FlexConfigを使用したFTDインターフェイスでのプロキシARPの無効化

お問い合わせ内容

FTDインターフェイス上のホストは、169.254.x.xアドレスにフォールバックする前に、静的に割り当てられたIPアドレスを使用できず、「重複IPアドレス」エラーを報告します。 パケットキャプチャの分析により、ホストが自分のIPアドレスのgratuitous ARP（ARPプローブ）を送信すると、ファイアウォールがそのIPアドレスの所有権を主張して応答するため、スタティックIP割り当てが正常に行われないことがわかります。

環境

• FTDソフトウェアバージョン7.4.4を実行しているCisco Secure Firewall 2120（すべてのバージョンとモデルに適用可能）
• デバイス管理用Cisco Secure Firewall Management Center(FMC)
• FTDではデフォルトでプロキシARPが有効になっています。

解決策

この問題は、FMCを介して導入されたFlexConfigポリシーを使用して、該当するインターフェイスのプロキシARPを無効にすることで解決されます。 これにより、明示的に所有していないIPアドレスのARPプローブにファイアウォールが応答しなくなります。

1:FMCのFlexConfigセクションに移動し、新しいFlexConfigポリシーを作成して特定のインターフェイスでプロキシARPを無効にします。 Sysopt_noproxyarpと否定Sysopt_noproxyarp_negateはFMCのデフォルトオブジェクトであり、カスタム使用のためにクローンを作成できます。 

inline_image_0.png（インラインイメージ_0.png）

 2: FlexConfigポリシーsysopt noproxyarp IFNAMEに設定コマンドを追加します。

inline_image_1.pngファイル

IFNAMEは該当するインターフェイスの実際の名前で置き換えます。

3：新しいオブジェクトをFTDのFlexConfigポリシーに関連付け、FMCを介して展開します。 この設定は、指定したインターフェイスでプロキシARPの動作を無効にするために適用されます。

inline_image_2.pngファイル

4：導入後、影響を受けるホストでスタティックIP割り当てをテストします。 ファイアウォールは、割り当てられていないIPアドレスのARPプローブに応答できなくなり、ホストがスタティックIP設定を使用しても、IPアドレスの重複エラーは発生しません。

必要に応じて、他のネットワーク機能への意図しない影響を最小限にするために、プロキシARPをインターフェイス全体ではなくNATルールレベルで無効にすることを検討してください。 これにより、プロキシARPの動作をより詳細に制御できます。

原因

プロキシARP（Proxy Address Resolution Protocol；アドレス解決プロトコル）がFTDインターフェイスで有効にされていたため、ファイアウォールが明示的に所有していないIPアドレスのARPプローブに応答する原因となっていました。 この動作により、ホストはスタティックアドレスの割り当て中に重複IPアドレスの状態を検出しました。 ホストがgratuitous ARP要求を実行すると、ファイアウォールプロキシARP機能は自身のMACアドレスで応答し、目的のIPアドレスが別のデバイスですでに使用されているように見せかけました。

関連コンテンツ

• シスコのテクニカルサポートとダウンロード