PROXY-ARP DALAM PRAKTIK: APA, MENGAPA, DAN BAGAIMANA

-

 

PROXY-ARP DALAM PRAKTIK: APA, MENGAPA, DAN BAGAIMANA (STUDI KASUS R-PE – R-CE – R-DIS)

Ringkasan

Proxy-ARP membuat router menjawab ARP request atas nama IP yang sebenarnya berada di belakangnya. Pada topologi R-PE – R-CE – R-DIS, fitur ini memungkinkan perangkat ISP (R-PE) mencapai IP di downstream (R-DIS) tanpa ISP menambahkan route khusus, meskipun prefix di kedua sisi tidak seragam.

Topologi dan Alokasi IP (sesuai lab)

Catatan penting:

  • Di R-PE, interface ke CE memakai /29 sehingga alamat 103.0.0.6 dianggap “sejaringan” dan akan di-ARP.
  • Di R-CE, uplink ke PE memakai /30. Ketidaksamaan prefix inilah yang membuat Proxy-ARP di R-CE menjadi kunci.

 

 

Mekanisme Kerja (alur paket nyata di lab)

  1. R-PE butuh mengirim paket ke 103.0.0.6 (R-DIS). Karena interface e0/0 bertopeng /29, R-PE mengira 103.0.0.6 ada di segmen yang sama => kirim ARP request: “Siapa 103.0.0.6?”
  2. R-CE (e0/0, uplink) menjawab ARP tersebut (Proxy-ARP) dengan MAC-nya sendiri: “Saya.”
  3. R-PE mengirim frame ke MAC R-CE.
  4. R-CE melakukan routing ke arah R-DIS (e0/1 => 103.0.0.6/30).
  5. R-DIS merespons; balikan paket kembali ke R-PE melalui R-CE.

Hasil pengujian: dari R-PE menjalankan ping 103.0.0.6 source 1.1.1.1 repeat 1000 => sukses 100%. Ini memvalidasi bahwa ARP-proxy di R-CE bekerja dan forwarding IP berfungsi end-to-end.

 

Kenapa Proxy-ARP dipakai pada skenario ini?

  • Prefix mismatch yang disengaja: R-PE melihat /29, R-CE/R-DIS memakai /30. Tanpa Proxy-ARP, R-PE takkan tahu MAC untuk 103.0.0.6.
  • Zero-touch di sisi ISP: ISP tidak perlu menambah static route untuk blok IP downstream cukup mengandalkan ARP di segmen uplink.
  • Sederhana untuk proof-of-concept atau jaringan kecil: cepat dibangun, mudah dibuktikan (seperti ping test di atas).

 

Kapan teknik ini tepat dan kapan tidak?

Tepat untuk:

  • Lab, POC, atau site kecil yang butuh “jalan cepat” agar IP downstream dapat dijangkau dari sisi ISP.
  • Situasi ketika koordinasi routing dengan ISP belum tersedia.

Kurang tepat untuk:

  • Skala besar/produksi dengan banyak host: beban ARP meningkat, observabilitas menurun.
  • Lingkungan yang butuh akuntabilitas dan isolasi kuat antar-klien.

 

Risiko keamanan (versi singkat dan jelas)

  • ARP spoofing/MITM: pihak nakal dapat berpura-pura menjadi IP lain di domain L2 yang sama.
  • ARP flood → beban CPU: banyak ARP request berarti banyak jawaban dari CE.
  • Forensik lebih sulit: dari mata ISP, semua IP terlihat “menempel” di CE menyulitkan pelacakan pelaku jika ada abuse.

Mitigasi ringkas:

  • Aktifkan Proxy-ARP hanya di uplink R-CE → R-PE.
  • Isolasi L2 untuk sisi downstream; gunakan DHCP Snooping/DAI (Cisco) atau bridge ARP filter (MikroTik) bila relevan.
  • Pantau tabel ARP (anomali/gratuitous ARP), dan batasi broadcast/storm di switch akses.

 

Konfigurasi minimal (mengacu topologi)

Cisco – R-CE

! Uplink ke R-PE

interface e0/0

 ip address 103.0.0.2 255.255.255.252

 ip proxy-arp

 no shutdown

 

! Downlink ke R-DIS

interface e0/1

 ip address 103.0.0.5 255.255.255.252

 no shutdown

Sorotan: proxy-arp hanya di uplink. Downlink cukup IP biasa.

 

Alternatif yang lebih “bersih” (untuk produksi)

  • Routed handoff dari ISP: ISP melakukan routing blok yang berisi 103.0.0.6 ke next-hop 103.0.0.2 (R-CE). Dengan begitu, Proxy-ARP tidak diperlukan.
  • PPPoE (bila multi-klien): autentikasi per pengguna, alokasi IP terukur, dan akuntabilitas lebih baik.
  • Tunneling/VLAN dedicated: isolasi broadcast domain dan kontrol topologi yang lebih presisi.

 

Kesimpulan

Pada topologi R-PE – R-CE – R-DIS di atas, Proxy-ARP memungkinkan R-PE menjangkau 103.0.0.6 di belakang R-CE meskipun ada perbedaan prefix. Ia bekerja dengan membuat R-CE menjawab ARP atas nama host downstream, lalu melakukan routing biasa ke R-DIS.

Teknik ini praktis dan efektif untuk lab atau skenario terbatas. Untuk lingkungan produksi berskala besar, pertimbangkan routed handoff atau pendekatan yang memberikan isolasi dan akuntabilitas lebih baik. Intinya: pahami apa yang dilakukan Proxy-ARP, mengapa ia dipakai, lalu terapkan bagaimana-nya dengan disiplin batasan dan kontrol keamanan.

 

Komentar

Posting Komentar

Postingan populer dari blog ini

Upgrade Cisco AP C9105AXI-F dari CAPWAP ke EWC (Cisco Embedded Wireless Controller)

-
Upgrade Cisco AP C9105AXI-F dari CAPWAP ke EWC (Cisco Embedded Wireless Controller) Diterbitkan oleh: Dimas Kurniawan Tanggal: 24/07/2025 Pendahuluan Dalam beberapa deployment, kita sering menjumpai Access Point (AP) Cisco seri C9105AXI-F yang secara default berjalan dalam mode CAPWAP Lightweight dengan image versi 8.x, alias firmware lawas. Di versi ini, AP biasanya terkoneksi ke Mobility Express WLC , yang notabene sudah deprecated dan tidak lagi dikembangkan Cisco sejak diperkenalkannya platform Cisco Embedded Wireless Controller (EWC) di versi IOS-XE 17.x. Nah, pada tulisan ini, gue mau bagiin pengalaman pribadi dalam proses: Upgrade image AP dari versi 8 ke 17 Migrasi dari mode CAPWAP ke mode EWC Mengatasi error curl: (23) Error transfer command failed (Error 23) Yuk langsung ke teknisnya!
Baca selengkapnya

CARA INSTALL PNETLAB

-
Bismillah... pada tulisan kali ini sesuai judul kita akan menginstall pnetlab, nah sebelumnya kita bahas dahulu apa itu pnetlab. Jadi Pnetlab ini adalah salah satu aplikasi simulator jaringan, buat temen-temen yang ingin belajar jaringan gak perlu pake real device, jadi cukup pakai aplikasi simulator aja nih.... nah salah satunya itu adalah pnetlab. Pnetlab base on Ubuntu jadi kita untuk mendeploynya harus menggunakan aplikasi hypervisor seperti Virtual Box atau VMware. oke langsung aja ke langkah-langkah cara install PNetLab: Download File Pnetlab di  https://pnetlab.com/pages/download Download dan install VMware Deploy Pnetlab di VMware Ikuti saja stepnya dan initial confignya dan kita harus update reponya di /etc/apt/sources.list tambahkan repo berikut :  deb [trusted=yes] https://pnetlab.labhub.eu.org ./ install ishare2, caranya ketik wget -O /usr/sbin/ishare2 https://raw.githubusercontent.com/ishare2-org/ishare2-cli/main/ishare2 && chmod +x /usr/sbin/ishare2 ...
Baca selengkapnya