Безопасность : программное обеспечение для адаптивных устройств обеспечения безопасности Cisco ASA

Часто задаваемые вопросы ASA: Почему ASA отвечает на запросы ARP для других IP-адресов в подсети?

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает, почему устройство адаптивной защиты Cisco (ASA) могло бы ответить на Запросы протокола переопределения адресов (ARP) для других IP-адресов в сети. ASA отвечает на запросы ARP для IP-адресов кроме интерфейса ASA.

Внесенный Джеем Джонстоном, Srinivasa Munagala, и Трипэтом Даттой, специалистами службы технической поддержки Cisco.

Почему ASA отвечает на запросы ARP для других IP-адресов в подсети?

Конфигурация Технологии NAT на ASA могла бы заставить его отвечать на запросы ARP для IP-адресов кроме IP-адреса интерфейса ASA.

Сценарий проблемы в качестве примера:

Рассмотрите Сегмент Ethernet, которому подключили устройства в 10.0.1.x/24 сети. Внутренний интерфейс ASA обращен в 10.0.1.1. Каждый раз, когда запрос ARP для 10.0.1.47 инициируется от 10.0.1.48, ответы ASA с ответом ARP, который содержит его собственный адрес интерфейсного оборудования. Дополнительное исследование показывает, что ASA отвечает на запросы о несколько IP - адресовах в подсети.

В этом конкретном случае конфигурация NAT на ASA вызывает поведение.

Если вы добавите ключевое слово, без Proxy-arp к определенным командам NAT, то ASA не ответит на запросы ARP для подсети глобального IP - адреса, определенной в тех выражениях NAT.

В данном примере эти команды NAT заставляют ASA отвечать на любой запрос ARP в 10.0.1.x/24 и 10.0.2.x/24 подсетях в сети внутреннего интерфейса. Эти команды были, вероятно, добавлены к конфигурации ASA для поддержки перекрывающегося сценария NAT:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0

С ключевым словом без Proxy-arp, добавленным к этим линиям конфигурации NAT, ASA больше не отвечает на запросы ARP для тех подсетей.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

Дополнительные сведения


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.