Seguridad : Software Cisco Adaptive Security Appliance (ASA)

ASA FAQ: ¿Por qué el ASA contesta a los pedidos ARP para otros IP Addresses en la subred?

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe porqué el dispositivo de seguridad adaptante de Cisco (ASA) pudo responder a las peticiones de Address Resolution Protocol (ARP) para otros IP Addresses en la red. El ASA responde a los pedidos ARP para los IP Addresses con excepción de la interfaz ASA.

Contribuido por Jay Johnston, Srinivasa Munagala, y Tripat Datta, ingenieros de Cisco TAC.

¿Por qué el ASA contesta a los pedidos ARP para otros IP Addresses en la subred?

La configuración del Network Address Translation (NAT) en el ASA pudo hacerlo responder a los pedidos ARP para los IP Addresses con excepción de la dirección IP de la interfaz ASA.

Recreación de un problema del ejemplo:

Considere un segmento Ethernet que tenga dispositivos asociados en la red 10.0.1.x/24. La interfaz interior ASA se dirige en 10.0.1.1. Siempre que un pedido ARP para 10.0.1.47 se inicie de 10.0.1.48, el ASA contesta con una respuesta ARP que contenga a su propia dirección de hardware de la interfaz. La investigación adicional revela que el ASA contesta a los pedidos los IP Addresses múltiples en la subred.

En este caso específico, la configuración del NAT en el ASA causa el comportamiento.

Si usted agrega la palabra clave ninguno-proxy-ARP a los comandos nat específicos, el ASA no responderá a los pedidos ARP para la subred del IP global identificada en esas sentencias NAT.

En este ejemplo, estos comandos nat hacen el ASA responder a cualquier pedido ARP en las subredes 10.0.1.x/24 y 10.0.2.x/24 en la red de la interfaz interior. Estos comandos fueron agregados probablemente a la configuración ASA de soportar un escenario NAT que solapaba:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0

Con la palabra clave ninguno-proxy-ARP agregada a estas líneas de la configuración del NAT, el ASA responde no más a los pedidos ARP para esas subredes.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

Información Relacionada



Document ID: 116154