深信防火墙:代理ARP (防火墙做arp回复)
深信防火墙:代理ARP (防火墙做arp回复)
深信服的防火墙8.0.51或以上的版本,双向nat或者目的nat的地址转换策略中,
如果原始数据包转换前的数据的目的地址如果被包含了(源区域也需要匹配),所属ip段又属于防火墙的接口ip段,那这时候防火墙会对nat策略匹配到的ip开启代理arp。
现象:
都是防火墙发来的ARP查询包:
相关事件:浪潮超融合服务器起不来。
浪潮:
浪潮的服务器起来前提是要做arp查询(需要真实服务器回应)。
防火墙:
对192.168.1.x网段不在线的ip做arp代理,会代理不在线的ip地址做arp代理回复。
当ip在线时,防火墙会停止arp代理回复,会发arp包检测这192.168.1.x中的ip是否在线。
事件的可能经过:
浪潮服务器离线时,防火墙代替浪潮做了arp回复,浪潮没有收到真实服务器的回复,而是防火墙的,所以浪潮起不来。
如果浪潮ip不在线,防火墙就还会是对浪潮ip地址做arp代理回复。
所以死循环,当拔掉网线后,破坏了死循环。
浪潮起来后,防火墙也不对在线的ip做arp代理了。
总结:浪潮与深信服设备工作机制的冲突,导致业务故障。
解决:
所有双向nat与目的nat的策略中,原始数据包的目的地址不要包含浪潮的ip(源区域也需要匹配),这样防火墙就会不对这些ip做arp回复了。
总结:此项目中可以改善的地方,建议服务器的ip地址段不要与网络设备之间通信的地址段一样,即服务器的网段是专用的。
疑问:
之前的防火墙版本没有代理arp它是怎样工作,为什么现在这样设计?
A:
常见的场景就是 路由器在配置映射的时候,不用将地址写入到接口上。只需要开启arp代理即可。
比如我再这个路由器上做了映射 172.16.20.101的443端口映射给PC1
我是不是要将这个地址写到接口上,但是开启arp代理后,我就可以不用配置在接口上了。
B:
那以前的防火墙版本是一定要将这个ip地址192.168.20.101写在防火墙的内网接口上才行对吧?
A:
对
或者手动配置arp代理。
所以对于映射这块 很多人反馈和华为思科那边都不一样。
标准的情况就是当映射配置的额这个目的地址 不在接口上的时候就会自动进行arp代理。
B:
明白了
深信服官方案例:【AF】ARP代理功能使用案例一
https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=196703
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 深信防火墙:代理ARP (防火墙做arp回复)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm