问

防火墙虚mac

iptables防火墙

2023-07-28提问

0关注
0收藏，519浏览

只能修改一次

只能修改一次零段

粉丝：0人关注：0人

问题描述：

两台防火墙启用vrrp及nat地址组调用vrid，上联一台网关，正常情况下，网关侧的arp记录，应该是虚IP、nat ip都对应虚mac，arp即虚ip-虚mac，nat ip-虚mac；

但是防火墙发出的nat后的数据包内，携带的源mac却是物理接口的实mac，即nat ip-实mac；

这样一来，网关回复数据包，正常情况下，是以arp记录来呢？还是以数据包内的ip-mac对应关系来呢？

组网及组网描述：

2 个回答

按时间按赞数

zhiliao_sEUyB

zhiliao_sEUyB 九段

粉丝：171人关注：8人

RBM么？参考：

缺省情况下，若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段，则NAT设备使用NAT接口的物理MAC地址应答此ARP请求报文。

如图2-20所示，在双机热备组网环境中配置动态NAT功能后，NAT与VRRP备份组没有绑定的情况下，内网访问外网的报文的处理流程如下：

(1) 当内网访问外网的报文到达Device A后，报文的源IP地址会被转换成NAT地址组中的IP地址，然后报文被Device A转发给Router。

(2) 若NAT地址组中的IP地址与Device A的上行接口VRRP备份组1的虚拟IP地址在同一网段，则外网返回的报文到达Router后，因为目的IP地址是直连路由可达，所以Router会广播ARP报文请求NAT地址组中IP地址对应的MAC地址（而不是请求VRRP备份组1虚拟IP地址对应的MAC地址）。

(3) 当Device A和Device B接收到此ARP请求报文后，因为两台Device上有相同的NAT地址组配置，所以两台Device都会将自身上行接口的物理MAC地址应答给Router。

(4) 在这种情况下，Router就会时而以Device A上行接口的MAC地址来封装报文，将报文送到Device A；时而以Device B上行接口的MAC地址来封装报文，将报文送到Device B，从而影响业务的正常运行。

在双机热备网络环境中，为了解决上述NAT部署的问题，必须将NAT与VRRP备份组绑定。

图2-20 NAT未绑定VRRP备份组示意图

2. 处理流程

将NAT与VRRP备份组绑定后，若NAT设备接收到的ARP报文请求的目标IP地址与NAT接口的IP地址在同一网段，则只能由VRRP备份组中Master设备使用VRRP备份组的虚拟MAC地址响应此ARP请求。

如图2-21所示，在双机热备组网环境中配置动态NAT功能后，NAT与VRRP备份组绑定的情况下，内网访问外网的报文的处理流程如下：

(1) 当内网访问外网的报文到达Device A后，报文的源IP地址会被转换成NAT地址组中的IP地址，然后报文被Device A转发给Router。

(3) 当Device A和Device B接收到此ARP请求报文后，只有VRRP备份组中Master设备（Device A）使用VRRP备份组1的虚拟MAC地址响应此ARP请求给Router。

(4) 在这种情况下，Router只会收到Master设备（Device A）响应的ARP报文，Router就会以VRRP备份组1的虚拟MAC地址来封装报文，将报文送到Device A，从而可以保证业务的正常运行。

图2-21 NAT绑定VRRP备份组示意图

所哟，也就是说，网关路由器会根据arp记录即nat地址-虚mac的方式将报文转发给防火墙，并且与防火墙物理接口没有关系问题1：nat后的数据包内携带物理接口mac和nat地址，对路由器回复数据包没有影响对不对？路由器仍按arp记录回复，根本不care数据包内的ip和mac 问题2：路由器收到的nat地址的arp响应以及刷新，都是防火墙回复给路由器网关的，路由器网关在广播arp请求时，arp请求报文内ip地址为nat地址，mac为0，然后防火墙收到后，回复mac为虚mac，路由器上不会主动修改arp记录，对不对？

只能修改一次发表时间：2023-07-28