USG6630 双机出口NAT Server配置备机提示ARP冲突

发布时间:  2016-11-16 浏览次数:  143 下载次数:  0
问题描述

TOP:


两台USG6630使用双机方式作为网络出口,内网HTTP服务器需要映射到公网给外网用户提供访问服务;但是配置完NAT SERVER服务器映射后发现在备机上有地址冲突日志。

%2016-11-02 16:27:36 hexinfanghuoqiang1 %%01ARP/4/DUP_IPADDR(l): Receive an ARP packet with duplicate ip address 1.x.x.142 from GigabitEthernet0/0/1, source MAC is d494-e824-4870!

%2016-11-02 16:27:31 hexinfanghuoqiang1 %%01ARP/4/DUP_IPADDR(l): Receive an ARP packet with duplicate ip address 1.x.x.142 from GigabitEthernet0/0/1, source MAC is d494-e824-4870!


告警信息

%2016-11-02 16:27:36 hexinfanghuoqiang1 %%01ARP/4/DUP_IPADDR(l): Receive an ARP packet with duplicate ip address 1.x.x.142 from GigabitEthernet0/0/1, source MAC is d494-e824-4870!

%2016-11-02 16:27:31 hexinfanghuoqiang1 %%01ARP/4/DUP_IPADDR(l): Receive an ARP packet with duplicate ip address 1.x.x.142 from GigabitEthernet0/0/1, source MAC is d494-e824-4870!

处理过程

1、日志中显示冲突源的MAC地址为d494-e824-4870,这个正是FW2的GE0/0/1接口的MAC。

2、FW1上配置了NAT Server后,由于公网地址为1.x.x.142和GE0/0/1接口的地址在同一个网段,此时FW1会发送1.x.x.142的免费ARP请求报文。报文中携带的1.x.x.142的MAC地址为GE0/0/1接口的MAC地址,同时FW2 GE0/0/1接口的地址也会发送1.x.x.142的免费ARP请求报文。同一广播域中有两个MAC地址对应着同一个IP地址产生了IP地址冲突。

根因

由于FW1和FW2同时发送免费ARP请求报文,上行设备学习到的1.x.x.142的MAC也会在FW1 G0/0/1和FW1 G0/0/2之间不停的切换。

解决方案

在配置命令中加上vrrp关键字解决问题;

[FW1] nat server protocol tcp global 1.x.x.142 80 inside 192.168.1.2.2 80 vrrp 1 

END