深信防火墙：代理ARP (防火墙做arp回复)

深信防火墙：代理ARP (防火墙做arp回复)

深信服的防火墙8.0.51或以上的版本，双向nat或者目的nat的地址转换策略中，

如果原始数据包转换前的数据的目的地址如果被包含了（源区域也需要匹配），所属ip段又属于防火墙的接口ip段，那这时候防火墙会对nat策略匹配到的ip开启代理arp。

现象：

都是防火墙发来的ARP查询包：

相关事件：浪潮超融合服务器起不来。

浪潮：

浪潮的服务器起来前提是要做arp查询(需要真实服务器回应)。

防火墙：

对192.168.1.x网段不在线的ip做arp代理，会代理不在线的ip地址做arp代理回复。

当ip在线时，防火墙会停止arp代理回复，会发arp包检测这192.168.1.x中的ip是否在线。

事件的可能经过：

浪潮服务器离线时，防火墙代替浪潮做了arp回复，浪潮没有收到真实服务器的回复，而是防火墙的，所以浪潮起不来。

如果浪潮ip不在线，防火墙就还会是对浪潮ip地址做arp代理回复。

所以死循环，当拔掉网线后，破坏了死循环。

浪潮起来后，防火墙也不对在线的ip做arp代理了。

总结：浪潮与深信服设备工作机制的冲突，导致业务故障。

解决：

所有双向nat与目的nat的策略中，原始数据包的目的地址不要包含浪潮的ip（源区域也需要匹配）,这样防火墙就会不对这些ip做arp回复了。

总结：此项目中可以改善的地方，建议服务器的ip地址段不要与网络设备之间通信的地址段一样，即服务器的网段是专用的。

疑问：

之前的防火墙版本没有代理arp它是怎样工作，为什么现在这样设计？

A:

常见的场景就是 路由器在配置映射的时候，不用将地址写入到接口上。只需要开启arp代理即可。

比如我再这个路由器上做了映射 172.16.20.101的443端口映射给PC1 

我是不是要将这个地址写到接口上，但是开启arp代理后，我就可以不用配置在接口上了。

B:

那以前的防火墙版本是一定要将这个ip地址192.168.20.101写在防火墙的内网接口上才行对吧？

A:

对

或者手动配置arp代理。

所以对于映射这块 很多人反馈和华为思科那边都不一样。

标准的情况就是当映射配置的额这个目的地址 不在接口上的时候就会自动进行arp代理。

B:

明白了

深信服官方案例：【AF】ARP代理功能使用案例一

https://bbs.sangfor.com.cn/forum.php?mod=viewthread&tid=196703