Атрибут NoProxyARP задает режим работы устройства в роли ProxyARP для указанного множества адресов. Режим проксирования имеет смысл использовать, когда указанный пул адресов является подмножеством
адресов защищаемой подсети шлюзом безопасности.
Выданный по IKECFG внешнему устройству IP-адрес должен проксироваться с интерфейса защищаемой подсети, чтобы пакеты от устройств этой подсети, предназначенные для исходного внешнего устройства,
попадали на шлюз безопасности для их дальнейшей обработки и пересылки внешнему устройству, для этого также соответствующим образом должна быть задана таблица маршрутизации (см. Пример).
Добавление proxy-arp записей не гарантирует маршрутизацию пакетов на самом шлюзе безопасности. Для автоматического добавления маршрутов, proxy-arp можно использовать совместно с механизмом RRI.
При удалении SA, соответствующие proxy-arp записи удаляются.
Примечание |
Записи удаляются с задержкой, соответствующей времени жизни информации о выданном IKECFG адресе (от 5 до 10 минут). Данная задержка позволяет восстановить соединение с партнёром по запросу из защищаемой подсети.
|
Синтаксис |
NoProxyARP = FALSE | TRUE |
|
Значение |
FALSE – для указанного множества адресов устройство выступает в роли ProxyARP. Если IP-адрес не попадает ни в одну из защищаемых локальных подсетей, proxy-arp запись не создается, и это не считается ошибкой. TRUE – адреса не проксируются. |
|
Значение по умолчанию |
FALSE |
Описан случай, когда NoProxyARP обязан быть выставлен в FALSE (в иных случаях – это необязательно).
Топология сети:
------- 10.0.0.1/24 GW ====== ISP router === ... === nomadic
Обозначения:
-------- открытый трафик
======== защищенный трафик
GW шлюз безопасности
ISP router маршрутизатор провайдера
......... все промежуточные хосты
nomadic внешний пользователь.
Пул адресов выделен из внутренней сети, например, 10.0.0.240 – 10.0.0.247, его так же можно задать в форме 10.0.0.240/29. Здесь специально выбран диапазон, который укладывается в подсеть,
чтобы удобнее было задавать запись в таблице маршрутизации. Но не стоит путать - адреса 10.0.0.240 и 10.0.0.247 не будут являться спец. адресами подсети.
Для указанной топологии в LSP необходимо указать:
AddressPool(
IPAddresses = 10.0.0.240/29
NoProxyARP = FALSE
)
Route(
Destination = 10.0.0.240/29
Gateway = ISP_router_IP_address
)
В результате получим:
• GW ответит на ARP-запрос Ethernet адреса для IP-адреса из пула от хоста из внутренней сети
• После попадания пакета на внутренний интерфейс GW с адресом назначения из пула, пакет будет перенаправлен в соответствии с указанной записью в маршрутной таблице на внешний интерфейс GW,
где перед отправкой во вне он будет зашифрован.
Необходимо помнить:
Нельзя указывать маршрутизацию для 10.0.0.240/29 через внешний интерфейс GW, так как выделяемые адреса из пула будут привязываться в ARP-таблице к внешнему интерфейсу, и GW не будет отвечать на
ARP-запросы для таких адресов с внутреннего интерфейса. Это расходится с практикой Cisco, где в таком случае запись делается через интерфейс.