تعطيل ARP للوكيل على واجهات FTD باستخدام FlexConfig

خيارات التنزيل

  • PDF     (492.2 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
تم التحديث:١٦ أبريل ٢٠٢٦
معرّف المستند:225755

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

مسألة

الأجهزة المضيفة على واجهة FTD غير قادرة على إستخدام عناوين IP المعينة بشكل ثابت والإبلاغ عن أخطاء "عنوان IP مكرر" قبل الرجوع إلى عناوين 169.254.x.x. يكشف تحليل التقاط الحزم أنه عندما يرسل المضيف ARP (ARP Probe) مجاني لعنوان IP الخاص به، يستجيب جدار الحماية للمطالبة بملكية عنوان IP هذا، مما يمنع تعيين IP الثابت الناجح.

البيئة

  • Cisco Secure Firewall 2120 الذي يشغل برنامج FTD، الإصدار 7.4.4 (قابل للتطبيق على جميع الإصدارات والطرز)
  • مركز إدارة جدار الحماية الآمن (FMC) من Cisco لإدارة الأجهزة
  • ARP للوكيل تم تمكينه على FTD بشكل افتراضي.

قرار

يتم حل المشكلة عن طريق تعطيل ARP للوكيل على الواجهة المتأثرة باستخدام سياسة FlexConfig التي يتم نشرها من خلال FMC. وهذا يمنع جدار الحماية من الاستجابة لإستبيانات ARP لعناوين IP التي لا يمتلكها بشكل صريح.

1: انتقل إلى قسم FlexConfig في FMC وأنشئ سياسة FlexConfig جديدة لتعطيل ARP للوكيل على الواجهة المحددة. يعد Sysopt_noproxyYarp و Sysopt_noproxy_negate الآخران كائنين افتراضيين في FMC ويمكن نسخهما للاستخدام المخصص. 

Navigate to FlexConfiginline_image_0.png

 2: أضف أمر التكوين إلى برنامج سياسة FlexConfig noproxy IFNAME:

Add Configuration Command to FlexConfig Policyinline_image_1.png

استبدلت IFNAME مع الإسم حقيقي من ك قارن يتأثر.

3: أربط الكائن الجديد بسياسة FlexConfig الخاصة ب FTD ونشره من خلال FMC. يتم تطبيق التكوين لتعطيل سلوك ARP للوكيل على الواجهة المحددة.

Associate New Object to the FlexConfig Policyinline_image_2.png

4: بعد النشر، قم باختبار تعيين IP الثابت على المضيف المتأثر. يجب ألا يكون جدار الحماية قادرا على الاستجابة لمستكشفات ARP لعناوين IP غير المعينة، مما يسمح للمضيفين باستخدام تكوينات IP الثابتة الخاصة بهم بنجاح دون حدوث أخطاء متكررة في عناوين IP.

عندما يكون ذلك ممكنا، فعليك إعتبار تعطيل ARP للوكيل على مستوى قاعدة NAT بدلا من مستوى الواجهة الواسعة لتقليل التأثير غير المقصود على وظائف الشبكة الأخرى. وهذا يوفر تحكم أكثر دقة في سلوك ARP للوكيل.

السبب

تم تمكين بروتوكول تحليل عنوان الوكيل (ARP للوكيل) على واجهة FTD، مما تسبب في قيام جدار الحماية بالاستجابة لإستكشافات ARP لعناوين IP التي لا يمتلكها بشكل صريح. نتج عن هذا السلوك قيام مضيفين باكتشاف حالة عنوان IP مكرر أثناء تعيين العنوان الثابت. كانت وظيفة ARP لوكيل جدار الحماية تستجيب لعنوان MAC الخاص بها عندما قام المضيفون بتنفيذ طلبات ARP المجانية، مما يجعلها تظهر كما لو كان عنوان IP المرغوب قيد الاستخدام بالفعل بواسطة جهاز آخر.

المحتوى ذي الصلة

محفوظات المراجعة

المراجعة تاريخ النشر التعليقات
1.0
17-Apr-2026
الإصدار الأولي
TAC Authored

تمت المساهمة بواسطة مهندسو Cisco

  • إيكو كيروز غارسيا
    مهندس إستشاري تقني

هل كان هذا المستند مفيدًا؟

Feedbackالتعليقات

اتصل بنا

ينطبق هذا المستند على هذه المنتجات