Deaktivieren von Proxy-ARP an FTD-Schnittstellen mithilfe von FlexConfig

Download-Optionen

  • PDF     (489.6 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (312.6 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (335.2 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:16. April 2026
Dokument-ID:225755

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Problem

Hosts auf einer FTD-Schnittstelle können statisch zugewiesene IP-Adressen nicht verwenden und Fehler bei "doppelten IP-Adressen" melden, bevor sie auf 169.254.x.x-Adressen zurückgreifen. Die Paketerfassungsanalyse zeigt, dass die Firewall, wenn der Host einen überflüssigen ARP (ARP-Test) für seine eigene IP-Adresse sendet, reagiert und den Besitz dieser IP-Adresse beansprucht, wodurch eine erfolgreiche statische IP-Zuweisung verhindert wird.

Umwelt

  • Cisco Secure Firewall 2120 mit FTD-Software, Version 7.4.4 (für alle Versionen und Modelle)
  • Cisco Secure Firewall Management Center (FMC) für das Gerätemanagement
  • Proxy-ARP ist auf FTD standardmäßig aktiviert.

Auflösung

Das Problem wird behoben, indem der Proxy-ARP auf der betroffenen Schnittstelle mithilfe einer FlexConfig-Richtlinie deaktiviert wird, die über FMC bereitgestellt wird. Dadurch wird verhindert, dass die Firewall auf ARP-Tests für IP-Adressen reagiert, die ihr nicht explizit gehören.

1: Navigieren Sie zum Abschnitt "FlexConfig" in FMC, und erstellen Sie eine neue FlexConfig-Richtlinie, um das Proxy-ARP auf der spezifischen Schnittstelle zu deaktivieren. Sysopt_noproxyarp und das negierende Sysopt_noproxyarp_negate sind Standardobjekte im FMC und können für die benutzerdefinierte Verwendung geklont werden. 

Navigate to FlexConfiginline_image_0,png

 2: Fügen Sie den Konfigurationsbefehl der FlexConfig-Richtlinie sysopt noproxyarp IFNAME hinzu:

Add Configuration Command to FlexConfig Policyinline_image_1.png

Ersetzen Sie IFNAME durch den tatsächlichen Namen der betroffenen Schnittstelle.

3: Ordnen Sie das neue Objekt der FlexConfig-Richtlinie des FTD zu, und stellen Sie es über FMC bereit. Die Konfiguration wird angewendet, um das Proxy-ARP-Verhalten auf der angegebenen Schnittstelle zu deaktivieren.

Associate New Object to the FlexConfig Policyinline_image_2.png

4: Testen Sie nach der Bereitstellung die statische IP-Zuweisung auf dem betroffenen Host. Die Firewall darf nicht mehr auf ARP-Tests für nicht zugewiesene IP-Adressen reagieren, sodass Hosts ihre statischen IP-Konfigurationen ohne Fehler bei doppelten IP-Adressen erfolgreich verwenden können.

Wenn zutreffend, sollten Sie das Proxy-ARP auf NAT-Regelebene und nicht auf der gesamten Schnittstelle deaktivieren, um unbeabsichtigte Auswirkungen auf andere Netzwerkfunktionen zu minimieren. Dies ermöglicht eine detailliertere Kontrolle des Proxy-ARP-Verhaltens.

Ursache

Das Proxy Address Resolution Protocol (Proxy ARP) wurde auf der FTD-Schnittstelle aktiviert, wodurch die Firewall auf ARP-Tests für IP-Adressen reagierte, die ihr nicht explizit gehörten. Dieses Verhalten führte dazu, dass Hosts während der Zuweisung statischer Adressen eine doppelte IP-Adressbedingung erkannten. Die Firewall-Proxy-ARP-Funktion reagierte mit ihrer eigenen MAC-Adresse, wenn Hosts überflüssige ARP-Anfragen durchführten, sodass es so aussah, als ob die gewünschte IP-Adresse bereits von einem anderen Gerät verwendet wurde.

Verwandte Inhalte

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
17-Apr-2026
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Echo Quiroz-Garcia
    Technischer Berater

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.