Cisco Cisco ASA 5580 Adaptive Security Appliance Leaflet

思科 ASA 系列命令参考，S 命令

第 17 章      subject-name 至 sysopt radius ignore-secret 命令

要禁用接口上

 NAT 全局地址或 VPN 客户端地址的代理 ARP，请在全局配置模式下使用 sysopt 

 命令。要重新启用代理 ARP，请使用此命令的 no 形式。

 interface_name

 interface_name

语法说明

默认值

默认情况下，代理

 ARP 已启用。

命令模式

下表展示可输入此命令的模式：

命令历史

使用指南

如果

 VPN 客户端地址池与现有网络重叠，默认情况下，ASA 会在所有接口上发送代理 ARP。如

果有另一个接口位于同一个第

 2 层域中，该接口将会看到 ARP 请求并以自身接口的 MAC 地址作

出响应。其结果是，流向内部主机的

 VPN 客户端返回流量会进入错误的接口并被丢弃。在这种

情况下，需要对您不需要使用代理

 ARP 的接口输入 sysopt noproxyarp 命令。

在极少数情况下，您可能要对

 NAT 全局地址禁用代理 ARP。

当主机向同一以太网网络上的另一台设备发送

 IP 流量时，主机需要知道该设备的 MAC 地址。

ARP 是一个第 2 层协议，它将 IP 地址解析为 MAC 地址。如果主机发送 ARP 请求并询问 “Who 
is this IP address?”（这是谁的 IP 地址？），拥有该 IP 地址的设备会回答：“I own that IP 
address; here is my MAC address.”（这是我的 IP 地址；这是我的 MAC 地址。）

如果使用代理

 ARP，设备会以自身的 MAC 地址对 ARP 请求作出响应，即使设备没有 IP  地址。如

果您配置了

 NAT 并指定一个与 ASA 接口位于同一网络上的全局地址，ASA 会使用代理 ARP。流

量可到达主机的唯一方法是，

ASA 使用代理  ARP 来声明 ASA MAC 地址已分配给目标全局地址。

示例

以下示例在内部接口上禁用代理

 ARP：

ciscoasa(config)# sysopt noproxyarp inside

要禁用代理

 ARP 的接口名称。

命令模式

防火墙模式

安全情景

路由

透明

单个

多个

情景

系统

全局配置

是

是

是

是

—

版本

修改

8.0(3)

此命令进行了扩展，现在，如果

 VPN 客户端地址与内部网络重叠，此

命令会影响

 VPN 代理 ARP。