使用FlexConfig在FTD介面上停用代理ARP
問題
FTD介面上的主機無法使用靜態分配的IP位址,並在回落到169.254.x.x位址之前報告「重複的IP位址」錯誤。封包擷取分析顯示,當主機為自己的IP位址傳送無償ARP(ARP探測)時,防火牆會回應宣告對該IP位址的所有權,因此防止靜態IP分配成功。
環境
- 執行FTD軟體版本7.4.4的Cisco安全防火牆2120(適用於所有版本和型號)
- 適用於裝置管理的思科安全防火牆管理中心(FMC)
- 預設情況下,FTD上啟用代理ARP。
解析
通過使用通過FMC部署的FlexConfig策略,在受影響的介面上禁用代理ARP可以解決此問題。這可防止防火牆響應其未明確擁有的IP地址的ARP探測。
1:導航到FMC中的FlexConfig部分,建立新的FlexConfig策略以禁用特定介面上的代理ARP。Sysopt_noproxyarp和否定的Sysopt_noproxyarp_negate是FMC中的預設對象,可以克隆供自定義使用。
inline_image_0.png2:將配置命令新增到FlexConfig policy sysopt noproxyarp IFNAME:
inline_image_1.png用受影響介面的實際名稱替換IFNAME。
3:將新對象關聯到FTD的FlexConfig策略,並通過FMC進行部署。應用該配置可禁用指定介面上的代理ARP行為。
inline_image_2.png4:部署後,測試受影響主機上的靜態IP分配。防火牆必須無法再響應未分配IP地址的ARP探測,從而允許主機成功使用其靜態IP配置,而不會出現重複的IP地址錯誤。
如果適用,請考慮在NAT規則級別而不是在介面範圍禁用代理ARP,以最小化對其他網路功能的意外影響。這樣可以更精細地控制代理ARP行為。
原因
在FTD介面上啟用代理位址解析通訊協定(代理ARP),導致防火牆回應針對其未明確擁有的IP位址的ARP探測。此行為導致主機在靜態位址分配期間偵測到重複的IP位址情況。當主機執行無償ARP要求時,防火牆代理ARP功能會以自己的MAC位址回應,因此看起來好像所需IP位址已被其他裝置使用。
相關內容
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
17-Apr-2026
|
初始版本 |
意見