IPsec使用時の宛先MACアドレスについて

Fujiwara.Tomoya · ‎2016-09-14

下記NW構成においての質問です。

質問

　(1) RBから下記コマンドにてpingが通るのはなぜでしょうか

　　　→ ping 192.168.10.10 source fa0

内容

　・・・下記NW構成にて実施するとpingが通るのですが，私としてはRAにて

　　　ip proxy arpを有効にしていないため，RBは192.168.10.10のMACを

　　　学習することができず，pingが失敗になると考えています。

　　　しかしRBのGE8にてパケットキャプチャをすると，192.168.10.10のARPではなく

　　　1.1.1.1のARPをした後にpingを送って疎通できています。

　　　色々調べてみたのですが理由がわかりませんでした。

　　　どなたかお力添え，いただけないでしょうか。

　　　よろしくお願い致します。

NW構成

RA---------------RB

※Cisco891FJ使用。各GE8を直接UTPケーブルにて接続。

　　FE0は別ルータに接続しlink up済み。

Akira Muranaka · ‎2017-01-14

フジワラさん、こんばんわ。確認が遅れました。。。

RBの設定を拝見しましたが、192.168.10.0/24のネットワークには所属してないように思います。

ARPで名前解決を行い通信をするのは、自分が所属しているセグメント内のIPアドレス宛のみです。つまり、RBの設定の場合、ARPを使ってMACアドレスを調べる必要があるのは、192.168.20.0/24もしくは 1.1.1.0/24内のIPアドレス宛の通信のみです。

RBからみると、192.168.10.0/24は知らないネットワークですので、ARPを使ってMACアドレスを知る必要はありません。デフォルトゲートウェイのARP解決ができれば、あとはデフォルトゲートウェイにパケットを投げて、その先の機器にルーティングはお願いできます。パケットは経路機器でルーティングされ、宛先に届けられます。そして、そのネットワーク(今回は192.168.10.0/24)に所属しているルータが、ARP解決を行いMACアドレスを調査し、その対向機器のMACアドレス宛にパケットを届けます。

・・・という流れなのかなぁと思いました。