1. Amaç
Bu yazımızda, Cisco ASA firewall’a ait bir mac adresinin ARP tablosundaki birçok IP adresiyle eşlendiğinde sorunun nasıl çözüleceği açıklanacaktır.
2. Sorun Açıklaması
İnternete bağlı bulunan ve IOS sürüm 9.x çalıştıran bir Cisco ASA güvenlik duvarımız olsun. Cisco ASA güvenlik duvarının dış arabirimindeki genel IP 117.100.100.0/29’dur.
Cisco ASA güvenlik duvarındaki dış arabirimin MAC adresi, ISP yönlendiricisindeki ARP tablosundaki tüm genel IP adresleriyle eşlenir ve Cisco ASA güvenlik duvarından ISP yönlendiricisine bağlantı kaybı yapar. Buna ARP Zehirlenmesi ya da ARP sahtekarlığı denir.
Internet 117.100.100.1 82 00f6.6397.50c3 ARPA TenGigabitEthernet1/1/0.525 Internet 117.100.100.2 32 00f6.6397.50c3 ARPA TenGigabitEthernet1/1/0.525 Internet 117.100.100.3 4 00f6.6397.50c3 ARPA TenGigabitEthernet1/1/0.525 Internet 117.100.100.4 3 00f6.6397.50c3 ARPA TenGigabitEthernet1/1/0.525 Internet 117.100.100.5 3 00f6.6397.50c3 ARPA TenGigabitEthernet1/1/0.525 Internet 117.100.100.6 73 00f6.6397.50c5 ARPA TenGigabitEthernet1/1/0.525
3. Problem Çözümü
Sorunu çözmek için Cisco ASA güvenlik duvarının dış arabiriminde Proxy ARP’yi devre dışı bırakmamız gerekiyor. Proxy ARP, Cisco ASA güvenlik duvarında varsayılan olarak etkindir. Bu nedenle, devre dışı bırakmak için aşağıdaki komutu girmeliyiz.
# sysopt noproxyarp outside
Bu sorunun iç ağ içerisinde olmasını önlemek için, Proxy ARP’yi iç arayüzde de devre dışı bırakmalıyız.
# sysopt noproxyarp inside # show runn sysopt sysopt noproxyarp outside sysopt noproxyarp inside
Umarım yardımcı olur. Başka bir yazıda görüşmek üzere…