Атрибут NoProxyARP

Атрибут NoProxyARP задает режим работы устройства в роли ProxyARP для указанного множества адресов. Режим проксирования имеет смысл использовать, когда указанный пул адресов является подмножеством адресов защищаемой подсети шлюзом безопасности.

Выданный по IKECFG внешнему устройству IP-адрес должен проксироваться с интерфейса защищаемой подсети, чтобы пакеты от устройств этой подсети, предназначенные для исходного внешнего устройства, попадали на шлюз безопасности для их дальнейшей обработки и пересылки внешнему устройству, для этого также соответствующим образом должна быть задана таблица маршрутизации (см. Пример).

Добавление proxy-arp записей не гарантирует маршрутизацию пакетов на самом шлюзе безопасности. Для автоматического добавления маршрутов, proxy-arp можно использовать совместно с механизмом RRI (подробнее см. документ  «Настройка шлюза», раздел «Общие настройки шлюза»).

При удалении SA, соответствующие proxy-arp записи удаляются.

Синтаксис

NoProxyARP = FALSE | TRUE

Значение

FALSE – для указанного множества адресов устройство выступает в роли ProxyARP. Если IP-адрес не попадает ни в одну из защищаемых локальных подсетей, proxy-arp запись не создается, и это не считается ошибкой.

TRUE – адреса не проксируются.

Значение по умолчанию

FALSE

 

Пример

Описан случай, когда NoProxyARP обязан быть выставлен в FALSE (в иных случаях – это необязательно).

 

Топология сети:

 

------- 10.0.0.1/24 GW ====== ISP  router === ... === nomadic 

 

Обозначения:

--------            открытый трафик

========            защищенный трафик

GW                        шлюз безопасности

ISP router        маршрутизатор провайдера

.........          все промежуточные хосты

nomadic              внешний пользователь.

 

Пул адресов выделен из внутренней сети, например, 10.0.0.240 – 10.0.0.247, его так же можно задать в форме 10.0.0.240/29. Здесь специально выбран диапазон, который укладывается в подсеть, чтобы удобнее было задавать запись в таблице маршрутизации. Но не стоит путать - адреса 10.0.0.240 и 10.0.0.247 не будут являться спец. адресами подсети.

Для указанной топологии в LSP необходимо указать:

AddressPool(

IPAddresses = 10.0.0.240/29

NoProxyARP = FALSE

)

Route(

Destination = 10.0.0.240/29

Gateway = ISP_router_IP_address

)

 

В результате получим:

·       GW ответит на ARP-запрос Ethernet адреса для IP-адреса из пула от хоста из внутренней сети

·       После попадания пакета на внутренний интерфейс GW с адресом назначения из пула, пакет будет перенаправлен в соответствии с указанной записью в маршрутной таблице на внешний интерфейс GW, где перед отправкой во вне он будет зашифрован.

 

Необходимо помнить:

Нельзя указывать маршрутизацию для 10.0.0.240/29 через внешний интерфейс GW, так как выделяемые адреса из пула будут привязываться в ARP-таблице к внешнему интерфейсу, и GW не будет отвечать на ARP-запросы для таких адресов с внутреннего интерфейса. Это расходится с практикой Cisco, где в таком случае запись делается через интерфейс.