Cisco Cisco ASA 5510 Adaptive Security Appliance Leaflet

Cisco ASA Series 명령 참조 , S 명령

17장      subject-name through sysopt radius ignore-secret 명령              

인터페이스에서 NAT 전역 주소 또는 VPN 클라이언트 주소에 대한 프록시 ARP를 비활성화하려면 
글로벌 컨피그레이션 모드에서 sysopt noproxyarp 명령을 사용합니다. 프록시 ARP를 다시 활성화
하려면 이 명령의 no 형식을 사용합니다.

 interface_name

 interface_name

구문 설명

기본값

프록시 ARP는 기본적으로 활성화되어 있습니다.

명령 모드

다음 표에서 명령을 입력할 수 있는 모드를 확인할 수 있습니다.

명령 기록

사용 지침

기존 네트워크와 겹치는 VPN 클라이언트 주소 풀이 있는 경우 ASA는 기본적으로 모든 인터페이
스에서 프록시 ARP를 전송합니다. 동일한 계층 2 도메인에 다른 인터페이스가 있는 경우 ASA는 
ARP 요청을 보고 해당 인터페이스의 MAC 주소로 응답합니다. 따라서 내부 호스트로 반환되는 
VPN 클라이언트의 트래픽이 잘못된 인터페이스로 이동하여 삭제됩니다. 이 경우 프록시 ARP가 
필요 없는 인터페이스에 대해 sysopt noproxyarp 명령을 입력해야 합니다.

간혹 NAT 전역 주소에 대해 프록시 ARP를 비활성화할 수 있습니다.

호스트에서 동일한 이더넷 네트워크에 있는 다른 디바이스로 IP 트래픽을 보내는 경우 해당 디바
이스의 MAC 주소를 알아야 합니다. ARP는 IP 주소를 MAC 주소로 확인하는 계층 2 프로토콜입니
다. 호스트가 “Who is this IP address?”라는 ARP 요청을 보내면 IP 주소를 소유한 디바이스가 “I own 
that IP address; here is my MAC address”라고 응답합니다.

프록시 ARP를 사용하면 디바이스가 IP 주소를 소유하지 않은 경우에도 자신의 MAC 주소로 ARP 
요청에 응답합니다. ASA에서는 NAT를 구성하고 ASA 인터페이스와 동일한 네트워크에 있는 전
역 주소를 지정할 때 프록시 ARP를 사용합니다. 트래픽이 호스트에 도달하려면 ASA에서 프록시 
ARP를 사용하여 ASA MAC 주소가 대상 전역 주소에 할당되어 있음을 클레임해야 합니다.

프록시 ARP를 비활성화할 인터페이스 이름입니다.

명령 모드

방화벽 모드

보안 상황

라우팅 모드

투명 모드

단일 모드

다중 모드

상황

시스템

글로벌 컨피그레이션

예

예

예

예

—

릴리스

수정 사항

8.0(3)

VPN 클라이언트 주소가 내부 네트워크와 겹치는 경우 VPN 프록시 ARP
에 영향을 주도록 이 명령이 확장되었습니다.