usg6350因nat源地址池配置不合理导致arp冲突

发布时间:  2016-09-10 浏览次数:  404 下载次数:  0
问题描述
网络结构:专网1--usg6350--专网2。网络攻击可能性不大,客户换过两台server,但是提示arp攻击,只有拔掉server就没有告警。看到日志发现是arp冲突告警,但是网络中只有一台服务器,不会有冲突的。
告警信息
%2016-09-07 19:02:06 USG6300 ARP/4/DUP_IPADDR:Receive an ARP packet with duplicate ip address 22.223.101.180 from GigabitEthernet1/0/0, source MAC is 98be-9446-945a!
%2016-09-07 19:02:06 USG6300 ARP/4/DUP_IPADDR:Receive an ARP packet with duplicate ip address 22.223.101.179 from GigabitEthernet1/0/0, source MAC is 98be-9446-b1c2!
%2016-09-07 19:02:11 USG6300 ARP/4/DUP_IPADDR:Receive an ARP packet with duplicate ip address 22.223.101.180 from GigabitEthernet1/0/0, source MAC is 98be-9446-945a!
%2016-09-07 19:02:11 USG6300 ARP/4/DUP_IPADDR:Receive an ARP packet with duplicate ip address 22.223.101.179 from GigabitEthernet1/0/0, source MAC is 98be-9446-b1c2!
%2016-09-07 19:02:15 USG6300 ARP/4/DUP_IPADDR:Receive an ARP packet with duplicate ip address 22.223.101.179 from GigabitEthernet1/0/0, source MAC is 98be-9446-b1c2!
%2016-09-07 19:02:31 USG6300 ARP/4/DUP_IPADDR:Receive an ARP packet with duplicate ip address 22.223.101.179 from GigabitEthernet1/0/0, source MAC is
处理过程

1、其内网中服务器数量确实比较多,服务器也是静态配置的IP,不能排除手工配置失误导致IP地址冲突的可能性,因为是新开局点,没有业务,让其将服务器暂时不接入网络,查看防火墙确实没有arp冲突告警了。

2、但是将服务器刚接入网络时,防火墙上又报arp冲突的告警了,网络中此时只接了单台服务器上去。

3、查看告警信息中的IP和MAC信息,确实是刚接入的服务器的IP、MAC,怀疑是服务器中病毒了,换了台服务器仍旧有告警,排除服务器中病毒。

4、经过仔细询问客户网络结构,了解到usg6350是连接两个专网的节点。专网1与专网2之间的通信都有做源nat,检查nat配置发现问题:

nat-policy
rule name 1
  source-zone trust
  destination-zone untrust
  source-address 172.27.0.0 mask 255.255.0.0
  action nat address-group 22.223.0.0
rule name 2
  source-zone untrust
  destination-zone trust
  source-address 22.223.101.0 mask 255.255.255.0
  action nat easy-ip

  nat address-group 22.223.0.0
  section 0 22.223.101.64 22.223.101.254

5、从专网2进来的流量做了源地址转换,而转换的地址跟内网地址有冲突。

根因
nat源地址池与服务器所在网段相同造成ARP冲突。
解决方案

   将服务器地址段做修改即可。

END