The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"Cisco asa 5516 proxy-arp"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]

"Cisco asa 5516 proxy-arp"  +/
Сообщение от denergym (ok) on 28-Авг-17, 10:52 
Хай !
Есть ASA 5516 , есть 2 интерфейса смотрящих в локальную сетку в разных VLAN

interface GigabitEthernet1/4.1112
description servers
vlan 1112
nameif servers
security-level 100
ip address 192.168.204.1 255.255.254.0

!
interface GigabitEthernet1/1.1114
description LAN-TEST
vlan 1114
nameif lan
security-level 100
ip address 192.168.206.1 255.255.255.0

Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112 с IP 192.168.204.15

Есть устройства за interface GigabitEthernet1/1.1114 которые броадкастами пытаются найти устройство  с ключами, но устройство енто в другом бродкасте .

Как сделать чтобы broadcast уходил с GigabitEthernet1/1.1114 на GigabitEthernet1/4.1112 и видел устройство 192.168.204.15.
Как я понимаю тут нужна магия proxy-arp, но как там на асе чет не совсем понятно.
Подскажите пожалуйста товарищи.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Cisco asa 5516 proxy-arp"  +/
Сообщение от zanswer CCNA RS and S on 28-Авг-17, 12:31 
>[оверквотинг удален]
>  ip address 192.168.206.1 255.255.255.0
> Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112
> с IP 192.168.204.15
> Есть устройства за interface GigabitEthernet1/1.1114 которые броадкастами пытаются найти
> устройство  с ключами, но устройство енто в другом бродкасте .
> Как сделать чтобы broadcast уходил с GigabitEthernet1/1.1114 на GigabitEthernet1/4.1112
> и видел устройство 192.168.204.15.
> Как я понимаю тут нужна магия proxy-arp, но как там на асе
> чет не совсем понятно.
> Подскажите пожалуйста товарищи.

Существует два типа Layer 3 broadcast, limited и directed broadcast пакеты, первый не может покинуть пределов broadcast domain, второй при определённых настройках может. В вашем случае скорее всего речь идёт о первом, типе. Он представлен DST IP: 255.255.255.255 на Layer 3 и DST MAC: FF:FF:FF:FF:FF:FF на Layer 2.

RFC 1122: Requirements for Internet Hosts -- Communication Layers

"(c)  { -1, -1 }

                 Limited broadcast.  It MUST NOT be used as a source
                 address.

                 A datagram with this destination address will be
                 received by every host on the connected physical
                 network but will not be forwarded outside that network."

Как работает Proxy-ARP RFC 925: Multi-LAN Address Resolution

"When an ARP query is broadcast by any host the BOX reads it (as do
   all the hosts on that LAN).  In addition to checking whether it is
   the host sought (and replying if it is), the BOX checks its cache of
   IA:HA address mappings in the cache that it keeps for each LAN it is
   attached to.

This LAN Only

            If the IA of all ones (i.e., 255.255.255.255) is used an IP
            level broadcast to all hosts on this LAN only is intended.
            A BOX must not forward this datagram. A BOX must examine
            the datagram for potential significance to the BOX itself."

Поэтому мне не очень понятно, чем вам поможет Proxy ARP. Вам необходим механизм схожий с DHCP Relay.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Cisco asa 5516 proxy-arp"  +/
Сообщение от zanswer CCNA RS and S on 28-Авг-17, 12:43 
>[оверквотинг удален]
> If the IA of all ones (i.e., 255.255.255.255) is used an
> IP
>            
> level broadcast to all hosts on this LAN only is intended.
>            
> A BOX must not forward this datagram. A BOX must examine
>            
> the datagram for potential significance to the BOX itself."
> Поэтому мне не очень понятно, чем вам поможет Proxy ARP. Вам необходим
> механизм схожий с DHCP Relay.

Можете показать дамп целевого пакета, который требуется передавать между интерфейсами? Разворачивать уровни не нужно, достаточно базовой информации, адресация, протоколы, порты, etc.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Cisco asa 5516 proxy-arp"  +/
Сообщение от ShyLion (ok) on 29-Авг-17, 07:57 

> Есть девайс, который содержит хардовые юзб ключи за интерфейсом interface GigabitEthernet1/4.1112
> с IP 192.168.204.15

HASP? Он отлично умеет работать юникастом.

Если не HASP, на устройство нельзя вторую сетевуху добавить?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Cisco asa 5516 proxy-arp"  +/
Сообщение от Тимофей (??) on 29-Авг-17, 22:10 
У вас есть 2 L2 сегмента, хотите чтобы трафик ходил, настраивайте L3. Бродкаст ходит только в пределах одного домена, юзайте юникаст. И не забудьте команду same-security-traffic permit inter-interface дабы разрешить трафик между интерфейсами с одинаковым security-level.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру