Problemas con GARP después de reemplazar un dispositivo con un ASA

Introducción

Este es mi primer documento en español de una serie que espero poder completar y así ayudar a la comunidad de Cisco en español. La idea tambien es realizar video tutoriales y configuraciones de ejemplos para algunas de las capacidades del Firewall ASA. 

En esta ocasión vamos a ver un caso muy particular y muy común que se da en los ASA al reemplazarlos por uno existente, o reemplazar un equipo que estaba haciendo NAT con el Firewall. 

Problema: 

Tengo un servidor Web que escucha en puerto 80. Si tengo el viejo PIX, todo funciona bien, pero cuando cambio el PIX por el nuevo ASA, puedo accesar a internet, puedo accesar el servidor desde mi red interna pero no puedo accesarlo desde el internet. 

Suena extraño no? Pues en realidad es simplemente como funciona ARP.

Escenario: 

Como vemos en la imagen esta el servidor 10.0.10.100, este a su vez esta traducido a la IP 200.100.100.100 (no mostrado en la imagen). 

Ahora bien, en un escenario normal, cuando alguien busca a 200.100.100.100, la petición llega al dispositivo del ISP, en este caso el dispositivo, al saber que tiene esa red en su interfaz fa0/1 envía un petición ARP de manera Broadcast. 

Cuando este broadcast llega al PIX, este responde con su dirección MAC por tener configurado ProxyARP (cualquier dispositivo que use NAT, utiliza ProxyARP).  

Una vez que esto sucede, el mapeo de la IP con la MAC del PIX queda configurado por 4 horas, a menos que se limpie la tabla de ARP en el dispositivo del ISP. 

Razón del Problema: 

Cuando se coloca el ASA, el mapeo del PIX todavia esta presente en el dispositivo del ISP, lo que provoca que los paquetes nunca lleguen destinados al ASA, sino que el dispositivo del ISP, sigue intentando enviarlos a la MAC del PIX, dispositivo que ya ahora no existe. 

Pregunta frecuente, pero por qué todo lo demás si funciona? Es sencillo, aquí introducimos el termino de G-ARP (ARP gratuito). 

Una vez que la interfaz del ASA pase al estado "up", el envia un paquete de G-ARP de manera broadcast, para que todos sepan que la IP 200.100.100.1 tiene la MAC address de su interfaz "outside". 

Esto no sucede con las IPs de NAT, solo con las IPs de las interfaces configuradas. 

Solución:

La solución mas fácil, es limpiar la tabla de ARP del router del ISP. 

LA Segunda solución seria colocar la IP NAT del servidor en la interfaz Gig0/0 momentaneamente, esto causara que el ASA envie un G-ARP y actualize la tabla del ISP. 

Bueno, en este documento vimos varios temas importantes como ProxyARP y G-ARP, el segundo siendo un protocolo tal vez no conocido por muchos y el otro siendo una característica de cualquier dispositivo que use NAT. 

Espero que el documento sea de gran ayuda. 

Saludos. 

Mike R. 

Referencias:

https://tools.cisco.com/bugsearch/bug/CSCsy85614

Historial de versiones
Revisión n.º
1 de 1
Última actualización:
‎12-12-2015 09:08 AM
Actualizado por:
 
Etiquetas (1)
Comentarios
New Member

Excelente trabajo

Cisco Employee

Genial aporte, muchas gracias por la contribución.

Una solución adicional podría ser la configuración de la MAC Address perteneciente al PIX en la interfaz G0/0 del ASA con el comando mac address bajo el modo de configuración de la interfaz.

Nuevamente gracias Sensei.

New Member

Excelente post, bastante claro y conciso, muchas gracias por aporte  Maestro!

Cisco Employee

Es a veces dificil encontrar entre la documentacion oficial explicaciones a escenarios tan puntuales. 

Gracias Mike !!!