ASA FAQ: ASA가 서브넷의 다른 IP 주소에 대한 ARP 요청에 응답하는 이유는 무엇입니까?

소개

이 문서에서는 Cisco ASA(Adaptive Security Appliance)가 네트워크의 다른 IP 주소에 대한 ARP(Address Resolution Protocol) 요청에 응답할 수 있는 이유에 대해 설명합니다. ASA는 ASA의 인터페이스 이외의 IP 주소에 대한 ARP 요청에 응답합니다.

ASA가 서브넷의 다른 IP 주소에 대한 ARP 요청에 응답하는 이유는 무엇입니까?

ASA의 NAT(Network Address Translation) 컨피그레이션으로 인해 ASA의 인터페이스 IP 주소 이외의 IP 주소에 대한 ARP 요청에 응답할 수 있습니다.

문제 시나리오 예:

10.0.1.x/24 네트워크에 연결된 장치가 있는 이더넷 세그먼트를 고려해 보십시오. ASA의 내부 인터페이스는 10.0.1.1에서 주소가 지정됩니다. 10.0.1.47에 대한 ARP 요청이 10.0.1.48에서 시작될 때마다 ASA는 자체 인터페이스 하드웨어 주소가 포함된 ARP 회신으로 응답합니다. 추가 조사를 통해 ASA가 서브넷의 여러 IP 주소에 대한 요청에 응답한다는 것을 알 수 있습니다.

이 경우 ASA의 NAT 컨피그레이션으로 인해 동작이 발생합니다.

특정 NAT 명령에 no-proxy-arp 키워드를 추가하면 ASA는 해당 NAT 문에서 식별된 전역 IP 서브넷에 대한 ARP 요청에 응답하지 않습니다.

이 예에서 이러한 NAT 명령은 ASA가 내부 인터페이스 네트워크의 10.0.1.x/24 및 10.0.2.x/24 서브넷에서 ARP 요청에 응답하도록 합니다. 이러한 명령은 중복 NAT 시나리오를 지원하기 위해 ASA 컨피그레이션에 추가된 것 같습니다.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0 
destination static obj-10.0.1.0 obj-10.0.1.0

이러한 NAT 컨피그레이션 라인에 no-proxy-arp 키워드가 추가되면 ASA는 해당 서브넷에 대한 ARP 요청에 더 이상 응답하지 않습니다.

nat (inside,inside) source static obj-10.0.1.0 obj-10.0.1.0 
destination static obj-10.0.2.0 obj-10.0.2.0 no-proxy-arp
nat (inside,inside) source static obj-10.0.2.0 obj-10.0.2.0 
destination static obj-10.0.1.0 obj-10.0.1.0 no-proxy-arp

관련 정보

• Cisco ASA Series Firewall CLI 컨피그레이션 가이드, 9.1 - 네트워크 주소 변환 구성
• 기술 지원 및 문서 − Cisco Systems