現在、ASA5505からASA5510へのアップグレードを行っています。 2つの異なるサブネット上の3つの範囲のパブリックIPアドレス用にコロケーションを構成しています。 5505は期待どおりに機能しています。
例(変更されたIP):174.136.1.1、72.249.1.1、72.249.2.1
ファイアウォールは174.136.1.2に割り当てられています。 5510をオンラインにする場合、次の範囲のIPアドレスに対してNATルールが作成されると、トラフィックは正しくルーティングされません:72.249.1.1、72.249.2.1
ファイアウォールのアップグレードを行うための小さなウィンドウがあり、それは通常深夜です。運が悪かったので何度も試しました。オフィスでテストベッド環境を作ることができません。テスト目的で、データセンターに別のドロップをリクエストする場合があります。どんな助けでもいただければ幸いです。完全な設定を投稿できます。
NATが正しく機能するには、 arp permit-nonconnected を有効にする必要があります。
arppermit-接続されていません
ARPキャッシュに直接接続されていないサブネットも含めることができるようにするには、グローバルコンフィギュレーションモードでarppermit-nonconnectedコマンドを使用します。接続されていないサブネットを無効にするには、このコマンドのno形式を使用します。
使用上のガイドライン
ASA ARPキャッシュには、デフォルトで直接接続されたサブネットからのエントリのみが含まれます。 no arp permit-nonconnectedコマンドが存在する場合(デフォルトの動作)、受信したARPパケットが接続されたインターフェイスとは異なるサブネットにある場合、ASAは着信ARP要求とARP応答の両方を拒否します。
最初のケース(デフォルトの動作)は、PATがASAで設定され、PATの仮想IPアドレス(マップされた)が接続されたインターフェイスとは異なるサブネットにある場合に障害を引き起こすことに注意してください。
また、セキュリティリスクを理解していない限り、この機能を有効にすることはお勧めしません。この機能により、ASAに対するサービス拒否(DoS)攻撃が容易になる可能性があります。任意のインターフェイスのユーザが多くのARP応答を送信し、誤ったエントリでASAARPテーブルをオーバーロードする可能性があります。
以下を使用する場合は、この機能を使用することをお勧めします。
- セカンダリサブネット。
- トラフィック転送用の隣接ルート上のプロキシARP。
例
次の例では、接続されていないサブネットを有効にします。
ciscoasa(config)# arp permit non-connected