【自宅ラボのススメ】

自宅ラボのススメ

 

Proxy ARPの概念

Proxy ARPとは、ARPの代理応答をしてくれる機能ことです。と、突然言われてもわかりませんよね。ですので、1つずつ分割して考えてみましょう。

 

 

Proxyとは

よくWEBアクセスする際に使用されるのに、プロキシサーバというのがあります。各パソコンやタブレットが直接WEBアクセスすると端末の情報が流れてしまったり、ウィルス感染するリスクが高まったりしてしまうので、プロキシサーバというものを設置し、そのサーバにWEB情報を取ってきてもらうことができます。そうすることで、セキュリティを高めるポイントを1箇所にまとめてしまうのです。100台のパソコンを脅威から守るよりも、1台のプロキシサーバを守る方が楽ですよね？このように複数台のパソコンやタブレットからの通信を一挙にまとめて代理通信させるような機能のことを「プロキシ」と言います。

 

 

ARPとは

ARPとは、以前の授業でも教えましたが、IPアドレスとMACアドレスを紐付ける機能のことを言います。例えば、以下の構成で、『10.10.100.1』というIPアドレスを持つパソコンと通信したい場合、それに紐付くMACアドレスをルータ2は、探し出す必要があります。そうすると、『10.10.100.0/24』に属しているVlan10に「『10.10.100.1』のアドレスを持っている方いませんかー？」と、問い合わせをします。そこで、IPアドレスを持っている『パソコンB』は、「僕だよー！」って言いながら自分のMACアドレス『CC-CC-CC-CC-CC-CC』を回答するのです。このような動作をするプロトコルのことをARPと言います。

 

 

忘れてしまった方は、こちらで再度勉強してみてください。

MACアドレスとIPアドレスの違い

 

Proxy ARPとは

この『Proxy』と『ARP』を組み合わせてみるとなんとなく見えてくるかもしれませんね。『Proxy ARP』とは、ARP問い合わせに対する代理応答をする機能なのです！！って言われても、まだイマイチですね。なかなか言葉だけで解説していても、なかなか伝わらないと思うので、図で解説していこうと思います。自宅ラボがある方は実際に組んでみると、もっとわかりやすくなるのでやってみてください。

 

 

お勉強構成

それでは、Proxy ARPを以下のような構成で勉強してみたいと思います。

 

 

 

事前設定

それでは、事前設定をしていきます。Proxy ARPの勉強が出来ればいいので難しい設定はせずに、ルーティングはスタティックルートにしたいと思います。

 

インターフェイス設定

まずは、インターフェイス設定からですね。お勉強構成を確認しながら設定していきましょう。（今回は、わざとProxy ARPの設定を無効にしています。）

 

【RT1】

RT1(config)#interface Loopback0

RT1(config-if)#ip address 10.1.1.1 255.255.255.255

RT1(config-if)#interface FastEthernet0

RT1(config-if)#ip address 10.10.1.1 255.255.255.0

 

【RT2】

RT2(config)#interface FastEthernet0

RT2(config-if)#ip address 10.10.1.2 255.255.255.0

RT2(config-if)#interface Vlan10

RT2(config-if)#ip address 10.10.100.254 255.255.255.0

RT2(config-if)#no ip proxy-arp

RT2(config-if)#interface FastEthernet2

RT2(config-if)#switchport access vlan 10

 

ルーティング設定

続いてルーティング設定に入ります。スタティックで設定していきたいと思いますので、以下の感じで設定してみてください。

 

【RT1】

RT1(config)#ip route 10.10.100.0 255.255.255.0 10.10.1.2

 

【RT2】

RT2(config)#ip route 0.0.0.0 0.0.0.0 10.10.1.1

 

ルーティング確認

それでは、一応、ルーティングテーブルを確認しておきましょう。コネクトルートとスタティックルートだけなので、すごいシンプルに見えるかと思います。

 

【RT1】

RT1#show ip route

10.0.0.0/8 is variably subnetted, 3 subnets, 2 masks
C 10.1.1.1/32 is directly connected, Loopback0
C 10.10.1.0/24 is directly connected, FastEthernet0
S 10.10.100.0/24 [1/0] via 10.10.1.2

 

【RT2】

RT2#show ip route

10.0.0.0/8 is variably subnetted, 1 subnets, 1 masks
C 10.10.1.0/24 is directly connected, FastEthernet0
S* 0.0.0.0/0 [1/0] via 10.10.1.1

 

疎通試験

この状態でパソコンから疎通試験を実施してみましょう。当然ですが、通信が出来るようになっているはずです。

 

【Ping結果】

C:\Users\bell>ping 10.1.1.1

10.1.1.1 に ping を送信しています 32 バイトのデータ:
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254

10.1.1.1 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 1ms、最大 = 1ms、平均 = 1ms

 

デフォルトゲートウェイの設定誤り

それでは、パソコンでデフォルトゲートウェイの設定を間違ってみたらどうなるでしょうか？以下のようにパソコンの設定を変更してみてください。

 

 

すると、以下のような結果になっていたら、想定通りです。「当たり前じゃん！」と思われるかもしれませんが、これをパソコンの設定を変えずに解消する方法があるんです。

 

【Ping結果】

C:\Users\bell>ping 10.1.1.1

10.1.1.1 に ping を送信しています 32 バイトのデータ:
10.10.100.1 からの応答: 宛先ホストに到達できません。
10.10.100.1 からの応答: 宛先ホストに到達できません。
10.10.100.1 からの応答: 宛先ホストに到達できません。
10.10.100.1 からの応答: 宛先ホストに到達できません。

10.1.1.1 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、

 

Proxy ARP投入

それでは、設定変更をしていきたいと思います。変更対象機器は、ルータ2になります。

 

【RT2】

RT2(config)#interface Vlan10

RT2(config-if)#ip proxy-arp

 

たったこれだけです。「そんなはずないよ〜」と思われる方は、是非試してもらいたいです。きっと先程と同じこんな結果になるはずです。

 

C:\Users\bell>ping 10.1.1.1

10.1.1.1 に ping を送信しています 32 バイトのデータ:
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254
10.1.1.1 からの応答: バイト数 =32 時間 =1ms TTL=254

10.1.1.1 の ping 統計:
パケット数: 送信 = 4、受信 = 4、損失 = 0 (0% の損失)、
ラウンド トリップの概算時間 (ミリ秒):
最小 = 1ms、最大 = 1ms、平均 = 1ms

 

ARPテーブルの確認

僕はwindowsを使っているので、コマンドプロンプトを立ち上げて『arp -a』と入力すると以下のようなARPテーブルが表示されるはずです。（MACアドレスは、変更しています。）

 

C:\Users\bell>arp -a

10.10.10.254 bb-bb-bb-bb-bb-bb 動的

10.10.100.254 bb-bb-bb-bb-bb-bb 動的

 

これでもわかるように、先程誤って設定してしまったデフォルトゲートウェイ『10.10.10.254』と、本当のデフォルトゲートウェイ『10.10.100.254』が同じMACアドレス（bb-bb-bb-bb-bb-bb）になっていることがわかりますね。このようになるのは、ルータ2に『ip proxy-arp』が有効になっていることと、実際に『10.10.100.254』宛のルートを持っていることが条件になります。今回は、ルータ2でデフォルトルートをルータ1向けに設定しましたよね？これがあるため、デフォルトゲートウェイの設定が間違っていても通信が可能になるのです。

 

Proxy ARPの危険性

ここまでくると、「じゃあ、とりあえずProxy ARP入れておけばいいじゃん！」って思われるかもしれませんが、そんなことはないんです。デフォルトルートを持っている機器で、Proxy ARPを有効にしてしまうと、すべての通信に対してARP応答しようとしてしまいます。そうなると、ARPテーブルは肥大化してしまい、無駄にリソースを消費してしまうことになります。

 

しかし、Cisco機器ではデフォルトでProxy ARPが有効になっているため、Configに表示されない場合があります。そこで機器を別のメーカー機器に更改すると、無効化されてしまいデフォルトゲートウェイを誤っていても通信できていたパソコンが使えなくなってしまうようなことがよくあります。ネットワークエンジニアとしては端末のアドレス設定なんて見れないことが多いので、よくはまる落とし穴にとなります。そんなことがないように、機器の更改などを行う際は、よく確認するようにしましょう。

 

まとめ

 

【ノンエンジニアのための社内ネットワーク施工・構築ガイド】

ノンエンジニアのための社内ネットワーク施工・構築ガイド 20~40人規模のLAN環境を自分で作ろう (Do IT Yourself) 新品価格 ￥2,808から (2018/9/20 22:12時点)

【マスタリングTCP／IP　入門編】

マスタリングTCP/IP 入門編 第5版 新品価格 ￥2,376から (2018/9/20 22:13時点)

【インフラ／ネットワークエンジニアのためのネットワーク技術&設計入門】

インフラ/ネットワークエンジニアのためのネットワーク技術&設計入門 新品価格 ￥3,218から (2018/9/20 22:13時点)