新米ネットワークエンジニアだわよ!

ネットワークエンジニアとして勉強していく中で大事だなー!!と思ったことを忘れないようにするために書いてます。このブログで不明点が解決できたら嬉しいです^^

proxy arpとarpを返さない対策

久々の更新。

 

arpIPアドレスからMACアドレスを知るためにおくるやつ

proxy arp=代わりにarp応答すること。

 

これは現場でよく使っている技術で、

まぁ一言でいうと実際に使っているアドレス以外を指定して

そのアドレスにarp応答をさせること。

 

具体的には・・・・

 

Untrust > Trust

 

any mip(1.1.1.1) any

 

みたいな、1.1.1.1は実際に使われてるfwのインターフェースアドレスじゃないけど

仮想で作成して、その仮想あてに通信が来るからそいつがfwの代わりに代理応答する。

 

これがproxy arp。・・・の使われ方。

 

んでも、今回この記事を書くにしても思ったのが

例えば仮想アドレスがインターフェースアドレスのネットワーク帯にconnetedじゃないとarp応答を返さないという噂を聞いたから。

 

じゃあどうするのか?

実はすごい簡単。/32のhostルート設定をしてあげる。これで終わり。

next-hopはインタフェースのアドレスでね。ここ大事。

 

そうすると、arpが帰ってこない場合でも通信がとれるんだってさ。

ちょっとここに関しては、識者に確認してみてもいいかも。