Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

Solicitação de ARP e NDP com um endereço MAC proxy

A partir do Junos OS Release 19.1R1, os dispositivos PE oferecem suporte à substituição de um endereço MAC de origem por um endereço MAC proxy na resposta ARP ou NDP. Quando o dispositivo PE recebe uma solicitação de ARP ou NDP, o dispositivo PE pesquisa o banco de dados de vinculação de endereço MAC-IP e, se houver uma entrada, substitui o endereço MAC de origem pelo endereço MAC proxy na resposta a ARP.

Para redes EVPN com sobreposição de pontes roteadas na borda, você pode habilitar o endereço MAC proxy usando a opção irb . O Junos OS usa o endereço MAC do gateway virtual como endereço MAC proxy em cada dispositivo leaf. Quando o gateway virtual não está configurado, o Junos usa o endereço MAC IRB como endereço MAC proxy no dispositivo leaf.

Se a entrada não for encontrada no banco de dados de vinculação de endereço MAC-IP em uma rede EVPN com pontes roteadas na borda, o endereço MAC e IP de origem na solicitação de ARP serão substituídos pelo MAC proxy e endereço IP da interface IRB e a solicitação de ARP será inundada.

Na ponte roteada na borda, o Junos especifica o endereço MAC proxy usando a seguinte ordem de precedência:

  1. Um endereço MAC de gateway virtual configurado.

  2. Um endereço MAC de gateway virtual derivado automaticamente.

  3. Um endereço MAC IRB configurado.

  4. Endereço MAC atribuído automaticamente com base na interface física quando nem o endereço MAC do gateway virtual nem o endereço MAC IRB estão configurados.

A Figura 1 ilustra como o endereço MAC proxy é aplicado em uma rede EVPN com roteamento de borda. A sequência de eventos para uma solicitação de ARP é a seguinte:

  1. O Host 1 envia a primeira mensagem de solicitação de ARP para localizar o Host 2. A mensagem de solicitação de ARP tem o endereço MAC e IP do host 1 como endereço MAC e IP de origem.

  2. O Dispositivo PE1 recebe a mensagem de solicitação de ARP. Como não há entradas correspondentes em seu banco de dados de vinculação de endereço MAC-IP, o PE1 se apropria da mensagem de solicitação de ARP e substitui o endereço MAC e IP do Host 1 pelo endereço MAC e IP da interface IRB.

  3. O PE2 do dispositivo encaminha a mensagem de solicitação de ARP.

  4. O Host 2 envia a resposta ARP com seu endereço MAC e IP.

  5. O Dispositivo PE2 adiciona uma entrada para o Host 2 ao seu banco de dados de vinculação de endereço MAC-IP e envia uma mensagem de anúncio tipo 2 para Host 2. Quando o PE1 recebe a mensagem EVPN tipo 2, ele adiciona uma entrada para o Host 2 em seu banco de dados de vinculação de endereço MAC-IP.

  6. A ARP solicita 1 vezes e o host 1 envia outra mensagem de solicitação de ARP.

  7. O Dispositivo PE1 recebe a segunda mensagem de solicitação de ARP. Como há uma entrada no banco de dados de vinculação de endereços MAC-IP, ele responde como o proxy ARP com o endereço MAC proxy.

Figura 1: Solicitação de ARP MAC proxy em uma rede EVPN com pontes roteadas na borda Proxy MAC ARP Request in an Edge-Routed Bridging EVPN Network

Para redes EVPN com overlay de ponte roteada centralmente, você atribui um endereço MAC configurado como endereço MAC proxy. O endereço MAC proxy configurado na leaf deve ser o endereço MAC de gateway virtual do IRB no dispositivo spine ou gateway. Quando o endereço MAC do gateway virtual não estiver configurado, configure o endereço MAC proxy para usar o endereço MAC IRB no gateway centralizado.

Se a entrada não for encontrada no banco de dados de vinculação de endereços MAC-IP em uma rede EVPN de ponte roteada centralmente, o MAC de origem é substituído pelo MAC proxy configurado e o endereço IP de origem está definido para 0.0.0.0. na solicitação de ARP. A Figura 2 ilustra como o endereço MAC proxy é aplicado em uma rede EVPN com roteamento centralizado, onde o Host 1 e o Host 2 estão conectados aos dispositivos leaf PE1 e PE2, respectivamente. A sequência de eventos para a solicitação de ARP é a seguinte:

Figura 2: Solicitação de ARP MAC proxy em uma rede EVPN de ponte roteada centralmente Proxy MAC ARP Request in a Centrally-routed Bridging EVPN Network

  1. O Host 1 envia a primeira mensagem de solicitação de ARP para localizar o Host 2. A mensagem de solicitação de ARP tem o endereço MAC e IP do Host 1 como endereço MAC e IP de origem.

  2. O dispositivo Leaf PE1 recebe a mensagem de solicitação de ARP. Como não há entradas correspondentes em seu banco de dados de vinculação de endereço MAC-IP, o PE1 inunda a mensagem de solicitação de ARP e substitui o endereço MAC de origem do Host 1 pelo endereço MAC proxy configurado e um endereço IP de origem para 0.0.0.0.

  3. O dispositivo Leaf PE2 recebe e encaminha a mensagem de solicitação de ARP.

  4. O Host 2 envia a resposta ARP com seu endereço MAC e IP.

  5. O Dispositivo PE2 adiciona uma entrada para o Host 2 ao seu banco de dados de vinculação de endereço MAC-IP e envia uma mensagem de anúncio tipo 2 para Host 2. Quando o PE1 recebe a mensagem EVPN tipo 2, ele adiciona uma entrada para o Host 2 em seu banco de dados de vinculação de endereço MAC-IP.

  6. A ARP solicita 1 vezes e o host 1 envia outra mensagem de solicitação de ARP.

  7. O Dispositivo PE1 recebe a segunda mensagem de solicitação de ARP. Como há uma entrada no banco de dados de vinculação de endereços MAC-IP, ele responde como o proxy ARP com o endereço MAC proxy.

Esse recurso garante que todo o tráfego entre VLAN e intra-VLAN seja encaminhado como tráfego de Camada 3 para o gateway configurado e que o tráfego pode ser roteado.

Para habilitar esse recurso, inclua a proxy-mac (irb | proxy-mac-address) declaração na [edit routing-instances routing-instance-name protocols evpn] hierarquia para o evpn tipo de instância ou na [edit routing-instances routing-instance-name bridge-domains domain_name] hierarquia para o virtual-switch tipo de instância.

Em uma rede EVPN com sobreposição de pontes roteadas na borda onde os dispositivos CE estão conectados diretamente a um dispositivo de gateway L3, configure proxy-mac nos dispositivos de gateway com a opção irb .

Em uma rede EVPN com uma sobreposição de pontes roteada centralmente onde os dispositivos CE são conectados a um dispositivo de gateway L3 por meio de dispositivos leaf apenas de camada 2, configure proxy-mac nos dispositivos leaf com a opção proxy-mac-address de usar o endereço MAC de gateway virtual ou físico na interface IRB centralizada do gateway L3 como endereço MAC.

A seguir, uma configuração de amostra para domínio de ponte com suporte para o MAC proxy para uma rede EVPN com pontes roteadas na borda.

Benefícios de usar um gateway virtual ou endereço MAC IRB em uma solicitação de ARP

Com esse recurso, todo o tráfego entre VLAN e intra-VLAN para todas as instâncias de roteamento configuradas será roteado para uma interface IRB. Isso permite o seguinte:

  • Comunicação entre VLANs privadas.

  • Filtragem de segurança de camada 3 no gateway para tráfego intra-VLAN e inter-VLAN.

  • Privacidade do endereço MAC. O host não aprende os endereços MAC de outros hosts.

Documentação relacionada