S5700 同1个IP地址,更换到不同电脑,会出现更换后的电脑无法通信的情况,手动刷新ARP表后正常

发布时间:  2016-12-22 浏览次数:  333 下载次数:  0
问题描述

情况:S5700做三层网关, 同1个IP地址,前后更换到不同的电脑上手动配置使用,会出现更换后的电脑无法通信的情况,手动刷新ARP表后就正常。

处理过程

反馈在无法联网通信期间,更换IP后的电脑能ping通5700的三层网关地址,但是无法ping通5700的上行设备地址和其他网段的地址。

根据此信息,说明同网段二层MAC互通是正常的,问题应该是出在了三层ARP查询上面。

采集display arp 和 配置文件分析。

发现ARP表项对应的IP故障电脑的IP地址,但是MAC地址还是以前的电脑的MAC,说明ARP表项没有动态刷新。

其次,注意到配置有一条命令:arp anti-attack entry-check fixed-all enable

查询此命令作用,是固化ARP表项的,而且 fixed-all方式,是只有当ARP报文对应的MAC地址、接口、VLAN信息和ARP表项中的信息完全匹配时,设备才可以更新ARP表项的其他内容。

去掉arp anti-attack entry-check fixed-all enable以后问题解决

根因

arp anti-attack entry-check fixed-all enable

此命令作用是固化ARP表项的,而且 fixed-all方式,是只有当ARP报文对应的MAC地址、接口、VLAN信息和ARP表项中的信息完全匹配时,设备才可以更新ARP表项的其他内容。

导致老IP配置到新的MAC的电脑以后,ARP表项不能动态学习刷新。

解决方案
去掉arp anti-attack entry-check fixed-all enable以后问题解决。
建议与总结
遇到三层不通的问题,除了接口状态等问题,可以尝试确定ARP表项是否正确学习,是否有如本案例配置了ARP固化等命令的原因。

END