USG5330公网地址映射的ip报arp冲突后地址无法使用问题解决方法

发布时间:  2012-07-17 浏览次数:  168 下载次数:  0
问题描述

客户称地址映射里的一个ip在arp冲突后,除了在设备上能ping通,其他地方都无法ping通。当然映射的服务器也没办法在外网访问。

2011-10-09 16:24:53 USG5330 %%01ARP/4/ARP_DUPLICATE_IPADDR(l): Receive an ARP packet with duplicate ip address 1.1.1.2 from Eth-Trunk1, source MAC is 0021-97c4-6f7f
2011-10-09 16:24:39 USG5330 %%01ARP/4/ARP_DUPLICATE_IPADDR(l): Receive an ARP packet with duplicate ip address 1.1.1.2 from Eth-Trunk1, source MAC is 0021-97c4-6f7f
2011-10-09 16:24:37 USG5330 %%01ARP/4/ARP_DUPLICATE_IPADDR(l): Receive an ARP packet with duplicate ip address 1.1.1.2 from Eth-Trunk1, source MAC is 0021-97c4-6f7f
2011-10-09 16:24:36 USG5330 %%01ARP/4/ARP_DUPLICATE_IPADDR(l): Receive an ARP packet with duplicate ip address 1.1.1.2 from Eth-Trunk1, source MAC is 0021-97c4-6f7f
2011-10-09 16:24:34 USG5330 %%01ARP/4/ARP_DUPLICATE_IPADDR(l): Receive an ARP packet with duplicate ip address 1.1.1.2 from Eth-Trunk1, source MAC is 0021-97c4-6f7f

告警信息
处理过程

客户称在外网交换机上插一台pc配置改公网地址却能正常使用,只要能访问外网的都能ping通他,排除其他地方配置了该地址的可能。

后再查看设备配置:

 nat address-group 1 2.2.2.1 2.2.2.1
 nat server 0 protocol tcp global 2.2.2.2 ftp inside 10.10.10.1 ftp
 nat server 1 protocol tcp global 2.2.2.2 www inside 192.168.1.184 www no-reverse
 nat server 2 global 1.1.1.4 inside 192.168.1.181
 nat server 3 global 1.1.1.3 inside 192.168.1.182
 nat server 5 global 1.1.1.1 inside 192.168.1.184 no-reverse
 nat server 7 global 1.1.1.2 inside 192.168.1.183 //不能使用的ip:1.1.1.2
 nat server 9 global 1.1.1.0 inside 192.168.1.185
 nat server 10 global 1.1.1.9 inside 192.168.30.209
 nat server 11 global 1.1.1.5 inside 10.10.10.149
 nat server 12 global 1.1.1.6 inside 192.168.1.152
 nat server 13 global 1.1.1.7 inside 192.168.1.151
 nat server 14 global 1.1.1.8 inside 192.168.1.150
nat server 17 protocol tcp global 1.1.1.10 www inside 10.10.10.1 www
#
 firewall statistic system enable
#
interface Eth-Trunk1
 mac-address 0022-a102-7dd5
 ip address 2.2.2.254 255.255.255.128
 arp multi-mac-permit
#
interface Eth-Trunk2
 mac-address 0022-a102-7dd4
 ip address 10.10.10.253 255.255.255.0
#
interface GigabitEthernet0/0/0
 ip address 192.168.0.1 255.255.255.0

发现设备上并没有配置1.1.1.0网段的ip。客户称是在远端设备上配置的这个网段,有这个网段的路由到这里。到这里没有思路了,因为其他同网段的ip也可以正常使用。但客户称确实是有人不小心配置该ip导致的冲突。但已经排查出来,并修改过来了。

后想到由于和远端设备不在一个网段,是否是由于在其他地方配置后,就不会发送1.1.1.0网段的arp请求到usg5330了。而且在我们设备上夜没有配置在接口上,所以也不会发送arp请求。所以最后想到在我们设备上发送一个免费arp到远端设备。可是接口上没有1.1.1.0网段的ip啊,所以最后配置这个ip在设备的接口上为sub ip。配置后,远端就能ping通了,映射也能访问了。

根因
怀疑是在公网其他位置配置了该地址,造成地址冲突。
建议与总结
建议地址映射的公网ip不是和出接口公网ip在一个网段时,最好配置这个ip在接口的sub地址上,可以避免很多问题。

END