路由器作出口配置vrrp+nat server后报arp冲突

%Jan 31 09:19:12:529 2024 H3C ARP/6/DUPIFIP:

Duplicate address 10.1.12.100 on interface GigabitEthernet0/0, sourced from b084-5770-0205.

%Jan 31 09:19:17:530 2024 H3C ARP/6/DUPIFIP:

Duplicate address 10.1.12.100 on interface GigabitEthernet0/0, sourced from b084-5770-0205.

%Jan 31 09:19:22:531 2024 H3C ARP/6/DUPIFIP:

Duplicate address 10.1.12.100 on interface GigabitEthernet0/0, sourced from b084-5770-0205.

%Jan 31 09:19:27:531 2024 H3C ARP/6/DUPIFIP:

Duplicate address 10.1.12.100 on interface GigabitEthernet0/0, sourced from b084-5770-0205.

现场两台路由器作为出口设备，对公网做vrrp冗余，现场的需求是将内网的一台服务器映射到公网，在两台设备出接口配置nat server后报地址冲突。

查看现场两台设备配置，发现两设备配置的global地址相同，如下：

R1：

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 10.1.12.1 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.12.10

 nat server global 10.1.12.100 inside 10.1.56.6

#

R2：

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 10.1.12.2 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.12.10

 nat server global 10.1.12.100 inside 10.1.56.6

#

现场的需求是从公网访问服务器时的目的IP固定，因此两台设备的global ip只能保持一致，而目前我司设备的机制是，VRRP的virtual-ip发布arp时使用虚mac，但是实际通信的时候是使用vrrp-master接口实mac通信的。这也是vrrp的两个成员设备nat地址相同时会报IP冲突的原因，即对端设备向nat地址发起arp请求是属于实际通信的阶段，这时候设备会用接口的实mac去响应arp请求，从而导致arp冲突。

因此根据现场要求，我们可以利用virtual-ip不存在arp冲突这一特点，将virtual-ip作为nat地址来使用。

使用virtual ip作为global地址或者nat address-group池中的映射地址，修改后，现场配置如下：

R1：

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 10.1.12.1 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.12.10

 nat server global 10.1.12.10 inside 10.1.56.6

#

R2：

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 10.1.12.2 255.255.255.0

 vrrp vrid 1 virtual-ip 10.1.12.10

 nat server global 10.1.12.10 inside 10.1.56.6

#