forum.opennet.ru - "Cisco asa 5516 proxy-arp" (4)

форумы

правила/FAQ

поиск

регистрация

вход/выход

слежка

"Cisco asa 5516 proxy-arp"

Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Cisco asa 5516 proxy-arp"	+/–
Сообщение от denergym (ok) on 28-Авг-17, 10:52
Хай ! Есть ASA 5516 , есть 2 интерфейса смотрящих в локальную сетку в разных VLAN interface GigabitEthernet1/4.1112 description servers vlan 1112 nameif servers security-level 100 ip address 192.168.204.1 255.255.254.0 ! interface GigabitEthernet1/1.1114 description LAN-TEST vlan 1114 nameif lan security-level 100 ip address 192.168.206.1 255.255.255.0 Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112 с IP 192.168.204.15 Есть устройства за interface GigabitEthernet1/1.1114 которые броадкастами пытаются найти устройство с ключами, но устройство енто в другом бродкасте . Как сделать чтобы broadcast уходил с GigabitEthernet1/1.1114 на GigabitEthernet1/4.1112 и видел устройство 192.168.204.15. Как я понимаю тут нужна магия proxy-arp, но как там на асе чет не совсем понятно. Подскажите пожалуйста товарищи.
Ответить \| Правка \| Cообщить модератору

Оглавление

Cisco asa 5516 proxy-arp, zanswer CCNA RS and S, 12:31 , 28-Авг-17, (1)

Cisco asa 5516 proxy-arp, zanswer CCNA RS and S, 12:43 , 28-Авг-17, (2)

Cisco asa 5516 proxy-arp, ShyLion, 07:57 , 29-Авг-17, (3)
Cisco asa 5516 proxy-arp, Тимофей, 22:10 , 29-Авг-17, (4)

Сообщения по теме [Сортировка по времени | RSS]

1. "Cisco asa 5516 proxy-arp" +/–

Сообщение от zanswer CCNA RS and S on 28-Авг-17, 12:31

>[оверквотинг удален]
>  ip address 192.168.206.1 255.255.255.0
> Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112
> с IP 192.168.204.15
> Есть устройства за interface GigabitEthernet1/1.1114 которые броадкастами пытаются найти
> устройство  с ключами, но устройство енто в другом бродкасте .
> Как сделать чтобы broadcast уходил с GigabitEthernet1/1.1114 на GigabitEthernet1/4.1112
> и видел устройство 192.168.204.15.
> Как я понимаю тут нужна магия proxy-arp, но как там на асе
> чет не совсем понятно.
> Подскажите пожалуйста товарищи.
Существует два типа Layer 3 broadcast, limited и directed broadcast пакеты, первый не может покинуть пределов broadcast domain, второй при определённых настройках может. В вашем случае скорее всего речь идёт о первом, типе. Он представлен DST IP: 255.255.255.255 на Layer 3 и DST MAC: FF:FF:FF:FF:FF:FF на Layer 2.
RFC 1122: Requirements for Internet Hosts -- Communication Layers
"(c)  { -1, -1 }
                 Limited broadcast.  It MUST NOT be used as a source
                 address.
                 A datagram with this destination address will be
                 received by every host on the connected physical
                 network but will not be forwarded outside that network."
Как работает Proxy-ARP RFC 925: Multi-LAN Address Resolution
"When an ARP query is broadcast by any host the BOX reads it (as do
   all the hosts on that LAN).  In addition to checking whether it is
   the host sought (and replying if it is), the BOX checks its cache of
   IA:HA address mappings in the cache that it keeps for each LAN it is
   attached to.
This LAN Only
            If the IA of all ones (i.e., 255.255.255.255) is used an IP
            level broadcast to all hosts on this LAN only is intended.
            A BOX must not forward this datagram. A BOX must examine
            the datagram for potential significance to the BOX itself."
Поэтому мне не очень понятно, чем вам поможет Proxy ARP. Вам необходим механизм схожий с DHCP Relay.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco asa 5516 proxy-arp" +/–

Сообщение от zanswer CCNA RS and S on 28-Авг-17, 12:43

>[оверквотинг удален]
> If the IA of all ones (i.e., 255.255.255.255) is used an
> IP
>
> level broadcast to all hosts on this LAN only is intended.
>
> A BOX must not forward this datagram. A BOX must examine
>
> the datagram for potential significance to the BOX itself."
> Поэтому мне не очень понятно, чем вам поможет Proxy ARP. Вам необходим
> механизм схожий с DHCP Relay.
Можете показать дамп целевого пакета, который требуется передавать между интерфейсами? Разворачивать уровни не нужно, достаточно базовой информации, адресация, протоколы, порты, etc.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco asa 5516 proxy-arp" +/–

Сообщение от ShyLion (ok) on 29-Авг-17, 07:57

> Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112
> с IP 192.168.204.15
HASP? Он отлично умеет работать юникастом.
Если не HASP, на устройство нельзя вторую сетевуху добавить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco asa 5516 proxy-arp" +/–

Сообщение от Тимофей (??) on 29-Авг-17, 22:10

У вас есть 2 L2 сегмента, хотите чтобы трафик ходил, настраивайте L3. Бродкаст ходит только в пределах одного домена, юзайте юникаст. И не забудьте команду same-security-traffic permit inter-interface дабы разрешить трафик между интерфейсами с одинаковым security-level.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Cisco asa 5516 proxy-arp"	+/–
Сообщение от zanswer CCNA RS and S on 28-Авг-17, 12:31
>[оверквотинг удален] > ip address 192.168.206.1 255.255.255.0 > Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112 > с IP 192.168.204.15 > Есть устройства за interface GigabitEthernet1/1.1114 которые броадкастами пытаются найти > устройство с ключами, но устройство енто в другом бродкасте . > Как сделать чтобы broadcast уходил с GigabitEthernet1/1.1114 на GigabitEthernet1/4.1112 > и видел устройство 192.168.204.15. > Как я понимаю тут нужна магия proxy-arp, но как там на асе > чет не совсем понятно. > Подскажите пожалуйста товарищи. Существует два типа Layer 3 broadcast, limited и directed broadcast пакеты, первый не может покинуть пределов broadcast domain, второй при определённых настройках может. В вашем случае скорее всего речь идёт о первом, типе. Он представлен DST IP: 255.255.255.255 на Layer 3 и DST MAC: FF:FF:FF:FF:FF:FF на Layer 2. RFC 1122: Requirements for Internet Hosts -- Communication Layers "(c) { -1, -1 } Limited broadcast. It MUST NOT be used as a source address. A datagram with this destination address will be received by every host on the connected physical network but will not be forwarded outside that network." Как работает Proxy-ARP RFC 925: Multi-LAN Address Resolution "When an ARP query is broadcast by any host the BOX reads it (as do all the hosts on that LAN). In addition to checking whether it is the host sought (and replying if it is), the BOX checks its cache of IA:HA address mappings in the cache that it keeps for each LAN it is attached to. This LAN Only If the IA of all ones (i.e., 255.255.255.255) is used an IP level broadcast to all hosts on this LAN only is intended. A BOX must not forward this datagram. A BOX must examine the datagram for potential significance to the BOX itself." Поэтому мне не очень понятно, чем вам поможет Proxy ARP. Вам необходим механизм схожий с DHCP Relay.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "Cisco asa 5516 proxy-arp"	+/–
	Сообщение от zanswer CCNA RS and S on 28-Авг-17, 12:43
	>[оверквотинг удален] > If the IA of all ones (i.e., 255.255.255.255) is used an > IP > > level broadcast to all hosts on this LAN only is intended. > > A BOX must not forward this datagram. A BOX must examine > > the datagram for potential significance to the BOX itself." > Поэтому мне не очень понятно, чем вам поможет Proxy ARP. Вам необходим > механизм схожий с DHCP Relay. Можете показать дамп целевого пакета, который требуется передавать между интерфейсами? Разворачивать уровни не нужно, достаточно базовой информации, адресация, протоколы, порты, etc.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору

3. "Cisco asa 5516 proxy-arp"	+/–
Сообщение от ShyLion (ok) on 29-Авг-17, 07:57
> Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112 > с IP 192.168.204.15 HASP? Он отлично умеет работать юникастом. Если не HASP, на устройство нельзя вторую сетевуху добавить?
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору

4. "Cisco asa 5516 proxy-arp"	+/–
Сообщение от Тимофей (??) on 29-Авг-17, 22:10
У вас есть 2 L2 сегмента, хотите чтобы трафик ходил, настраивайте L3. Бродкаст ходит только в пределах одного домена, юзайте юникаст. И не забудьте команду same-security-traffic permit inter-interface дабы разрешить трафик между интерфейсами с одинаковым security-level.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору