Segurança : Cisco Adaptive Security Appliance (ASA) Software

ASA FAQ: Por que o ASA responde às requisições ARP para outros endereços IP de Um ou Mais Servidores Cisco ICM NT na sub-rede?

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback

Introdução

Este documento descreve porque a ferramenta de segurança adaptável de Cisco (ASA) pôde responder às requisições de protocolo de resolução de endereço (ARP) para outros endereços IP de Um ou Mais Servidores Cisco ICM NT na rede. O ASA responde às requisições ARP para endereços IP de Um ou Mais Servidores Cisco ICM NT diferentes da relação do ASA.

Contribuído pelo gaio Johnston, Srinivasa Munagala, e Tripat Datta, engenheiros de TAC da Cisco.

Por que o ASA responde às requisições ARP para outros endereços IP de Um ou Mais Servidores Cisco ICM NT na sub-rede?

A configuração do Network Address Translation (NAT) no ASA pôde fazer com que responda às requisições ARP para endereços IP de Um ou Mais Servidores Cisco ICM NT diferentes do endereço IP de Um ou Mais Servidores Cisco ICM NT da relação do ASA.

Cenário do problema do exemplo:

Considere um segmento de Ethernet que tenha os dispositivos anexados na rede 10.0.1.x/24. A interface interna do ASA é endereçada em 10.0.1.1. Sempre que uma requisição ARP para 10.0.1.47 é iniciada de 10.0.1.48, o ASA responde com uma resposta ARP que contenha seu próprio endereço do hardware da relação. As investigações adicionais revelam que o ASA responde aos pedidos para endereços IP de Um ou Mais Servidores Cisco ICM NT múltiplos na sub-rede.

Neste caso específico, a configuração de NAT no ASA causa o comportamento.

Se você adiciona a palavra-chave nenhum-proxy-ARP aos comandos nat específicos, o ASA não responderá às requisições ARP para a sub-rede do IP global identificada naquelas declarações NAT.

Neste exemplo, estes comandos nat fazem com que o ASA responda a toda a requisição ARP nas sub-redes 10.0.1.x/24 e 10.0.2.x/24 na rede da interface interna. Estes comandos foram adicionados provavelmente à configuração do ASA apoiar um cenário NAT de sobreposição:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0

Com a palavra-chave nenhum-proxy-ARP adicionada a estas linhas da configuração de NAT, o ASA já não responde às requisições ARP para aquelas sub-redes.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

Informações Relacionadas



Document ID: 116154