Proxy ARP se definió por primera vez en 1987 en la RFC 1027 “Using ARP to Implement Transparent Subnet Gateways”. Básicamente el PROXY ARP es una funcionalidad que se puede configurar en casi todos los dispositivos de networking: switches y routers de Capa 3. Permite que un switch o router configurado como Proxy ARP responda a peticiones ARP que no va dirigidas a él, pero este cede su dirección MAC para que se enruten a través de él.
Y os preguntareis como el PROXY ARP puede ayudarme. ¿Qué usos le puedo dar? Vamos a ver unos ejemplos.
Proxy ARP para migraciones
Imaginad una empresa que va a realizar el traslado de todo su personal y equipamiento a una nueva ubicación, pero este traslado va a producirse de una forma gradual. Primero se van a trasladar unos departamentos, después otros y así hasta que todo el mundo se haya trasladado. El negocio de la empresa es 24×7 y no podemos cortar el servicio por mucho tiempo. Además, el direccionamiento IP de la empresa debe ser el mismo en ambas ubicaciones ya que desde dirección se ha tomado la decisión de no cambiar los direccionamientos IP. Todo este problema se le plantea el departamento técnico que tiene dar una solución que garantice la continuidad del negocio durante el traslado.
Aquí es donde entra en juego el PROXY ARP porque nos va a resolver el problema planteado. Veamos el ejemplo. El direccionamiento de la empresa es el 192.168.1.0/24 por una mala gestión del espacio de direcciones las ips de los servidores están salteadas (192.168.1.10, 192.168.1.21, 192.168.1.50, etc.). La mayor parte de la empresa ya se ha trasladado a la nueva ubicación y por sorprendente que parezca todo sigue funcionando. El PROXY ARP ha sido el encargado.
El cliente dispone de una red privada en la red de un proveedor de servicios y tiene conectividad entre ambas sedes. En los 2 extremos se ha configurado el Proxy ARP y se han enrutado las redes con las siguientes particularidades. La sede donde están los servidores (SEDE A) anuncia por la red del proveedor las ips de los servidores en formato /32 y la sede donde ya esta la gente trasladada (SEDE B) publica por ejemplo dos /25. Imaginemos un caso concreto. El usuario de la SEDE B con IP 192.168.1.65 quiere comunicarse con un servidor de la SEDE A con IP 192.168.1.10. Ambas sedes están configuradas con el direccionamiento 192.168.1.0/24 y puerta de enlace 192.168.1.1. ¿Cómo es posible la comunicación entre ambos extremos? El usuario de la SEDE B envía la petición ARP para encontrar la dirección MAC de la IP 192.168.1.10. En una red configurada sin proxy ARP esta petición se perdería y el usuario no podría llegar a los servidores. Pero en una red configurada con proxy ARP la respuesta a esta petición la realiza el equipo configurado como proxy ARP. Le “cede” a la dirección 192.168.1.10 su dirección MAC como respuesta a la petición del usuario. Ya que sabe por su tabla de rutas que la dirección 192.168.1.10/32 la está recibiendo por la WAN. De esta forma el usuario con la IP 192.168.1.64 envía el tráfico hacia la dirección 192.168.1.10 usando la MAC del proxy ARP. Lo mismo ocurre en sentido contrario cuando el servidor se quiere comunicar con el usuario. El equipo configurado en la LAN de la sede A como proxy ARP cede su MAC para comunicarse con el usuario a través de la WAN.
Con la solución de Proxy ARP hemos encontrado la forma de evitar problemas durante los traslados del personal minimizando el tiempo de corte de servicio.
Proxy ARP para operadoras
Otra de las aplicaciones del Proxy ARP es la de reducir los direccionamientos IP de gestión en entornos de operador. Los operadores muchas veces ofrecen servicios gestionados a través de su red que necesitan de direccionamiento IP. El direccionamiento de gestión en una red de operador tiene que ser minimizado ya que puede interferir con direccionamiento que se use por los clientes. El proxy ARP ayuda a reducir esta necesidad de direccionamiento. Usemos un caso concreto imaginemos que tenemos un servicio gestionado de centralitas. En cada cliente se instala una centralita o call manager. Con el uso de proxy ARP podemos llegar a tener todas las centralitas comunicadas con solo un direccionamiento. En la LAN del cliente se configuraría todo el direccionamiento por ejemplo 172.16.0.0/16 pero solo publicaríamos/anunciaríamos en la red del proveedor la ip de la centralita 172.16.1.1/32 por ejemplo. Por supuesto activando el proxy ARP.
No todo son ventajas a la hora de utilizar el Proxy ARP ya que hay que tener en cuenta que si se hace un mal uso puede enmascarar o crear otro tipo de problemas. Entre los más comunes se encuentran:
- Aumenta el tráfico ARP en la LAN
- Se puede crear un ataque por ARP spoofing
- Se puede enmascarar una mala configuración de la puerta de enlace
- Puede ser utilizado para realizar un ataque de DDoS
Proxy ARP para Cisco y Juniper
La configuración en los equipos es muy sencilla ya que por ejemplo en los switches y routers Cisco solo hay que activar en el interfaz el comando
ip proxy-arp
Sin embargo para los switches y routers Juniper un ejemplo de configuración seria
set interfaces ge-0/0/3 unit 0 proxy-arp restricted
La solución Proxy ARP está disponible para casi todos los equipos networking de capa 3 de principales marcas como Cisco, Juniper, Arista, HP entre otras.
Si tienes dudas respecto al uso de Proxy ARP, ponte en contacto con nosotros y te las resolveremos.
