四台F1080,每两台做IRF,然后两套堆叠系统之间做VRRP
由Trust ZONE访问ASI ZONE, 配了SNAT及DNAT, VRRP, 可是出现ARP/6/DUPIFIP.
用户由Reth1(10.199.0.253)进入, 由Reth4(变成172.31.3.7 / 172.31.3.8 访问168.106.21.72/168.106.21.73), 可是出现问题.
%Dec 11 11:20:07:453 2019 HKG-JC-FW1-H3C1080 ARP/6/DUPIFIP: -Slot=1;
Duplicate address 172.31.3.7 on interface Reth4, sourced from 5cc9-9964-4471
%Dec 11 11:20:07:453 2019 HKG-JC-FW1-H3C1080 ARP/6/DUPIFIP: -Slot=1;
Duplicate address 172.31.3.8 on interface Reth4, sourced from 5cc9-9964-4471
两套堆叠系统都使用了相同的SNAT,而SNAT会下黑洞路由,目的是让设备能响应公网的ARP请求,但是两套堆叠系统使用的NAT地址池一样,响应公网ARP请求时都以接口的物理MAC地址响应,会造成同一个IP地址有两个MAC地址,ARP冲突。
nat address-group 2000
address 172.31.3.7 172.31.3.7
#
nat address-group 2001
address 172.31.3.8 172.31.3.8
#
将SNAT地址池的地址改为VRRP的虚拟IP地址,这样公网进行ARP请求时,两套堆叠系统都会以虚拟MAC响应,而虚拟MAC对于两套堆叠系统来说是惟一的,所以就不会造成ARP冲突。
nat address-group 2000
address 172.31.3.5 172.31.3.4
#
nat address-group 2001
address 172.31.3.5 172.31.3.4
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作