USG3000防火墙替换现网设备由于上行设备ARP未老化导致业务不通

发布时间:  2012-07-18 浏览次数:  130 下载次数:  0
问题描述
USG3000防火墙替换现网友商设备后:
  1. 内网无法访问Internet;
  2. 内网可以ping通USG3000的内网口和外网口,但ping不通USG3000的上行设备;
  3. USG3000可以ping通上行设备。
告警信息
处理过程
  1. 打开IP调试开关(debugging ip packet acl xxxx),发现USG3000已把报文送给上行设备,但是上行设备没有回应,防火墙上已建立会话,并且NAT转换都正确;
  2. 在local和untrust域配置nat outbound,现象一样;
  3. 在USG3000上用地址池IP地址给外网口添加一个从IP地址,由于USG3000向外发布该地址的免费ARP报文,使上行设备ARP表项更新,业务恢复正常。
根因
由于USG3000的上行设备ARP表项未老化,NAT地址池IP地址对应的MAC地址仍然是友商设备的MAC地址,导致业务不通。
建议与总结
USG防火墙替换现网设备时,如果内网ping不通防火墙上行设备,很有可能是上行设备ARP没刷新,可以在上行设备清除ARP表项或者在防火墙相应接口视图下使用命令nat arp-gratuitous send触发防火墙发送nat地址池和nat server的免费ARP报文。

END