ASA Häufig gestellte Fragen: Warum antwortet die ASA auf ARP-Anfragen für andere IP-Adressen im Subnetz?

Download-Optionen

  • PDF     (147.2 KB)
    Mit Adobe Reader auf verschiedenen Geräten anzeigen
  • ePub     (91.2 KB)
    In verschiedenen Apps auf iPhone, iPad, Android, Sony Reader oder Windows Phone anzeigen
  • Mobi (Kindle)     (75.3 KB)
    Auf einem Kindle-Gerät oder einer Kindle-App auf mehreren Geräten anzeigen
Aktualisiert:6. Juni 2013
Dokument-ID:116154

Inklusive Sprache

In dem Dokumentationssatz für dieses Produkt wird die Verwendung inklusiver Sprache angestrebt. Für die Zwecke dieses Dokumentationssatzes wird Sprache als „inklusiv“ verstanden, wenn sie keine Diskriminierung aufgrund von Alter, körperlicher und/oder geistiger Behinderung, Geschlechtszugehörigkeit und -identität, ethnischer Identität, sexueller Orientierung, sozioökonomischem Status und Intersektionalität impliziert. Dennoch können in der Dokumentation stilistische Abweichungen von diesem Bemühen auftreten, wenn Text verwendet wird, der in Benutzeroberflächen der Produktsoftware fest codiert ist, auf RFP-Dokumentation basiert oder von einem genannten Drittanbieterprodukt verwendet wird. Hier erfahren Sie mehr darüber, wie Cisco inklusive Sprache verwendet.

Informationen zu dieser Übersetzung

Cisco hat dieses Dokument maschinell übersetzen und von einem menschlichen Übersetzer editieren und korrigieren lassen, um unseren Benutzern auf der ganzen Welt Support-Inhalte in ihrer eigenen Sprache zu bieten. Bitte beachten Sie, dass selbst die beste maschinelle Übersetzung nicht so genau ist wie eine von einem professionellen Übersetzer angefertigte. Cisco Systems, Inc. übernimmt keine Haftung für die Richtigkeit dieser Übersetzungen und empfiehlt, immer das englische Originaldokument (siehe bereitgestellter Link) heranzuziehen.

Einführung

In diesem Dokument wird erläutert, warum die Cisco Adaptive Security Appliance (ASA) möglicherweise auf die ARP-Anfragen (Address Resolution Protocol) für andere IP-Adressen im Netzwerk reagiert. Die ASA reagiert auf ARP-Anfragen für andere IP-Adressen als die ASA-Schnittstelle.

Warum antwortet die ASA auf ARP-Anfragen für andere IP-Adressen im Subnetz?

Die Network Address Translation (NAT)-Konfiguration auf der ASA kann dazu führen, dass die ASA auf ARP-Anfragen für andere IP-Adressen als die IP-Adresse der ASA-Schnittstelle reagiert.

Beispielproblemszenario:

Nehmen wir ein Ethernet-Segment, in dem Geräte im 10.0.1.x/24-Netzwerk verbunden sind. Die interne ASA-Schnittstelle wird unter 10.0.1.1 adressiert. Wenn eine ARP-Anfrage für 10.0.1.47 vom 10.0.1.48 an initiiert wird, antwortet die ASA mit einer ARP-Antwort, die ihre eigene Schnittstellen-Hardwareadresse enthält. Weitere Untersuchungen zeigen, dass die ASA Anfragen nach mehreren IP-Adressen im Subnetz beantwortet.

In diesem speziellen Fall verursacht die NAT-Konfiguration auf der ASA das Verhalten.

Wenn Sie das Schlüsselwort no-proxy-arp bestimmten NAT-Befehlen hinzufügen, reagiert die ASA nicht auf ARP-Anforderungen für das globale IP-Subnetz, das in diesen NAT-Anweisungen identifiziert wurde.

In diesem Beispiel veranlasst diese NAT-Befehle die ASA, auf alle ARP-Anfragen in den Subnetzen 10.0.1.x/24 und 10.0.2.x/24 im internen Schnittstellennetzwerk zu reagieren. Diese Befehle wurden wahrscheinlich der ASA-Konfiguration hinzugefügt, um ein sich überschneidendes NAT-Szenario zu unterstützen:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0 
destination static obj-10.0.1.0 obj-10.0.1.0

Wenn das Schlüsselwort no-proxy-arp zu diesen NAT-Konfigurationslinien hinzugefügt wird, reagiert die ASA nicht mehr auf ARP-Anforderungen für diese Subnetze.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0 
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

Zugehörige Informationen

Revisionsverlauf

Überarbeitung Veröffentlichungsdatum Kommentare
1.0
06-Jun-2013
Erstveröffentlichung
TAC Authored

Beiträge von Cisco Ingenieuren

  • Jay Johnston, Srinivasa Munagala, and Tripat Datta
    Cisco TAC Engineers.

War dieses Dokument hilfreich?

FeedbackFeedback

Cisco kontaktieren

Dieses Dokument gilt für folgende Produkte.