMACアドレスは何か?」というARP要求を、10.1.1.254のインタフェースで受信します。10.1.1.254のインタフェースは自身宛のARP要求ではありませんが、5.5.5.5は自身で保有していると知っているので、Proxy-ARPの機能により「5.5.5.5のMACアドレスは[Gi 0/1のインタフェースのMACアドレス]ですよ」と返信します。

一昔前までは、上記のようなNAT設定をする場合、Proxy-ARPの設定を入れてないことで通信トラブルになることが多かったですが、最近の機器は自動でProxy-ARPを返すような設定になっていることが多いです。

また、NATと似たような構成で、SSL-VPN装置もProxy-ARPを実行することが多いです。

スポンサーリンク

SSL-VPN装置のProxy-ARPの例

例えばSSL-VPN装置にリモートログインしたPCが10.1.1.101/32のIPアドレスが払い出されたとします(SSL-VPNでは慣例的にログインPCは/32のIPアドレスが払い出されます)。

リモートPCから社内サーバへ通信し、その返信パケットがルータに届き、ルータの10.1.1.254のインタフェースからリモートPC(10.1.1.101)へ通信しようとします。その際、ルータは同セグメントだと思っている(相手が/32ということは知らない)ので、ARP要求をBroadcastします。SSL-VPN装置はこのARPを受信し、Proxy-ARPの機能により「10.1.1.101のMACアドレスは[SSL-VPN装置のMACアドレス]ですよ」と返信します。

これらはあくまで一例で、とにもかくにも、自分がルート情報を持っているIPのARP要求に応答するのがProxy-ARPなのです。

Proxy-ARPの設定

Ciscoでは以下のように設定します。

(config-if)# ip proxy-arp

ローカルProxy-ARPについて

通常のProxy-ARP設定の場合は、自身がそのIPを持っている場合だけでなく、そのIPへのルート情報を持っていてもARP応答します。

自身の保有するIPのみにARP応答させたい場合は、以下のようにローカルProxy-ARPの設定をします。

(config-if)# ip local-proxy-arp
スポンサーリンク
スポンサーリンク
スポンサーリンク

シェアする

  • このエントリーをはてなブックマークに追加

フォローする

スポンサーリンク
スポンサーリンク