MSR3620接口做静态nat后与对端不通经验案例

现场反馈RT1的接口地址10.0.0.1与RT2的接口地址10.0.0.2之间过一台交换机不通，RT1与中间交换机上的vlan-interface接口地址10.0.0.3能通，RT2与交换机的10.0.0.3也可以通。

从RT1访问10.0.0.2时不通，RT1和RT2之间是二层互联的，这种情况下一般是直接查看arp。在RT1上display arp发现没有10.0.0.2的表项，

<RT1>dis arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address       MAC address    SVLAN/VSI Interface/Link ID        Aging Type 

10.0.0.3         620c-1d4d-0302 --        GE0/0                    14    D

RT2上display arp也没有10.0.0.1的表项。

<RT2>dis arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address       MAC address    SVLAN/VSI Interface/Link ID        Aging Type 

10.0.0.3         620c-1d4d-0302 --        GE0/0                    18    D

在交换机上没有特殊限制，arp报文应该直接透传的。在RT2上打开debug arp packet、debug arp error，发现RT2收到了arp报文但是没有正常回复，

*Jan 17 16:43:10:566 2018 RT2 ARP/7/ARP_RCV: Received an ARP message, operation: 1, sender MAC: 620b-e09a-0105, sender IP: 10.0.0.1, target MAC: 0000-0000-0000, target IP: 10.0.0.2

*Jan 17 16:43:10:566 2018 RT2 ARP/7/ARP_ERROR:

Failed to get the source MAC of the ARP reply.Interface: GE0/0  sender IP: 10.0.0.1  target IP : 10.0.0.2

RT2接口下没有特殊配置，查看接口信息MAC地址也是正常的，

[RT2-GigabitEthernet0/0]dis this

#

interface GigabitEthernet0/0

 port link-mode route

 combo enable copper

 ip address 10.0.0.2 255.255.255.0

#

[RT2]dis int g 0/0

GigabitEthernet0/0

Current state: UP

Line protocol state: UP

…………

IP packet frame type: Ethernet II, hardware address: 620c-0d41-0205

RT2不回arp这个现象比较奇怪。这个时候怀疑设备是不是有其他到10.0.0.1的高优先级路由，导致回复RT1的arp报文。在RT2上查看路由表发现有一条到10.0.0.1的直连路由，下一跳是null0，这是RT2不回arp的直接原因。

<RT2>dis ip routing-table

Destination/Mask   Proto   Pre Cost        NextHop         Interface

10.0.0.0/24        Direct  0   0           10.0.0.2        GE0/0

10.0.0.0/32        Direct  0   0           10.0.0.2        GE0/0

10.0.0.1/32        Direct  1   0           0.0.0.0         NULL0

之后再次检查RT2设备配置，发现设备上配了静态nat，global地址为10.0.0.1，这时候RT2是会生成一条到10.0.0.1的32位直连路由，下一跳是null0。如果这时再有其他10.0.0.1的地址发来arp报文，RT2不会回复。

#

interface GigabitEthernet0/1

 port link-mode route

 combo enable copper

 ip address 20.0.0.1 255.255.255.0

 nat static enable

#

 nat static outbound 20.0.0.2 10.0.0.1

#

1. RT1设备更改接口地址为同网段其他地址

2. RT2设备更改静态nat使用的global地址

直连不通的现象按照惯性一般会直接查看arp的交互，设备收到arp不回复一般是因为设备上有特殊配置。

另外这个问题现场的组网也稍微有点特殊，RT2设备本身有G0/0接口地址为10.0.0.2/24，又在G0/1接口做nat采用的是10.0.0.1作为global地址。如果按照一般组网，nat多会做在G0/0接口下，RT2是会发免费arp告知其他设备10.0.0.1地址在用的，这样RT1和RT2就会检测到有地址冲突，不会只出现上述RT2不回arp的现象。