做NAT出口网关防火墙替换后由于对端设备ARP表没有更新导致内网做完NAT转换不能上公网

发布时间:  2012-07-20 浏览次数:  77 下载次数:  0
问题描述

组网如下:

公网--------usg5320----------内网核心交换机--------内网办公组网段

某局点在使用新usg5320替换在网的原usg5320后,发现内网办公网段用户不能ping通公网。两台设备完全一致,且无其它问题。

告警信息
处理过程

解决办法:在出公网接口上配置nat arp-a send。

该命令配置后,arp表会立即更新,内网网段可立即ping通公网,几乎无延迟时间。

根因
经过分析,由于在配置出口地址池不是真实的usg5320公网接口ip,两台usg5320设备接口的mac不一致,导致arp作变更,由于对端设备在运营商处,对端设备不能及时更新设备arp表,所以内网网段做完nat转换后不能访问公网。
建议与总结
若客户没有强烈要求,最好将nat地址池和出口ip地址保持一致。

END