Eudemon防火墙替换现网设备由于上行设备ARP未老化导致业务不通

发布时间:  2012-12-28 浏览次数:  314 下载次数:  0
问题描述
Eudemon200S替换现网友商设备后:
1、 内网无法访问Internet;
2、 内网可以ping通E200S的内网口和外网口,但ping不通E200S的上行设备;
3、 E200S可以ping通上行设备。
4、检查路由无问题。
告警信息
处理过程
打开IP调试开关(debugging ip packet acl xxxx),发现E200S已把报文送给上行设备,但是上行设备没有回应,防火墙上已建立会话,并且NAT转换都正确;
在local和untrust域配置nat outbound,现象一样;
在E200S上用地址池IP地址给外网口添加一个从IP地址,由于E200S向外发布该地址的免费ARP报文,使上行设备ARP表项更新,业务恢复正常;
原因是E200S的上行设备ARP表项未老化,NAT地址池IP地址对应的MAC地址仍然是友商设备的MAC地址,导致业务不通。
根因
初步估计为ARP未更新导致
建议与总结
Eudemon防火墙替换现网设备时,如果内网ping不通Eudemon上行设备,很有可能是上行设备ARP没刷新,可以在上行设备清除ARP表项或者在Eudemon相应接口视图下使用命令nat arp-gratuitous send触发Eudemon发送nat地址池和nat server的免费ARP报文。

END