Sécurité : Logiciel Cisco Adaptive Security Appliance (ASA)

FOIRE AUX QUESTIONS ASA : Pourquoi l'ASA répond-elle aux demandes d'ARP d'autres adresses IP dans le sous-réseau ?

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires

Introduction

Ce document décrit pourquoi l'appliance de sécurité adaptable Cisco (ASA) pourrait répondre aux demandes de Protocole ARP (Address Resolution Protocol) d'autres adresses IP sur le réseau. L'ASA répond aux demandes d'ARP des adresses IP autres que l'interface de l'ASA.

Contribué par geai Johnston, Srinivasa Munagala, et Tripat Datta, ingénieurs TAC Cisco.

Pourquoi l'ASA répond-elle aux demandes d'ARP d'autres adresses IP dans le sous-réseau ?

La configuration de Traduction d'adresses de réseau (NAT) sur l'ASA pourrait la faire répondre aux demandes d'ARP des adresses IP autres que l'adresse IP de l'interface de l'ASA.

Scénario de problème d'exemple :

Considérez un segment d'Ethernets qui a des périphériques reliés dans le réseau 10.0.1.x/24. L'interface interne de l'ASA est adressée chez 10.0.1.1. Toutes les fois qu'une demande d'ARP de 10.0.1.47 est initiée de 10.0.1.48, les réponses ASA avec un ARP répondent qui contient sa propre adresse de matériel d'interface. Les recherches plus approfondies indiquent que l'ASA répond aux demandes de plusieurs adresses IP dans le sous-réseau.

Dans ce cas spécifique, la configuration NAT sur l'ASA entraîne le comportement.

Si vous ajoutez le NO--proxy-ARP de mot clé aux commandes NAT spécifiques, l'ASA ne répondra pas aux demandes d'ARP de l'IP de sous-réseau global identifié dans ces déclarations NAT.

Dans cet exemple, ces commandes NAT font répondre l'ASA à n'importe quelle demande d'ARP dans les sous-réseaux 10.0.1.x/24 et 10.0.2.x/24 sur le réseau d'interface interne. Ces commandes ont été probablement ajoutées à la configuration de l'ASA de prendre en charge un scénario NAT superposant :

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0

Le mot clé de NO--proxy-ARP étant ajouté à ces lignes NAT de configuration, l'ASA ne répond plus aux demandes d'ARP de ces sous-réseaux.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

Informations connexes


Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Document ID: 116154