Cisco Cisco ASA 5555-X Adaptive Security Appliance - No Payload Encryption 快速安装指南
5-9
思科 ASA 系列常规操作 CLI 配置指南
第 5 章 透明或路由防火墙模式
为透明防火墙配置 ARP 检测
步骤 2
按照
中所述启用 ARP 检测。
添加静态 ARP 条目
ARP 检测会将 ARP 数据包与 ARP 表中的 ARP 条目进行比较。虽然主机通过 IP 地址识别数据包
目标,但数据包在以太网上的实际传送依赖于以太网 MAC 地址。当路由器或主机要通过直连网络
传送数据包时,它会发送 ARP 请求以获取与 IP 地址相关的 MAC 地址,然后根据 ARP 响应向
MAC 地址传送数据包。主机或路由器会保留一个 ARP 表,这样,就无需为要传送的每个数据包发
送 ARP 请求。一旦有 ARP 响应在网络上发送,ARP 表就会动态更新;如果某个条目在一段时间
内没有使用,该条目即会超时。如果条目不正确(例如,某个给定 IP 地址的 MAC 地址发生变
化),不正确的条目将会超时,然后可以进行更新。
目标,但数据包在以太网上的实际传送依赖于以太网 MAC 地址。当路由器或主机要通过直连网络
传送数据包时,它会发送 ARP 请求以获取与 IP 地址相关的 MAC 地址,然后根据 ARP 响应向
MAC 地址传送数据包。主机或路由器会保留一个 ARP 表,这样,就无需为要传送的每个数据包发
送 ARP 请求。一旦有 ARP 响应在网络上发送,ARP 表就会动态更新;如果某个条目在一段时间
内没有使用,该条目即会超时。如果条目不正确(例如,某个给定 IP 地址的 MAC 地址发生变
化),不正确的条目将会超时,然后可以进行更新。
注
透明防火墙将 ARP 表中的动态 ARP 条目用于往返 ASA 的流量 (例如管理流量)。
详细步骤
示例
例如,如要允许使用外部接口上的 MAC 地址 0009.7cbe.2100 从 10.1.1.1 处的路由器作出 ARP 响
应,请输入以下命令:
应,请输入以下命令:
ciscoasa(config)# arp outside 10.1.1.1 0009.7cbe.2100
后续操作
按照
中所述启用 ARP 检测。
启用 ARP 检测
本节介绍如何启用 ARP 检测。
命令
用途
arp
interface_name ip_address mac_address
示例:
ciscoasa(config)# arp outside 10.1.1.1
0009.7cbe.2100
添加静态 ARP 条目。