ASG2050网关模式,ping公网网关不通

发布时间:  2016-06-16 浏览次数:  164 下载次数:  0
问题描述

ASG2050网关模式,ping公网网关不通

告警信息


处理过程
1.查看设备基本配置,在ASG ping 网关116.X.X.201采集会话信息如下。
<ASG>display  firewall session table  verbose destination global 116.X.X.201
20:21:00  2016/06/16
Current Total Sessions : 1
icmp VPN:public --> public
Zone:local-->untrust TTL:00:00:20 Left: 00:00:12
Interface:GigabitEthernet0/0/1 NextHop: 116.246.2.201 MAC: 00-e0-fc-6a-ec-f4
<--packets:0 bytes:0  -->packets:5 bytes:420
116.X.X.202:43985-->116.X.X.201:2048

2.初步怀疑是运营商做限制,但是使用PC接公网测试能正常上网,排除运营商的问题

3.再次查看设备的日志信息发现有ARP欺骗告警
%2016-06-16 20:19:42 ASG2050 %%01SEC/4/ATCKDF(l): AttackType="Arp spoof attack", slot="0", receive interface="GigabitEthernet0/0/1 ", proto="ARP", src="116.X.X.201:0 ", dst="116.X.X.202:0 ", begin time="2016-06-16 20:18:36", end time="2016-06-16 20:19:41", total packets="7", max speed="0".

4.在设备上dis arp 无法查看到网关ARP,是由于网关做了IP+MAC绑定,绑定的MAC地址错误
根因

配置了网关IP与MAC绑定,设备接收到网关发送的ARP报文与本机绑定的MAC参数不匹配,产生Arp spoof attack

firewall mac-binding enable
firewall mac-binding 116.X.X.201 00e0-fc6a-ecf4


解决方案
删除网关的IP与MAC绑定表解决,正确网关ARP如下
<ASG>display  arp
20:31:22  2016/06/16
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE  
                                          VLAN/PVC                       
------------------------------------------------------------------------------

116.X.X.201      3400-a308-5213     20       D           GE0/0/1   
建议与总结
防攻击检测优先于会话表,所以查看会话时,回包数为0。
回程报文是丢在设备上,而不是丢在运营侧,犯经验性错误。

END