セキュリティ : Cisco 適応型セキュリティ アプライアンス(ASA)ソフトウェア

ASA に関する FAQ: ASA はなぜサブネット内の他の IP アドレスの ARP 要求に応答するのですか。

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)がネットワークの他の IP アドレスのためのアドレス解決プロトコル (ARP) 要求になぜ応答するかもしれませんかこの資料に記述されています。 ASA は ASA のインターフェイス以外 IP アドレスのための ARP要求に応答します。

ジェイ ジョンソン、Srinivasa Munagala、および Tripat Datta によって貢献される、Cisco TAC エンジニア。

ASA はなぜサブネット内の他の IP アドレスの ARP 要求に応答するのですか。

ASA のネットワーク アドレス変換(NAT) 設定によりそれは ASA のインターフェイス IP アドレス以外 IP アドレスのための ARP要求に応答しますかもしれません。

問題のあるシナリオ例:

10.0.1.x/24 ネットワークで接続されるデバイスがあるイーサネット セグメントを考慮して下さい。 ASA の内部インターフェイスは 10.0.1.1 で当たります。 10.0.1.47 のための ARP要求が 10.0.1.48 から始められる時はいつでも、ASA は自身のインターフェイス ハードウェア アドレスが含まれている ARP応答と答えます。 より詳しい調査は ASA がサブネットの複数の IP アドレスのための要求に答えることを明らかにします。

このような特定の場合には、ASA の NAT 設定により動作を引き起こします。

特定の Nat コマンドにキーワード非プロキシ arp を追加する場合、ASA はそれらの NAT 文で識別されたグローバル IP サブネットのための ARP要求に応答しません。

この例では、これらの Nat コマンドにより ASA は内部インターフェイス ネットワークの 10.0.1.x/24 および 10.0.2.x/24 サブネットのあらゆる ARP要求に応答します。 これらのコマンドは ASA の設定におそらくオーバーラップ NAT シナリオをサポートする追加されました:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0

これらの NAT 設定行に追加されて非プロキシ arp キーワードが ASA はそれらのサブネットのための ARP要求にもはや応答しません。

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 116154