• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点 F5000使能NAT后日志报地址冲突的经验案例

2019-06-24 发表
  • 0关注
  • 0收藏 2016浏览
张腾 五段
粉丝:0人 关注:0人

组网及说明

2台V5防火墙做HA,同时针对上下行设备分别做VRRP;VRRP组1和组2的master都为FW1;

问题描述

由于业务需要,和现场HA的组网环境,两台防火墙在与SW2互联的接口使能相同配置的静态NAT;使能后,2台防火墙日志报IP地址冲突:

%Apr 3 14:59:24:023 2019 JP-7F-AB07-H3CFW-01 ARP/5/ARP_DUPGLOBALIP: IP address 10.32.66.153 conflicts with global or imported IP address, sourced from XXXX-00d8-72c2.

过程分析

一、从日志看是IP地址冲突,而且在2台设备上报冲突的IP地址都为静态NAT的global地址,并且冲突来源的MAC分别为2台防火墙的上行口MAC;

nat static 172.30.254.10 10.32.66.153

二、2台防火墙的上行口地址分别为10.32.66.5、10.32.66.6,VRRP虚地址为10.32.66.4,为什么设备上不存在的global地址10.32.66.153会响应ARP导致IP地址冲突?​

[10.32.66.5]display ip routing-table

Destinations : 19       Routes : 19 

Destination/Mask   Proto   Pre Cost        NextHop         Interface

0.0.0.0/32         Direct  0   0           127.0.0.1       InLoop0

10.32.66.0/24      Direct  0   0           10.32.66.5      GE1/0/13

10.32.66.0/32      Direct  0   0           10.32.66.5      GE1/0/13

10.32.66.4/32      Direct  1   0           127.0.0.1       InLoop0

10.32.66.5/32      Direct  0   0           127.0.0.1       InLoop0

10.32.66.153/32    Direct  1   0           0.0.0.0         NULL0

查看2台设备的路由表会发现,在配置了静态NAT后会生成一条目的地址为global地址10.32.66.153的null0路由;其实不只是静态NAT的公网地址,包括NAT SERVER的公网地址,源地址转换的地址池地址;只要在接口使能后,这些地址都会生成一条null0路由;目的就是为了让设备能够响应公网的ARP请求,因为不可能在设备上把这些涉及的地址都配上;

原理: 这些地址全部会进入地址管理模块进行统一地址管理,并由地址管理模块通知路由管理模块将这些IP地址加入路由表。当外部设备向这些地址发起ARP请求,设备便会将ARP请求送到地址管理模块检查ARP报文的合法性,地址管理发现ARP所请求的IP地址为NAT地址池地址,则通知NAT模块判断是否需要回应ARPNAT模块会检查ARP所请求的IP地址是否是收到ARP接口下配置的NAT的地址,如果是则通知ARP模块进行ARP应答

三、​现场组网有这种需求,应该如何规避?

V5设备针对这种场景开发了NAT TRACK VRRP的功能;当NAT联动VRRP后,只有VRRP主设备上才会生成上述地址的null0路由,而VRRP备设备是不会生成null0路由的,这样只有VRRP主设备会响应ARP请求,就不会出现IP地址冲突了;

四、规避方法:

1、针对静态nat场景:

在接口使能静态NAT时联动VRRP

nat outbound static track vrrp 1

2、针对源地址转换的address-group场景:

除了在接口联动VRRP

nat outbound 3000 address-group 0 track vrrp 1

还需要保证2台设备的地址池优先级不同

[FW1]nat address-group 0 X.X.X.10 X.X.X.10 level 0

[FW2]nat address-group 0 X.X.X.10 X.X.X.10 level 1

3、针对NAT SERVER场景

在接口使能NAT SERVER时联动VRRP

nat server protocol tcp global X.X.X.X www inside 172.16.100.20 www track vrrp 1

五、注意事项:

如果设备上存在多个VRRP组,NAT联动的VRRP组必须是配置NAT的接口所在的VRRP组,否则2个设备都不会生成null0路由;


解决方法

配置NAT联动VRRP解决;

该案例对您是否有帮助:

您的评价:1

若您有关于案例的建议,请反馈:

0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作