Добавить запись в таблицу arp не удалось, доступ запрещен в Windows 10

Обновлено: 29.06.2024

Протокол разрешения адресов (ARP) – это протокол, который связывает IP-адрес с MAC-адресом сетевого устройства. Статическая запись ARP — это постоянная запись в вашем кэше ARP.

Например, может потребоваться добавить статические записи ARP для маршрутизаторов, подключенных к Active/Active FireCluster. Дополнительные сведения см. в разделе Добавление статических записей ARP для Active/Active FireCluster.

Чтобы добавить статическую запись ARP для сетевого устройства, из веб-интерфейса Fireware:

  1. Выберите Сеть > Записи ARP.
    Откроется диалоговое окно "Статические записи ARP".
  2. Нажмите «Добавить».
    Появится диалоговое окно ARP Entry.
  3. В раскрывающемся списке Интерфейс выберите интерфейс, к которому подключено устройство.
  4. В текстовом поле IP-адрес введите IP-адрес устройства.
  5. В текстовом поле MAC-адрес введите MAC-адрес устройства.
  6. Нажмите "ОК".
    Статическая запись ARP добавляется в список Статические записи ARP.

Чтобы добавить статическую запись ARP для сетевого устройства, из диспетчера политик:

  1. Выберите Сеть > Записи ARP.
    Откроется диалоговое окно "Статические записи ARP".
  2. Нажмите «Добавить».
    Появится диалоговое окно "Добавить запись ARP".
  3. В раскрывающемся списке Интерфейс выберите интерфейс, к которому подключено устройство.
  4. В текстовом поле IP-адрес введите IP-адрес устройства.
  5. В текстовом поле MAC-адрес введите MAC-адрес устройства.
  6. Нажмите "ОК".
    Статическая запись ARP добавляется в список Статические записи ARP.

Чтобы изменить или удалить статическую запись ARP, выберите статическую запись ARP в таблице и нажмите "Изменить" или "Удалить".

Чтобы просмотреть таблицу ARP, откройте отчет о состоянии в Firebox System Manager.

Чтобы просмотреть таблицу ARP, выберите Состояние системы > Таблица ARP.

© WatchGuard Technologies, Inc., 2022. Все права защищены. WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

Untitled.jpg

Странно. При запуске от имени администратора это должно быть "C:\Windows\system32".

Если вы получили "C:\Windows\system32", все готово.

качуа_0

Спасибо.
Вы можете мне помочь?


Огненный кот

Постоянный участник

Реклама

качуа_0

Задать вопрос

Хотите ответить в этой теме или задать свой вопрос?

Вам нужно будет выбрать имя пользователя для сайта, что займет всего пару минут. После этого вы можете опубликовать свой вопрос, и наши участники помогут вам.

Похожие темы

помогите мне включить аппаратное ускорение в acer aspire 5336 1 29 октября 2018 г.
Помощь с записями реестра 2 28 октября 2018 г.
Помощь при копировании слишком длинных имен файлов 1 13 октября 2018 г.
Нужна помощь с невидимым скрытым файлом - максимальное разрешение HD 1 24 августа 2018 г.
Нужна помощь при перемещении личных папок в меню "Пуск" в раздел данных 0 16 августа 2018 г.
РЕШЕНО Помогите моему компьютеру испортиться 10 17 июня 2018 г.
РЕШЕНО Пожалуйста, помогите мне разблокировать четыре из восьми процессоров? 1 2 июня 2018 г.
Подаренные ноутбуки полностью удалены!! Помогите! 4 16 марта 2018 г.

Мы — сообщество знающих ПК-энтузиастов, предоставляющих советы и поддержку пользователям Windows 7. Наши руководства охватывают многие распространенные темы, связанные с Windows 7.

Коммутаторы уровня 3, работающие в режиме по умолчанию, не имеют проблем с многоадресным трафиком, поэтому FireCluster работает без изменений конфигурации. Коммутатор уровня 3, у которого все порты настроены в одной VLAN, также работает без проблем. Если коммутатор уровня 3 имеет порты, настроенные для разных VLAN, необходимо изменить конфигурацию, чтобы коммутатор мог правильно работать с FireCluster.

Коммутаторы уровня 3, выполняющие маршрутизацию VLAN и/или IP-адресов, отбрасывают многоадресный трафик от членов FireCluster. Коммутатор отбрасывает трафик к маршрутизатору и через него, если вы не настроите статические записи MAC и ARP для многоадресного MAC-адреса FireCluster на коммутаторе, который получает многоадресный трафик.

При настройке активного/активного FireCluster может потребоваться внести некоторые изменения в конфигурацию FireCluster и сетевых коммутаторов, чтобы многоадресные MAC-адреса FireCluster работали правильно. Для получения общей информации см.:

В этом разделе приведен пример настройки коммутаторов и параметров статического ARP FireCluster для активного/активного FireCluster. Этот пример не включает все остальные шаги по настройке FireCluster. Инструкции по настройке FireCluster см. в разделе Настройка FireCluster.

Прежде чем начать, убедитесь, что у вас есть:

  • IP-адрес и многоадресный MAC-адрес интерфейса FireCluster, к которому подключен коммутатор.
    Дополнительную информацию см. в разделе Поиск многоадресных MAC-адресов для активного/активного кластера.
  • IP-адрес и MAC-адрес каждого коммутатора или маршрутизатора, подключенного к интерфейсам FireCluster.

WatchGuard предоставляет инструкции по совместимости, чтобы помочь нашим клиентам настроить продукты WatchGuard для работы с продуктами, созданными другими организациями. Если вам нужна дополнительная информация или техническая поддержка по настройке продукта, отличного от WatchGuard, см. документацию и ресурсы поддержки для этого продукта.

Пример конфигурации

В этом примере конфигурация FireCluster имеет один внешний и один внутренний интерфейс. Внешний интерфейс каждого члена кластера подключен к коммутатору Cisco 3750. Внутренний интерфейс каждого члена кластера подключен к коммутатору Extreme Summit 15040. Эквивалентные команды для внесения этих изменений в конфигурацию коммутатора см. в документации по коммутатору. В этот пример включены команды для двух разных переключателей.

IP-адреса в этом примере:

  • Интерфейс FireCluster 0 (внешний) интерфейс

IP-адрес: 203.0.113.2/24

MAC-адрес многоадресной рассылки: 01:00:5e:00:71:02

  • Интерфейс FireCluster 1 (доверенный)

IP-адрес: 10.0.1.1/24

MAC-адрес многоадресной рассылки: 01:00:5e:00:01:01

  • Коммутатор Cisco 3750 подключен к внешнему интерфейсу FireCluster

IP-адрес: 203.0.113.100

MAC-адрес интерфейса VLAN: 00:10:20:3f:48:10

  • Коммутатор Extreme Summit 48i подключен к внутреннему интерфейсу FireCluster

IP-адрес: 10.0.1.100

MAC-адрес: 00:01:30:f3:f1:40

Идентификатор VLAN: Граница-100

Настройка коммутатора Cisco

В этом примере коммутатор Cisco подключен к интерфейсу FireCluster 0 (внешнему). Вы должны использовать командную строку Cisco для добавления статических записей MAC и ARP для многоадресного MAC-адреса внешнего интерфейса FireCluster.

  1. Запустите интерфейс командной строки Cisco 3750.
  2. Добавьте статическую запись ARP для многоадресного MAC-адреса интерфейса FireCluster.
    Введите эту команду:
    arp arpa
    Для этого примера введите:
    arp 203.0.113.2 0100.5e00.7102 арпа
  3. Добавить запись в таблицу MAC-адресов.
    Введите эту команду:
    mac-address-table static vlan interface
    Для этого примера введите:
    mac-address- таблица static 0100.5e00.7102 vlan 1 интерфейс gi1/0/11

Настройка коммутатора Extreme

В этом примере коммутатор Extreme Summit подключен к интерфейсу 1 FireCluster (доверенному). Вы должны использовать командную строку Extreme Summit, чтобы добавить статические записи MAC и ARP для многоадресного MAC-адреса доверенного интерфейса FireCluster.

  1. Запустите командную строку Extreme Summit 48i.
  2. Добавьте статическую запись ARP для многоадресного MAC-адреса интерфейса FireCluster.
    Введите эту команду:
    configured iparp add
    Для этого примера введите:
    configured iparp add 10.0.1.1/24 01:00:5e:00:01:01
  3. Добавьте запись в таблицу MAC-адресов.
    Введите эту команду:
    create fdbentry VLAN port Для этого примера введите:
    create fdbentry 01:00:5e:00:01: 01 VLAN Border-100 порт 9

Добавить статические записи ARP в конфигурацию FireCluster для каждого коммутатора

  1. В WatchGuard System Manager используйте IP-адрес доверенного интерфейса кластера для подключения к FireCluster. Не используйте IP-адрес управления.
  2. Нажмите .
    Или выберите Инструменты > Диспетчер политик.
    Появится Диспетчер политик.
  3. Выберите Сеть > Записи ARP.
    Откроется диалоговое окно "Статические записи ARP".
  4. Нажмите «Добавить».
    Появится диалоговое окно "Добавить запись ARP".
  5. В раскрывающемся списке Интерфейс выберите Внешний.
  6. В текстовом поле IP-адрес введите IP-адрес интерфейса коммутатора, подключенного к внешнему интерфейсу.
    Для этого примера введите: 203.0.113.100
  7. В текстовом поле MAC-адрес введите MAC-адрес интерфейса VLAN на коммутаторе Cisco, подключенном к внешнему интерфейсу.
    Для этого примера введите: 00:10:20:3f:48:10
  8. Нажмите "ОК".
    Статическая запись ARP добавляется в список Статические записи ARP.
  9. Нажмите «Добавить».
    Появится диалоговое окно "Добавить запись ARP".
  10. В раскрывающемся списке Интерфейс выберите Доверенный.
  11. В текстовом поле IP-адрес введите IP-адрес интерфейса коммутатора, подключенного к доверенному интерфейсу.
    Для этого примера введите: 10.0.1.100
  12. В текстовом поле MAC-адрес введите MAC-адрес интерфейса коммутатора, подключенного к доверенному интерфейсу.
    Для этого примера введите: 00:01:30:f3:f1:40
  13. Нажмите "ОК".
    Статическая запись ARP добавляется в список Статические записи ARP.
  14. Нажмите "ОК", чтобы закрыть диалоговое окно "Статические записи ARP".
  15. Выберите «Файл» > «Сохранить» > в Firebox, чтобы сохранить статические записи ARP в FireCluster.

    16. © WatchGuard Technologies, Inc., 2022. Все права защищены. WatchGuard и логотип WatchGuard являются зарегистрированными товарными знаками или товарными знаками WatchGuard Technologies в США и/или других странах. Все остальные торговые наименования являются собственностью соответствующих владельцев.

    В этой главе описывается, как настроить таблицу MAC-адресов и настроить проверку ARP для групп мостов.

    О проверке ARP и таблице MAC-адресов

    Для интерфейсов в группе мостов проверка ARP предотвращает атаку "человек посередине". Вы также можете настроить другие параметры ARP. Вы можете настроить таблицу MAC-адресов для групп мостов, в том числе добавить статическую запись ARP для защиты от подмены MAC-адресов.

    Проверка ARP для трафика группы мостов

    По умолчанию все пакеты ARP разрешены между членами группы моста. Вы можете контролировать поток пакетов ARP, включив проверку ARP.

    Проверка ARP не позволяет злоумышленникам выдавать себя за другие хосты или маршрутизаторы (это называется спуфингом ARP). Спуфинг ARP может позволить провести атаку «человек посередине». Например, хост отправляет запрос ARP шлюзовому маршрутизатору; маршрутизатор шлюза отвечает MAC-адресом маршрутизатора шлюза. Однако злоумышленник отправляет хосту другой ответ ARP с MAC-адресом злоумышленника вместо MAC-адреса маршрутизатора. Злоумышленник теперь может перехватывать весь трафик хоста, прежде чем перенаправить его на маршрутизатор.

    Проверка ARP гарантирует, что злоумышленник не сможет отправить ответ ARP с MAC-адресом злоумышленника, если правильный MAC-адрес и связанный с ним IP-адрес находятся в статической таблице ARP.

    Когда вы включаете проверку ARP, ASA сравнивает MAC-адрес, IP-адрес и исходный интерфейс во всех пакетах ARP со статическими записями в таблице ARP и выполняет следующие действия:

    Если IP-адрес, MAC-адрес и исходный интерфейс совпадают с записью ARP, пакет передается.

    Если существует несоответствие между MAC-адресом, IP-адресом или интерфейсом, ASA отбрасывает пакет.

    Если пакет ARP не соответствует ни одной записи в статической таблице ARP, вы можете настроить ASA либо на пересылку пакета на все интерфейсы (лавинная рассылка), либо на отбрасывание пакета.

    Выделенный интерфейс управления никогда не рассылает пакеты, даже если для этого параметра установлено значение лавинной рассылки.

    Таблица MAC-адресов

    При использовании групп мостов ASA изучает и создает таблицу MAC-адресов так же, как обычный мост или коммутатор: когда устройство отправляет пакет через группу мостов, ASA добавляет MAC-адрес в свою таблицу. Таблица связывает MAC-адрес с исходным интерфейсом, чтобы ASA знал, что любые пакеты, адресованные устройству, следует отправлять через правильный интерфейс.Поскольку трафик между членами группы мостов регулируется политикой безопасности ASA, если MAC-адрес назначения пакета отсутствует в таблице, ASA не рассылает исходный пакет на все интерфейсы, как это делает обычный мост. Вместо этого он генерирует следующие пакеты для устройств, подключенных напрямую или для удаленных устройств:

    Пакеты для устройств, подключенных напрямую. ASA генерирует запрос ARP для IP-адреса назначения, чтобы узнать, какой интерфейс получает ответ ARP.

    Пакеты для удаленных устройств. ASA генерирует эхо-запрос на IP-адрес назначения, чтобы узнать, какой интерфейс получает ответ на эхо-запрос.

    Исходный пакет отброшен.

    Для маршрутизируемого режима можно дополнительно включить лавинную рассылку не-IP-пакетов на всех интерфейсах.

    Настройки по умолчанию

    Если вы включите проверку ARP, настройка по умолчанию — лавинная рассылка несоответствующих пакетов.

    Значение времени ожидания по умолчанию для записей таблицы динамических MAC-адресов составляет 5 минут.

    По умолчанию каждый интерфейс автоматически запоминает MAC-адреса входящего трафика, и ASA добавляет соответствующие записи в таблицу MAC-адресов.

    ASA создает пакет сброса для сброса соединения, отклоненного механизмом проверки с отслеживанием состояния. Здесь MAC-адрес назначения пакета не определяется на основе поиска в таблице ARP, а вместо этого берется непосредственно из пакетов (соединений), которым отказано.

    Рекомендации по проверке ARP и таблице MAC-адресов

    Проверка ARP поддерживается только для групп мостов.

    Конфигурация таблицы MAC-адресов поддерживается только для групп мостов.

    Настройка проверки ARP и других параметров ARP

    Для групп мостов можно включить проверку ARP. Вы также можете настроить другие параметры ARP как для групп мостов, так и для интерфейсов в режиме маршрутизации.

    Процедура

    Добавьте статические записи ARP в соответствии с разделом «Добавление статической записи ARP и настройка других параметров ARP». Проверка ARP сравнивает пакеты ARP со статическими записями ARP в таблице ARP, поэтому для этой функции требуются статические записи ARP. Вы также можете настроить другие параметры ARP.

    Включите проверку ARP в соответствии с параметром Включить проверку ARP.

    Добавить статическую запись ARP и настроить другие параметры ARP

    По умолчанию для групп мостов разрешены все пакеты ARP между интерфейсами членов группы мостов. Вы можете контролировать поток пакетов ARP, включив проверку ARP. Проверка ARP сравнивает пакеты ARP с статическими записями ARP в таблице ARP.

    Для маршрутизируемых интерфейсов можно вводить статические записи ARP, но обычно достаточно динамических записей. Для маршрутизируемых интерфейсов таблица ARP используется для доставки пакетов напрямую подключенным хостам. Хотя отправители идентифицируют получателя пакета по IP-адресу, фактическая доставка пакета в Ethernet зависит от MAC-адреса Ethernet. Когда маршрутизатор или хост хочет доставить пакет в сеть с прямым подключением, он отправляет запрос ARP с запросом MAC-адреса, связанного с IP-адресом, а затем доставляет пакет по MAC-адресу в соответствии с ответом ARP. Хост или маршрутизатор хранит таблицу ARP, поэтому ему не нужно отправлять запросы ARP для каждого пакета, который необходимо доставить. Таблица ARP динамически обновляется всякий раз, когда ответы ARP отправляются по сети, и если запись не используется в течение определенного периода времени, время ожидания истекает. Если запись неверна (например, MAC-адрес изменяется для заданного IP-адреса), для записи требуется время ожидания, прежде чем она сможет быть обновлена ​​новой информацией.

    Для прозрачного режима ASA использует только динамические записи ARP в таблице ARP для входящего и исходящего трафика ASA, например трафика управления.

    Вы также можете установить время ожидания ARP и другое поведение ARP.

    Процедура

    Добавить статическую запись ARP:

    arp interface_name ip_address mac_address [псевдоним]

    Пример:

    В этом примере разрешены ответы ARP от маршрутизатора 10.1.1.1 с MAC-адресом 0009.7cbe.2100 на внешнем интерфейсе.

    Укажите псевдоним в режиме маршрутизации, чтобы включить прокси-ARP для этого сопоставления. Если ASA получает запрос ARP для указанного IP-адреса, то он отвечает MAC-адресом ASA. Это ключевое слово полезно, например, если у вас есть устройства, которые не выполняют ARP. В режиме прозрачного брандмауэра это ключевое слово игнорируется; ASA не выполняет прокси-ARP.

    Установите время ожидания ARP для динамических записей ARP:

    время ожидания arp в секундах

    Пример:

    В этом поле задается время, по истечении которого ASA перестраивает таблицу ARP, от 60 до 4294967 секунд. По умолчанию 14400 секунд. Перестроение таблицы ARP автоматически обновляет информацию о новом узле и удаляет старую информацию о узле. Возможно, вы захотите уменьшить время ожидания, поскольку информация о хосте часто меняется.

    Разрешить неподключенные подсети:

    Кэш ASA ARP по умолчанию содержит только записи из подсетей с прямым подключением.Вы можете включить кэш ARP, чтобы он также включал подсети, не подключенные напрямую. Мы не рекомендуем включать эту функцию, если вы не знаете об угрозах безопасности. Эта функция может облегчить атаку отказа в обслуживании (DoS) против ASA; пользователь любого интерфейса может отправить много ответов ARP и перегрузить таблицу ARP ASA ложными записями.

    Вы можете использовать эту функцию, если используете:

    Прокси ARP на соседних маршрутах для переадресации трафика.

    Установите предел скорости ARP, чтобы контролировать количество пакетов ARP в секунду:

    арп-лимит скорости в секундах

    Пример:

    Введите значение от 10 до 32768. Значение по умолчанию зависит от вашей модели ASA. Вы можете настроить это значение, чтобы предотвратить атаку ARP-шторма.

    Включить проверку ARP

    В этом разделе описывается, как включить проверку ARP для групп мостов.

    Процедура

    Включить проверку ARP:

    arp-inspection interface_name включает [flood | без флуда]

    Пример:

    Ключевое слово Flood перенаправляет несоответствующие пакеты ARP на все интерфейсы, а No-Flood отбрасывает несоответствующие пакеты.

    Настройкой по умолчанию является лавинная рассылка несовпадающих пакетов. Чтобы ограничить ARP через ASA только статическими записями, установите для этой команды значение no-flood.

    Настройка таблицы MAC-адресов для групп мостов

    В этом разделе описывается, как настроить таблицу MAC-адресов для групп мостов.

    Добавить статический MAC-адрес для групп мостов

    Обычно MAC-адреса добавляются в таблицу MAC-адресов динамически, когда трафик с определенного MAC-адреса входит в интерфейс. Вы можете добавить статические MAC-адреса в таблицу MAC-адресов. Одним из преимуществ добавления статических записей является защита от подмены MAC-адресов. Если клиент с тем же MAC-адресом, что и статическая запись, пытается отправить трафик на интерфейс, который не соответствует статической записи, то ASA отбрасывает трафик и генерирует системное сообщение. Когда вы добавляете статическую запись ARP (см. Добавление статической записи ARP и Настройка других параметров ARP), запись статического MAC-адреса автоматически добавляется в таблицу MAC-адресов.

    Чтобы добавить статический MAC-адрес в таблицу MAC-адресов, выполните следующие действия.

    Процедура

    Добавьте запись статического MAC-адреса:

    mac-address-table static interface_name mac_address

    Пример:

    interface_name — это исходный интерфейс.

    Установите время ожидания MAC-адреса

    Значение времени ожидания по умолчанию для записей таблицы динамических MAC-адресов составляет 5 минут, но вы можете изменить это время. Чтобы изменить время ожидания, выполните следующие действия.

    Процедура

    Установите время ожидания ввода MAC-адреса:

    время устаревания таблицы mac-адресов timeout_value

    Пример:

    timeout_value (в минутах) находится в диапазоне от 5 до 720 (12 часов). 5 минут по умолчанию.

    Настройка обучения MAC-адресам

    По умолчанию каждый интерфейс автоматически запоминает MAC-адреса входящего трафика, и ASA добавляет соответствующие записи в таблицу MAC-адресов. При желании можно отключить изучение MAC-адресов, однако, если вы не добавите MAC-адреса в таблицу статически, через ASA не будет проходить трафик. В режиме маршрутизации вы можете включить лавинную рассылку пакетов, отличных от IP, на всех интерфейсах.

    Чтобы настроить заучивание MAC-адресов, выполните следующие действия:

    Процедура

    Отключить изучение MAC-адресов:

    mac-learn interface_name отключить

    Пример:

    Форма no этой команды повторно включает изучение MAC-адреса.

    Команда clear configure mac-learn повторно включает изучение MAC-адресов на всех интерфейсах.

    (Только в режиме маршрутизации) Включить лавинную рассылку пакетов, отличных от IP.

    узнать флуд на mac

    Пример:

    Мониторинг проверки ARP и таблицы MAC-адресов

    показать arp-проверку

    Отслеживает проверку ARP. Показывает текущие настройки проверки ARP на всех интерфейсах.

    показать таблицу MAC-адресов [имя_интерфейса]

    Отслеживает таблицу MAC-адресов. Вы можете просмотреть всю таблицу MAC-адресов (включая статические и динамические записи для обоих интерфейсов) или просмотреть таблицу MAC-адресов для интерфейса.

    Ниже приведен пример вывода команды show mac-address-table, которая показывает всю таблицу:

    Ниже приведен пример вывода команды show mac-address-table, которая показывает таблицу для внутреннего интерфейса:

    История проверки ARP и таблица MAC-адресов

    Проверка ARP сравнивает MAC-адрес, IP-адрес и исходный интерфейс во всех пакетах ARP со статическими записями в таблице ARP. Эта функция доступна для прозрачного режима брандмауэра и для интерфейсов в группе мостов как в прозрачном, так и в маршрутизируемом режимах, начиная с версии 9.7(1).

    Мы представили следующие команды: arp, arp-inspection и show arp-inspection.

    Таблица MAC-адресов

    Начиная с версии 9.7(1) вы можете настроить таблицу MAC-адресов для прозрачного режима и для интерфейсов в группе мостов как в прозрачном, так и в маршрутизируемом режимах.

    Мы представили следующие команды: mac-address-table static, mac-address-table aging-time, mac-learn disabled и show mac-address-table.

    Добавления в кэш ARP для неподключенных подсетей

    Кэш ASA ARP по умолчанию содержит только записи из подсетей с прямым подключением. Теперь вы можете включить кэш ARP, чтобы он также включал подсети, не подключенные напрямую. Мы не рекомендуем включать эту функцию, если вы не знаете об угрозах безопасности. Эта функция может облегчить атаку отказа в обслуживании (DoS) против ASA; пользователь любого интерфейса может отправить много ответов ARP и перегрузить таблицу ARP ASA ложными записями.

    Вы можете использовать эту функцию, если используете:

    Прокси ARP на соседних маршрутах для переадресации трафика.

    Мы ввели следующую команду: arp permit-nonconnected.

    Настраиваемое ограничение скорости ARP

    Вы можете установить максимально допустимое количество пакетов ARP в секунду. Значение по умолчанию зависит от вашей модели ASA. Вы можете настроить это значение, чтобы предотвратить атаку ARP-шторма.

    Мы добавили следующие команды: arp rate-limit, show arp rate-limit

    Интегрированная маршрутизация и мосты

    Встроенная маршрутизация и мост обеспечивают возможность маршрутизации между группой мостов и маршрутизируемым интерфейсом. Группа мостов — это группа интерфейсов, которые ASA соединяет мостами вместо маршрутов. ASA не является настоящим мостом, поскольку ASA продолжает действовать как брандмауэр: управление доступом между интерфейсами контролируется, и выполняются все обычные проверки брандмауэра. Раньше вы могли настраивать группы мостов только в режиме прозрачного брандмауэра, где маршрутизация между группами мостов невозможна. Эта функция позволяет настраивать группы мостов в режиме маршрутизируемого брандмауэра, а также маршрутизировать между группами мостов и между группой мостов и маршрутизируемым интерфейсом. Группа моста участвует в маршрутизации, используя виртуальный интерфейс моста (BVI), выступающий в качестве шлюза для группы моста. Интегрированная маршрутизация и мостовое соединение обеспечивают альтернативу использованию внешнего коммутатора уровня 2, если у вас есть дополнительные интерфейсы на ASA для назначения группе мостов. В режиме маршрутизации BVI может быть именованным интерфейсом и может участвовать отдельно от интерфейсов-членов в некоторых функциях, таких как правила доступа и DHCP-сервер.

    Следующие функции, которые поддерживаются в прозрачном режиме, не поддерживаются в режиме маршрутизации: многоконтекстный режим, кластеризация ASA. Следующие функции также не поддерживаются BVI: динамическая маршрутизация и многоадресная маршрутизация.

    Мы изменили следующие команды: access-group, access-list ethertype, arp-inspection, dhcpd, mac-address-table static, mac-address-table aging-time, mac-learn, route, show arp-inspection. , показать группу мостов, показать таблицу MAC-адресов, показать mac-learn

    Читайте также: