Атрибут NoProxyARP

Атрибут NoProxyARP задает режим работы устройства в роли ProxyARP для указанного множества адресов. Режим проксирования имеет смысл использовать, когда указанный пул адресов является подмножеством

адресов защищаемой подсети шлюзом безопасности.

Выданный по IKECFG внешнему устройству IP-адрес должен проксироваться с интерфейса защищаемой подсети, чтобы пакеты от устройств этой подсети, предназначенные для исходного внешнего устройства,

попадали на шлюз безопасности для их дальнейшей обработки и пересылки внешнему устройству, для этого также соответствующим образом должна быть задана таблица маршрутизации (см. Пример).

Добавление proxy-arp записей не гарантирует маршрутизацию пакетов на самом шлюзе безопасности. Для автоматического добавления маршрутов, proxy-arp можно использовать совместно с механизмом RRI.

При удалении SA, соответствующие proxy-arp записи удаляются.

 

Примечание

Записи удаляются с задержкой, соответствующей времени жизни информации о выданном IKECFG адресе (от 5 до 10 минут). Данная задержка позволяет восстановить соединение с партнёром по запросу из защищаемой подсети.

 

 

Синтаксис

NoProxyARP = FALSE | TRUE

Значение

FALSE  – для указанного множества адресов устройство выступает в роли ProxyARP. Если IP-адрес не попадает ни в одну из защищаемых локальных подсетей, proxy-arp запись не создается, и это не считается ошибкой. 

TRUE  – адреса не проксируются.

Значение по

умолчанию

FALSE

 

Описан случай, когда NoProxyARP обязан быть выставлен в FALSE (в иных случаях – это необязательно).

Топология сети: 

------- 10.0.0.1/24 GW ====== ISP router === ... === nomadic

Обозначения:

--------       открытый трафик

========       защищенный трафик

GW                  шлюз безопасности

ISP router    маршрутизатор провайдера

.........     все промежуточные хосты

nomadic         внешний пользователь.

 

Пул адресов выделен из внутренней сети, например, 10.0.0.240 – 10.0.0.247, его так же можно задать в форме 10.0.0.240/29. Здесь специально выбран диапазон, который укладывается в подсеть,

чтобы удобнее было задавать запись в таблице маршрутизации. Но не стоит путать - адреса 10.0.0.240 и 10.0.0.247 не будут являться спец. адресами подсети.

Для указанной топологии в LSP необходимо указать:

AddressPool(

IPAddresses = 10.0.0.240/29

NoProxyARP = FALSE

)

Route(

Destination = 10.0.0.240/29

Gateway = ISP_router_IP_address

)

В результате получим:

      GW ответит на ARP-запрос Ethernet адреса для IP-адреса из пула от хоста из внутренней сети

      После попадания пакета на внутренний интерфейс GW с адресом назначения из пула, пакет будет перенаправлен в соответствии с указанной записью в маршрутной таблице на внешний интерфейс GW,

     где перед отправкой во вне он будет зашифрован.

Необходимо помнить:

Нельзя указывать маршрутизацию для 10.0.0.240/29 через внешний интерфейс GW, так как выделяемые адреса из пула будут привязываться в ARP-таблице к внешнему интерфейсу, и GW не будет отвечать на

ARP-запросы для таких адресов с внутреннего интерфейса. Это расходится с практикой Cisco, где в таком случае запись делается через интерфейс.