交换机arp转发丢包问题

现场使用防火墙做ARP欺骗报文测试，但是终端无法接收到，通过两端抓包发现报文丢在防火墙下联的S7500上

客户复现环境，通过ARP流统+抓包的方式定位，arp欺骗报文在入方向进入后就被丢掉了。

抓包发现构造的报文ARP的源mac是组播mac，fd:d5:5e:8d:ce:b3

1. 组播MAC地址的定义

组播MAC地址的第一个字节的最低位（LSB）必须为 1（即 xxxxxxx1），用十六进制表示就是：

• 单播MAC地址：第1字节的末位是 0（如 0xFA = 11111010）。
• 组播MAC地址：第1字节的末位是 1（如 0xFB = 11111011）。

2. 分析 fd:d5:5e:8d:ce:b3

• 第1字节：fd（十六进制）→ 二进制：11111101
  • 最低位是 1，符合组播MAC地址的定义。
• 其余部分：d5:5e:8d:ce:b3（不影响判断是否为组播地址）。

3. 结论

 fd:d5:5e:8d:ce:b3 是一个合法的组播MAC地址，因为它满足 IEEE 802.3 对组播MAC地址的格式要求。

而我司设备接收到源mac地址为组播地址会直接丢弃，对于设备来讲就是非法报文

将构造的ARP欺骗报文的源mac地址改为正常单播mac地址即可