forum.opennet.ru

Составление сообщения

Исходное сообщение

"ASA не отсылает ARP (reply/gratuitous ARP)"
Отправлено dimaonline, 21-Май-09 17:28

Проблема: при переносе хоста из сети OUTSIDE в DMZ (соответственно настройки статического NAT на outside) ASA 5510 не отсылает Address Resolution Protocol (reply/gratuitous ARP).
Как следствие на шлюзе по умолчанию таблица ARP не обновляется в течении 4 часов (и приходится звонить в службу поддержки) чтобы сбросили ARP таблицу.
В результате пакеты ASA отсылает от одного MAC адреса, а ответы приходят на другой MAC адрес:
ЗАПРОС:
Frame 1 (98 bytes on wire, 98 bytes captured)
Ethernet II, Src: Cisco_15:d8:80 (00:23:5e:15:d8:80), Dst: Cisco_20:e7:40 (00:12:80:20:e7:40)
    Destination: Cisco_20:e7:40 (00:12:80:20:e7:40)
    Source: Cisco_15:d8:80 (00:23:5e:15:d8:80)
    Type: IP (0x0800)
Internet Protocol, Src: XX.YYY.ZZ.121 (XX.YYY.ZZ.121), Dst: 212.19.149.227 (212.19.149.227)
Internet Control Message Protocol
ОТВЕТ:
Frame 2 (98 bytes on wire, 98 bytes captured)
Ethernet II, Src: Cisco_20:e7:40 (00:12:80:20:e7:40), Dst: Cisco_b1:78:e0 (00:17:59:b1:78:e0)
    Destination: Cisco_b1:78:e0 (00:17:59:b1:78:e0)
    Source: Cisco_20:e7:40 (00:12:80:20:e7:40)
    Type: IP (0x0800)
Internet Protocol, Src: 212.19.149.227 (212.19.149.227), Dst: XX.YYY.ZZ.121 (XX.YYY.ZZ.121)
Internet Control Message Protocol
Провел эксперимент на обычном маршрутизаторе - при включении его в сеть OUTSIDE от отсылает broadcast в сеть о своем IP (ASA же никакого broadcast добавлении NAT  не отсылает):
Frame 1 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: Cisco_b1:78:e0 (00:17:59:b1:78:e0), Dst: Broadcast (ff:ff:ff:ff:ff:ff)
Address Resolution Protocol (reply/gratuitous ARP)
    Hardware type: Ethernet (0x0001)
    Protocol type: IP (0x0800)
    Hardware size: 6
    Protocol size: 4
    Opcode: reply (0x0002)
    Sender MAC address: Cisco_b1:78:e0 (00:17:59:b1:78:e0)
    Sender IP address: XX.YYY.ZZ.121 (XX.YYY.ZZ.121)
    Target MAC address: Broadcast (ff:ff:ff:ff:ff:ff)
    Target IP address: XX.YYY.ZZ.121 (XX.YYY.ZZ.121)

Собственно вопрос как побороть проблему ?

Исходное сообщение
"ASA не отсылает ARP (reply/gratuitous ARP)" Отправлено dimaonline, 21-Май-09 17:28
Проблема: при переносе хоста из сети OUTSIDE в DMZ (соответственно настройки статического NAT на outside) ASA 5510 не отсылает Address Resolution Protocol (reply/gratuitous ARP). Как следствие на шлюзе по умолчанию таблица ARP не обновляется в течении 4 часов (и приходится звонить в службу поддержки) чтобы сбросили ARP таблицу. В результате пакеты ASA отсылает от одного MAC адреса, а ответы приходят на другой MAC адрес: ЗАПРОС: Frame 1 (98 bytes on wire, 98 bytes captured) Ethernet II, Src: Cisco_15:d8:80 (00:23:5e:15:d8:80), Dst: Cisco_20:e7:40 (00:12:80:20:e7:40) Destination: Cisco_20:e7:40 (00:12:80:20:e7:40) Source: Cisco_15:d8:80 (00:23:5e:15:d8:80) Type: IP (0x0800) Internet Protocol, Src: XX.YYY.ZZ.121 (XX.YYY.ZZ.121), Dst: 212.19.149.227 (212.19.149.227) Internet Control Message Protocol ОТВЕТ: Frame 2 (98 bytes on wire, 98 bytes captured) Ethernet II, Src: Cisco_20:e7:40 (00:12:80:20:e7:40), Dst: Cisco_b1:78:e0 (00:17:59:b1:78:e0) Destination: Cisco_b1:78:e0 (00:17:59:b1:78:e0) Source: Cisco_20:e7:40 (00:12:80:20:e7:40) Type: IP (0x0800) Internet Protocol, Src: 212.19.149.227 (212.19.149.227), Dst: XX.YYY.ZZ.121 (XX.YYY.ZZ.121) Internet Control Message Protocol Провел эксперимент на обычном маршрутизаторе - при включении его в сеть OUTSIDE от отсылает broadcast в сеть о своем IP (ASA же никакого broadcast добавлении NAT не отсылает): Frame 1 (60 bytes on wire, 60 bytes captured) Ethernet II, Src: Cisco_b1:78:e0 (00:17:59:b1:78:e0), Dst: Broadcast (ff:ff:ff:ff:ff:ff) Address Resolution Protocol (reply/gratuitous ARP) Hardware type: Ethernet (0x0001) Protocol type: IP (0x0800) Hardware size: 6 Protocol size: 4 Opcode: reply (0x0002) Sender MAC address: Cisco_b1:78:e0 (00:17:59:b1:78:e0) Sender IP address: XX.YYY.ZZ.121 (XX.YYY.ZZ.121) Target MAC address: Broadcast (ff:ff:ff:ff:ff:ff) Target IP address: XX.YYY.ZZ.121 (XX.YYY.ZZ.121) Собственно вопрос как побороть проблему ?

Ваше сообщение

Имя*:

EMail:

Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

На сайте действует частичное премодерирование - после публикации некоторые сообщения от анонимов могут автоматически скрываться ботом. После проверки модератором ошибочно скрытые сообщения раскрываются. Для ускорения раскрытия можно воспользоваться ссылкой "Сообщить модератору", указав в качестве причины обращения "скрыто по ошибке".

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру