非直连网段不通

发布时间:  2016-07-03 浏览次数:  199 下载次数:  0
问题描述

AR1AR2相连,AR2AR3相连,AR3上配置loop0来模拟目标网段,AR1 ping AR3 上的loop0地址不通。备注:相关接口地址见拓扑图标识

http://support.huawei.com/enterprise/product/images/5789a918eea4425db0a66d8f8a000e51

AR1上的路由信息:

AR2的路由信息:

AR3的路由信息:

告警信息

处理过程

分析思路:

1.检查路由所有路由表,发现AR1AR2上有存在AR3loop0的路由,同时AR3也有回程运往172.16.12.0段的路由。

2.这时可以通过在AR3上抓包进行分析,看由AR1ping包是否到达AR3上,是否有回包?

AR3S1/0/0接口抓包,如下所示:

根据以上分析没有回包!

根因

根据以上分析可以得知,AR1ping  3.3.3.3的过程数据封装存在问题,SIP172.16.12.1 DIP3.3.3.3SMACAR1MAC DMAC? 因为3.3.3.3loopback地址,没是MAC地址,那二层封装目的MAC到底如何封装? 这时封装应该封装到网关,也就是AR2g0/0/0接口MAC地址,由它来代理3.3.3.3来回复。

解决方案

解决办法有两种:

一种:在AR2g0/0/0接口下开启ARP代理:arp-proxy enable

AR3s1/0/0接口进行抓包,可以看到有echo request/echo reply响应。

但是这种方式正好是攻击手段,黑客往往利用这种方式进行ARP欺骗。

二种:在AR1上删除默认路由,重新配置默认路由,下一跳指向对端172.16.12.2地址,进行测试

建议与总结

个人建议,对于以太网链路,如果手工写路由,下一跳指向对端地址;对于ppp链路,下一跳本地接口地址、对端接口地址都可以。

END