- PR -

冗長構成時のARP代理応答について(不具合では?)

投稿者投稿内容
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-02-07 16:33
こんにちわ。
CiscoのHSRPですか。
仮想MACではなく実MACを使えるようにするコマンドがあったはずです。
biaなんとか、または、なんとかbiaというコマンドだったはず。
実際に使ったことがないので詳細は判りません。
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-02-07 16:56
こんにちわ。
ちょっと調べてみました。
「standby use-bia」というコマンドのようです。
仮想IPにアクティブになっているルータのHSRPが割り振られたインターフェイスの
実MACを返すもののようです。欠点は以下のようになっていました。
1.アクティブルータが故障したときスタンバイルータがアクティブになります。
このとき仮想IPのMACアドレスがアクティブになったルータのMACアドレスに
なります。この時アクティブになったルータはgratuitous ARP 応答を送信する
が、端末側でこれが正常に処理されるか保障されていない。
2.Proxy ARPが使えない。

こんな感じです。
すまいりぃ
会議室デビュー日: 2005/02/03
投稿数: 9
投稿日時: 2005-02-07 17:30
くおんさん、ご丁寧に説明いただき、ありがとうございます。

まずお詫びをしなければなりません。
CISCO機でHSRPを組んでいるのは、今回問題となっているところではない、通常のネットワークにおいてです。"CISCO機はHSRPで冗長構成が取られており、そこでは仮想MACアドレスがARP応答の送信元MACアドレスとなるので、周囲のスイッチはMACアドレスを問題なく学習できる"と書かなければなりませんでした。。。

今回問題となっているのは、富士通製のファイヤウォールなんです。。。
混乱させて本当に申し訳ありません。。。

メーカのSEからは、"このARP代理応答は認められた動作なんです"と言う返答なので、"そのおかげでおかしくなってるんだからなんとかしてください"と言う事を、ARPの規格かなにかと合わせて提示できないかと思うのです。
すまいりぃ
会議室デビュー日: 2005/02/03
投稿数: 9
投稿日時: 2005-02-07 17:30
くおんさん、ご丁寧に説明いただき、ありがとうございます。

まずお詫びをしなければなりません。
CISCO機でHSRPを組んでいるのは、今回問題となっているところではない、通常のネットワークにおいてです。"CISCO機はHSRPで冗長構成が取られており、そこでは仮想MACアドレスがARP応答の送信元MACアドレスとなるので、周囲のスイッチはMACアドレスを問題なく学習できる"と書かなければなりませんでした。。。

今回問題となっているのは、富士通製のファイヤウォールなんです。。。
混乱させて本当に申し訳ありません。。。

メーカのSEからは、"このARP代理応答は認められた動作なんです"と言う返答なので、"そのおかげでおかしくなってるんだからなんとかしてください"と言う事を、ARPの規格かなにかと合わせて提示できないかと思うのです。
champom
会議室デビュー日: 2005/02/08
投稿数: 1
投稿日時: 2005-02-08 02:02
すまいりぃさん

今回の現象を富士通製F/WがVRRPを使って冗長化を行なっているもの仮定して
書きます。
RFC2338(VRRP)では
ftp://ftp.rfc-editor.org/in-notes/rfc2338.txt
8.2 Host ARP Requestsの項目で、下記のように記載されています。
(一部、私の解釈で訳しています。間違っていたらごめんなさい。)

============================================================
ホストが仮想IPアドレスの1つにARPリクエストを送る場合、
マスターとなっている仮想ルータが"仮想MACアドレスを含んだ”
ARP応答を行なわなければなりません。
マスター仮想ルータは、物理的なMACアドレスでARP応答を行なってはいけません。
これにより、どのルータがアクティブなマスタールーターとなっても
クライアントが同じMACアドレスを常に使用することを可能にします。
============================================================
※メーカや各個人におけるRFCの解釈の違いというものは明確に存在しますので
富士通のVRRP解釈がおかしいとは思えません。
実際にRFCにはARP応答のフレームとしての送信元MACアドレスに
仮想MACアドレスを使うのか、それともARP応答フレームのDATA部分の送信元MACアドレスに
仮想MACアドレスを使うのかは明確に記載されていないように見受けられます。
(with the virtual MAC address と書かれていますのでどちらかが不明)

富士通独自のルータ冗長化プロトコルを使っているのかもしれませんし・・。
いずれにしてもルータ冗長化プロトコルとして何を使用しているのかを
一度確認してみては?
それでないと回答者も明確な助言ができないと思いますし。
くおん
大ベテラン
会議室デビュー日: 2004/07/26
投稿数: 154
投稿日時: 2005-02-08 15:38
こんにちわ。
よく読んでいませんでした。すみません。
富士通製のFWですか・・・。
確か、二重化連携機能とかいうもので独自の仕様だったような気がします。
後、RFCは規格としての強制力はないのでこれを盾に文句は言えません。
また、RFCの内容は人によって解釈が違うのでどうとでもなります。
現状どのような問題があってどう困っているのかをまとめ、さらに言えば
採取したパケットを(CiscoのARP応答なんかと対比して)渡すのもいいかもしれません。
SEの対応にらちが明かない場合は別のルート(ホームページの問い合わせなど)を
探したほうがよいかもしれません。
但し、度を過ぎると単なるクレーマーになってしまいますが・・。
naoki
会議室デビュー日: 2003/05/24
投稿数: 1
投稿日時: 2005-02-08 22:38
すまいりぃ さん
FWに仮想IPと仮想MACアドレスを割り当てているんですよね?
とすると、FWの冗長化設定でACTIVE/STANDBYを設定していないのではないでしょうか・・・

>、[ルータ1]か[ルータ2]のどちらかが外部ネットワークへのルータとなってくれれ
>ばいいので、(PC)がどちらにパケットを投げても問題ないのかなと思います
というものではないでしょう。特にFWでは。

あと、「ARP代理応答」というのは「Proxy ARP」に使われると思うので、
今回の場合単にARP応答なのではないでしょうか。
すまいりぃ
会議室デビュー日: 2005/02/03
投稿数: 9
投稿日時: 2005-02-08 23:07
champomさん
おぉぉ。ありがとうございます。VRRPって、ハブにつなげても動くものなんですね。。。今日CISCOのSEの方に相談したら、「多分VRRPなのではないか」と言っていました。
以前住友電工のブルータ(?)で稼動している話を聞いた事があったんですが、そこの環境はFDDIだったので、高価なルータ間で稼動させるもので、その発展(CISCO独自?)なのがHSRPだと思っていました。
業務経験だけできちんとした知識がないとやはり限界がありますね。。。一度時間をかけて冗長化の仕組みについて勉強してみたいと思います。

>※メーカや各個人におけるRFCの解釈の違いというものは明確に存在します
ふむむ。そういうものなのですね。RFCって言うのは法律の様なものだと勝手に思っていたのですがちょっとニュアンスが違うんですね(法律だとしても解釈の違いはありますしね。。。)。

くおんさん
>RFCは規格としての強制力はないのでこれを盾に文句は言えません。
champomさんからも指摘を受け、納得しました。現在困っている事と、パケットを採取して調査した結果CISCOでは問題が出ていないという状況を説明し、対応策を提示いただく様お願いしようと思います。

naokiさん
きちんとした確認も満足にしていない状況での質問に対して返信いただいて恐縮です。単に「冗長化」と言っても本当にいろいろなやり方がるものなのですね。

>というものではないでしょう。特にFWでは。
すみません。。。本当に勉強不足で。。。

スキルアップ/キャリアアップ(JOB@IT)