使用FlexConfig在FTD接口上禁用代理ARP
问题
FTD接口上的主机无法使用静态分配的IP地址并报告“重复的IP地址”错误,然后回退到169.254.x.x地址。数据包捕获分析显示,当主机为自己的IP地址发送无偿ARP(ARP探测)时,防火墙会响应声明该IP地址的所有权,从而阻止静态IP分配成功。
环境
- 运行FTD软件版本7.4.4的Cisco Secure Firewall 2120(适用于所有版本和型号)
- 用于设备管理的思科安全防火墙管理中心(FMC)
- 默认情况下,代理ARP在FTD上启用。
分辨率
通过使用通过FMC部署的FlexConfig策略,在受影响的接口上禁用代理ARP即可解决此问题。这可防止防火墙响应其未明确拥有的IP地址的ARP探测。
1:导航到FMC中的FlexConfig部分,创建新的FlexConfig策略以禁用特定接口上的代理ARP。Sysopt_noproxyarp和否定的Sysopt_noproxyarp_negate是FMC中的默认对象,可以克隆以供自定义使用。
inline_image_0.png2:将配置命令添加到FlexConfig策略sysopt noproxyarp IFNAME:
inline_image_1.png用受影响接口的实际名称替换IFNAME。
3:将新对象关联到FTD的FlexConfig策略并通过FMC进行部署。应用此配置可禁用指定接口上的代理ARP行为。
inline_image_2.png4:部署后,测试受影响主机上的静态IP分配。防火墙必须无法再响应未分配IP地址的ARP探测,从而允许主机成功使用其静态IP配置,而不会出现重复IP地址错误。
如果适用,请考虑在NAT规则级别而不是在接口范围内禁用代理ARP,以最大程度地减少对其他网络功能的意外影响。这样可以对代理ARP行为进行更精细的控制。
原因
在FTD接口上启用了代理地址解析协议(代理ARP),导致防火墙响应针对其未明确拥有的IP地址的ARP探测。此行为导致主机在静态地址分配期间检测到重复的IP地址条件。当主机执行无偿ARP请求时,防火墙代理ARP功能将使用自己的MAC地址进行响应,使其看起来好像所需IP地址已被其他设备使用。
相关内容
修订历史记录
| 版本 | 发布日期 | 备注 |
|---|---|---|
1.0 |
17-Apr-2026
|
初始版本 |
反馈