Perguntas frequentes do ASA: Por que o ASA responde às solicitações ARP para outros endereços IP na sub-rede?

Opções de download

  • PDF     (114.7 KB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (91.4 KB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (75.8 KB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:6 de junho de 2013
ID do documento:116154

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

Introduction

Este documento descreve por que o Cisco Adaptive Security Appliance (ASA) pode responder às solicitações do Address Resolution Protocol (ARP) para outros endereços IP na rede. O ASA responde às solicitações ARP de endereços IP diferentes da interface do ASA.

Por que o ASA responde às solicitações ARP para outros endereços IP na sub-rede?

A configuração NAT (Network Address Translation, Conversão de Endereço de Rede) no ASA pode fazer com que ele responda a solicitações ARP de endereços IP diferentes do endereço IP da interface do ASA.

Exemplo de cenário de problema:

Considere um segmento Ethernet que tenha dispositivos conectados à rede 10.0.1.x/24. A interface interna do ASA é endereçada em 10.0.1.1. Sempre que uma solicitação ARP para 10.0.1.47 é iniciada a partir de 10.0.1.48, o ASA responde com uma resposta ARP que contém seu próprio endereço de hardware de interface. Uma investigação mais detalhada revela que o ASA responde a solicitações de vários endereços IP na sub-rede.

Nesse caso específico, a configuração de NAT no ASA causa o comportamento.

Se você adicionar a palavra-chave no-proxy-arp a comandos NAT específicos, o ASA não responderá às solicitações ARP para a sub-rede IP global identificada nessas instruções NAT.

Neste exemplo, esses comandos NAT fazem com que o ASA responda a qualquer solicitação ARP nas sub-redes 10.0.1.x/24 e 10.0.2.x/24 na rede da interface interna. Esses comandos provavelmente foram adicionados à configuração do ASA para suportar um cenário de NAT sobreposto:

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0 
destination static obj-10.0.1.0 obj-10.0.1.0

Com a palavra-chave no-proxy-arp adicionada a essas linhas de configuração de NAT, o ASA não responde mais às solicitações ARP para essas sub-redes.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0 
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

Informações Relacionadas

Histórico de revisões

Revisão Data de publicação Comentários
1.0
06-Jun-2013
Versão inicial
TAC Authored

Colaborado por engenheiros da Cisco

  • Jay Johnston, Srinivasa Munagala, and Tripat Datta
    Cisco TAC Engineers.

Este documento lhe foi útil?

FeedbackFeedback

Contate a Cisco

Este documento se refere a estes produtos