Leaflet
3-24
思科 ASA 系列命令参考,A 至 H 命令
第 3 章 area 至 auto-update timeout 命令
arp-inspection
arp-inspection
要为透明防火墙模式弃用 ARP 检查,请在全局配置模式下使用 arp-inspection 命令。要禁用 ARP
检查,请使用此命令的 no 形式。
arp-inspection interface_name enable [flood | no-flood]
no arp-inspection interface_name enable
语法说明
默认值 默认情况下,所有接口上禁用 ARP 检查;所有 ARP 数据包允许通过 ASA。当您启用 ARP 检查
时,默认值为泛洪不匹配的 ARP 数据包。
命令模式 下表展示可输入此命令的模式:
命令历史
使用指南 在启用 ARP 检查之前,使用 arp 命令配置静态 ARP 条目。
ARP 检查根据静态 ARP 条目检查所有 ARP 数据包(参阅 arp 命令)并阻止不匹配的数据包。此
功能可防止 ARP 欺骗。
当您启用 ARP 检查时,ASA 将所有 ARP 数据包中的 MAC 地址、IP 地址和源接口与 ARP 表中
的静态条目进行比较,并执行下列操作:
• 如果 IP 地址、MAC 地址和源接口与 ARP 条目匹配,则数据包通过。
• 如果 MAC 地址、IP 地址或接口之间不匹配,则 ASA 丢弃数据包。
• 如果 ARP 数据包与静态 ARP 表中的所有条目都不匹配,则可以将 ASA 设置为从所有接口转
发数据包(泛洪),或丢弃数据包。
enable
启用 ARP 检查。
flood
(默认)指定将与静态 ARP 条目的任何元素都不匹配的数据包泛洪到
除原始接口之外的所有接口。如果 MAC 地址、IP 地址或接口之间不匹
配,则 ASA 丢弃数据包。
注 如果有管理特定接口,即使此参数设置为 flood,它也从不会泛洪
数据包。
interface_name
要启用 ARP 检查的接口。
no-flood
(可选)指定丢弃没有完全匹配静态 ARP 条目的数据包。
命令模式
防火墙模式 安全情景
路由 透明 单个
多个
情景 系统
全局配置
—
• 是 • 是 • 是
—
版本 修改
7.0(1)
引入了此命令。