安全 : 思科自适应安全设备 (ASA) 软件

ASA FAQ :对ARP请求的ASA回复在的其他IP地址的为什么分支子网?

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈

简介

本文描述思科可适应安全工具(ASA)为什么也许回答地址解析服务(ARP)要求在网络的其他IP地址。除ASA的接口之外, ASA回答IP地址的ARP请求。

贡献用杰伊约翰斯顿, Srinivasa Munagala和Tripat Datta, Cisco TAC工程师。

对ARP请求的ASA回复在的其他IP地址的为什么分支子网?

除ASA的接口IP地址之外,在ASA的网络地址转换(NAT)配置也许造成它回答IP地址的ARP请求。

示例问题场景:

考虑有附加的设备在10.0.1.x/24网络的一个以太网段。ASA的内部接口寻址在10.0.1.1。每当10.0.1.47的一个ARP请求从10.0.1.48启动,与包含其自己的接口硬件地址的ARP应答的ASA回复。 进一步调查表示对要求的ASA回复在子网的多个IP地址。

对这个特殊情况,在ASA的NAT配置引起行为。

如果添加关键字NO-代理ARP到特定NAT命令, ASA不会回答在那些NAT语句识别的全球IP子网的ARP请求。

在本例中,这些NAT命令造成ASA回答在10.0.1.x/24和10.0.2.x/24子网的所有ARP请求在内部接口网络。这些命令很可能被添加了到ASA的配置支持一个交迭的NAT方案:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0

当NO-代理ARP关键字被添加到这些NAT配置行, ASA不再回答那些子网的ARP请求。

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

相关信息


相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


Document ID: 116154