このドキュメントでは、Cisco 適応型セキュリティ アプライアンス(ASA)がネットワーク上の他の IP アドレスに対する Address Resolution Protocol(ARP)要求に応答することがある理由について説明します。ASA は、ASA のインターフェイス以外の IP アドレスへの ARP 要求に応答します。
ASA 上のネットワーク アドレス変換(NAT)設定によって、ASA のインターフェイス IP アドレス以外の IP アドレスへの ARP 要求に応答することがあります。
問題のシナリオ例:
10.0.1.x/24 のネットワークに接続されているデバイスがあるイーサネット セグメントについて考えてみます。ASAの内部インターフェイスは10.0.1.1でアドレス指定されます。10.0.1.47に対するARP要求が10.0.1.48から開始されるたびに、ASAは自身のインターフェイスハードウェアアドレスを含むARP応答で応答します。詳細な調査では、サブネット内の複数のIPアドレス要求に応答があります。
この特定のケースでは、ASA の NAT 設定によりこの動作が発生します。
キーワード no-proxy-arp を特定の NAT コマンドに追加すると、ASA はこれらの NAT ステートメントで特定されるグローバル IP サブネットへの ARP 要求に応答しなくなります。
この例では、これらの NAT コマンドによって、ASA は内部インターフェイス ネットワーク上の 10.0.1.x/24 および 10.0.2.x/24 サブネット内のすべての ARP 要求に応答します。これらのコマンドが ASA の設定に追加されたのは、おそらく NAT の重複をサポートするためです。
nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0
no-proxy-arp キーワードが NAT 設定行に追加されると、ASA はこれらのサブネットの ARP 要求に応答しなくなります。
nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp
改定 | 発行日 | コメント |
---|---|---|
1.0 |
06-Jun-2013 |
初版 |