IP : ダイナミック アドレスの割り当てと解決

プロキシ ARP

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2009 年 4 月 15 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このドキュメントでは、プロキシ Address Resolution Protocol(ARP) のコンセプトを説明します。 プロキシ ARP とは、ホスト(通常はルータ)が、別のマシンに宛てられた ARP 要求に応答する技法です。 ルータは自分の ID を「偽装する」ことによって、「実際の」送信先にパケットをルーティングする責任を引き受けます。 プロキシ ARP を使用することで、ルーティングやデフォルト ゲートウェイの設定を必要とせずに、サブネット上のマシンがリモート サブネットに到達できるようになります。 プロキシ ARP は、RFC 1027 で定義されています。leavingcisco.com

前提条件

要件

このドキュメントの読者は、ARP およびイーサネット環境を理解している必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco IOS(R) ソフトウェア リリース 12.2(10b)

  • Cisco 2500 シリーズ ルータ

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

プロキシARP の機能

プロキシ ARP の動作原理の例を次に示します。

ネットワーク図

5_01.gif

ザ・ホスト A (172.16.10.100) ホスト送信するサブネット A 必要で D にパケットを(172.16.20.200) サブネットでダイアグラムに示すように B.に、ホストA /16 サブネット マスクがあります。 つまり、ホスト A は、自分がネットワーク 172.16.0.0 に直接接続されていると認識しているということです。 ホスト A が直接接続されていると認識している任意のデバイスと通信する必要がある場合、ホスト A から ARP 要求が宛先に送信されます。 したがって、ホスト A からホスト D にパケットを送信する必要がある場合、ホスト A ではホスト D が直接接続されていると認識されているため、ARP 要求がホスト D に送信されます。

ホスト D(172.16.20.200)に到達するためには、ホスト A ではホスト D の MAC アドレスが認識されている必要があります。

したがって、ホスト A からは ARP 要求が次のようにサブネット A 上にブロードキャストされます。

送信側の MAC アドレス 送信側の IP アドレス ターゲットの MAC アドレス ターゲットの IP アドレス
00-00-0c-94-36-aa 172.16.10.100 00-00-00-00-00-00 172.16.20.200

この ARP 要求では、ホスト D(172.16.20.200)が自分の MAC アドレスを送信することを、ホスト A(172.16.10.100)が要求しています。 次に、この ARP 要求パケットは、ホスト A の MAC アドレスをソース アドレスとして、ブロードキャスト(FFFF.FFFF.FFFF)を宛先アドレスとして、イーサネット フレームにカプセル化されます。 ARP 要求はブロードキャストなので、この要求はルータの e0 インターフェイスを含む、サブネット A 内の全ノードに到達しますが、ホスト D には到達しません。 ブロードキャストがホスト D に到達しないのは、デフォルトではルータでブロードキャストの転送が行われないためです。

ルータでは、ターゲット アドレス(172.16.20.200)が別のサブネット上にあることが認識されていて、ホスト D に到達できるため、ルータからは自分の MAC アドレスを使って、ホスト A に応答が返されます。

送信側の MAC アドレス 送信側の IP アドレス ターゲットの MAC アドレス ターゲットの IP アドレス
00-00-0c-94-36-ab 172.16.20.200 00-00-0c-94-36-aa 172.16.10.100

これは、ルータからホスト A に送信されたプロキシ ARP 応答です。 プロキシ ARP 応答パケットは、ルータの MAC アドレスを送信元アドレスとし、ホスト A の MAC アドレスを宛先アドレスとして、イーサネット フレームにカプセル化されます。 ARP 応答は常に元の要求側に対するユニキャストとなります。

この ARP応答を受取り次第、ホストA は示されているように ARPテーブルを、アップデートします:

IP アドレス MAC アドレス
172.16.20.200 00-00-0c-94-36-ab

以降、ホスト A からは、172.16.20.200(ホスト D)に宛てのパケットは、すべて MAC アドレス 00-00-0c-94-36-ab(ルータ)に転送されます。 ルータはホスト D への到達方法を認識しているため、ルータはホスト D へパケットを転送します。 ホストの ARPキャッシュはルータにサブネット B. Hence のすべてのホストのためのルータの MAC アドレスと A を読み込まれます、B をサブネット化するために送信されるすべてのパケット送信 されますサブネット化します。 これらのパケットは、ルータからサブネット B のホストに転送されます。

ホスト A の ARP キャッシュを次の表に示します。

IP アドレス MAC アドレス
172.16.20.200 00-00-0c-94-36-ab
172.16.20.100 00-00-0c-94-36-ab
172.16.10.99 00-00-0c-94-36-ab
172.16.10.200 00-00-0c-94-36-bb

複数の IP アドレスが、単一の MAC アドレス(このルータの MAC アドレス)にマッピングされています。これはプロキシ ARP が使われていることを意味します。

Cisco のインターフェイスは、プロキシ ARP からの送信を受け入れて応答を返すように設定されている必要があります。 このコマンドはデフォルトで有効になっています。 no ip proxy-arp コマンドが、ISP ルータに接続されているルータのインターフェイスで設定されている必要があります。 次に示すように、インターフェイス設定コマンド no ip proxy-arp を使って、プロキシ ARP を各インターフェイスで個々にディセーブルにできます。

Router# configure terminal
Enter configuration commands, one per line.  End with CNTL/Z.
Router(config)# interface ethernet 0
Router(config-if)# no ip proxy-arp
Router(config-if)# ^Z
Router#

インターフェイスでプロキシ ARP をイネーブルにするには、ip proxy-arp インターフェイス設定コマンドを発行します。

サブネット A 上のホスト B(172.16.10.200/24)から、サブネット B 上のホスト D(172.16.20.200)にパケットを送信しようとする場合、ホスト B では自分の IP ルーティング テーブルを検索し、その結果に基づいてパケットがルーティングされます。 ホスト B(172.16.10.200/24)では、ホスト D の IP アドレス 172.16.20.200 に対して ARP は実行されません。これはホスト D がホスト B 上で設定されたイーサネット インターフェイス 172.16.20.200/24 とは異なるサブネットに属しているためです。

プロキシ ARP の利点

プロキシ ARP の最大の長所は、ネットワーク上の 1 台のルータにプロキシ ARP を追加しても、ネットワーク上の他のルータのルーティング テーブルを変更する必要がないことです。

デフォルト ゲートウェイに IP ホストが設定されていなかったり、IP ホストがインテリジェントなルーティング機能を備えていないネットワークでは、プロキシ ARP を使用する必要があります。

プロキシ ARP の短所

ホスト側では、ネットワークの物理的な詳細は認識されず、ネットワークがフラットであり、ARP 要求を送信するだけであらゆる宛先に到達できるものと想定されています。 しかし、あらゆるものに ARP を使用すると、不都合が生じます。 次に ARP の短所をいくつか列挙します。

  • セグメント上での ARP トラフィックの数が増加する。

  • IP-to-MAC アドレスのマッピングを処理するために、ホスト側でより大きな ARP テーブルが必要になる。

  • セキュリティが弱まるおそれがある。 パケットを代行受信する目的で、あるマシンが他のマシンを名乗る、「スプーフィング」と呼ばれる行為ができます。

  • アドレス解決方法として ARP を使用していないネットワークに対しては動作しない。

  • すべてのネットワーク トポロジ向けに一般化されていない。 たとえば、2 つの物理的なネットワークに接続している複数のルータなどがこれに該当します。

プロキシ ARP の設定についての詳細は、『IP アドレス指定の設定』の「プロキシ ARP をイネーブルにする」セクションを参照してください。


関連情報


Document ID: 13718