防火墙获取不到ARP
- 0关注
- 0收藏,77浏览
一、先梳理组网 & 现象总结
组网:防火墙 VLAN22 三层接口 10.126.111.254/24
Gig6:专线→对端核心 Vlanif22 10.126.111.253/24
Gig7:下联客户内网交换机(同 VLAN22)
现象:刚上线能学到对端 253 的 ARP,几分钟后 ARP 条目消失,不再自动刷新
对比:旧设备是透明 BVI 桥接模式,全程 ARP 正常
二、核心根因(按概率从高到低)
原因 1:ARP 老化 + 无双向流量触发 ARP 刷新(最高发)
原理
防火墙 / 交换机默认ARP 老化时间:一般20 分钟左右,老化后条目删除。
旧设备是透明桥模式(二层转发):内网、跨专线的二层广播 / 单播流量会持续双向互通,不停触发 ARP 请求 / 应答,ARP 表一直刷新,不会断。
你现在改成三层 VLANIF 接口:
若防火墙本身没有主动去往 10.126.111.253 的流量,对端也没有主动访问防火墙 / 内网的流量,双向流量中断后:
ARP 条目老化删除,且没有新报文触发 ARP 重新学习,最终dis arp看不到 253。
典型特征:刚配置完你手动 ping 过,所以有 ARP;静置几分钟无流量,ARP 消失。
原因 2:VLAN 内接口 / 链路环路、广播风暴,导致 ARP 报文被冲掉 / 丢弃
6 口(专线)、7 口(内网)同属 VLAN22,两端二层互通,极易形成二层环路:
环路引发广播风暴,CPU 占用升高,设备丢弃 ARP、ICMP 等控制报文;
表现:ARP 时有时无,老化后无法重建,内网同时伴随卡顿、丢包。
旧设备 BVI 透明模式很多会默认开启环路检测 / STP,你新防火墙大概率未开启 STP。
原因 3:安全策略 / 域间策略拦截 ARP、广播报文(防火墙特有)
防火墙是域隔离架构(Trust/UnTrust/DMZ/Local 域):
6 口(专线)、7 口(内网)划分到不同安全域;
域间策略仅放通业务流量,但未放行 ARP 广播 / 广播报文;
ARP 属于二层报文,部分防火墙策略、报文过滤、广播抑制功能会拦截跨域 ARP。
补充:部分防火墙有 ARP 防攻击、ARP 限速、广播风暴抑制 功能,阈值过低会把正常对端 ARP 报文直接丢弃。
原因 4:接口、VLAN 配置不一致 / 专线链路协商、双工异常
专线两端接口速率 / 双工不匹配、物理链路间歇性闪断;
VLAN 配置不一致(如一端带 Tag、一端 Untag,或允许 VLAN 列表不全);
链路闪断会清空 ARP 表,且恢复后因无流量无法重新学习。
原因 5:对端设备配置限制
对端核心交换机:
开启了 ARP 静态绑定、ARP 过滤、端口安全;
或配置了 ARP 代理、禁止学习外来 ARP;
老化后不再回应防火墙的 ARP 请求。
三、分步排查 & 修复方案(直接落地操作)
第一步:验证是不是「无流量导致 ARP 老化」(优先排查)
在防火墙持续长 ping 对端地址,保持流量:
plaintext
ping -c 1000 10.126.111.253
观察:长时间 ping 不中断,ARP 条目是否一直存在
✅ 一直存在 → 确诊:纯流量不足导致 ARP 老化
❌ 依然消失 → 往下排查环路 / 策略 / 链路
修复方案(无流量场景)
方案 1(推荐,最简单):防火墙配置静态 ARP(永久生效,不受老化影响)
plaintext
# 华三防火墙
arp static 10.126.111.253 XXXX-XXXX-XXXX vlan 22
# 华为防火墙
arp static 10.126.111.253 XXXX-XXXX-XXXX interface Vlanif 22
建议优先用静态 ARP,专线对接场景最稳定,也是政企专线标准做法。
方案 2:配置免费 ARP / 定时发送 ARP 请求(保活)
多数防火墙支持开启接口免费 ARP,周期性主动广播自身 ARP,同时触发对端回应。
第二步:排查二层环路(6、7 口同 VLAN 必查)
6 口(专线)+7 口(内网交换机)同 VLAN22,二层互通 = 天然环路风险
查看设备 CPU、端口统计:
plaintext
dis cpu-usage
dis interface GigabitEthernet 0/6
dis interface GigabitEthernet 0/7
看广播报文、错误报文、输入速率是否异常飙升。
开启 STP 防环路(同 VLAN 多二层接口必开)
plaintext
# 全局开启STP
stp enable
# VLAN22内生效,默认即可
临时测试:断开 7 口内网交换机,只保留 6 口专线,观察 ARP 是否正常
断开后 ARP 稳定 → 确定是内网侧引入环路,在内网交换机上也开启 STP。
第三步:防火墙安全域 & 策略、ARP 防护检查
确认接口安全域
6 口(专线)、7 口(内网)、Vlanif22 所属安全域;
若跨域,域间策略必须放行所有二层基础报文(不要限制 ARP、广播)。
关闭 / 调优 ARP 防攻击、广播抑制
plaintext
# 查看ARP防护配置
dis arp anti-attack configuration
# 临时关闭ARP限速/ARP报文拦截测试
undo arp anti-attack check arp-rate
undo broadcast-suppression # 接口下关闭广播抑制
防火墙默认 ARP 限速过严,专线对接极易误杀正常 ARP。
第四步:检查物理链路 & VLAN 配置
两端接口强制速率双工(不要 Auto 协商,专线通病)
plaintext
interface GigabitEthernet 0/6
speed 1000
duplex full
undo negotiation auto
核对 VLAN 标签:
确认 6、7 口是 access 口划入 VLAN22,还是 Trunk 允许 VLAN22;
两端专线设备 VLAN 配置必须完全一致,禁止一端 Tag、一端 Untag。
第五步:核查对端核心交换机配置
联系对端运维,确认:
对端 Vlanif22 10.126.111.253 没有配置 ARP 静态绑定、端口安全、ARP 过滤;
对端没有配置 ACL 拦截来自 254 地址的 ARP/ICMP 报文。
四、最优最终解决方案(结合你旧设备场景)
旧设备是透明 BVI 二层模式,现在改成三层 VLANIF,本质组网逻辑变了,推荐两套落地方案:
方案 A(最简、稳定,推荐生产使用)
全网开启 STP 消除二层环路;
对端网关 10.126.111.253 在防火墙配置 静态 ARP;
接口强制千兆全双工,关闭不必要的 ARP 限速 / 广播抑制。
👉 优点:一劳永逸,不受流量、ARP 老化影响。
方案 B(想还原旧设备透明模式,彻底规避 ARP 问题)
把防火墙改回透明桥(BVI)模式,和原设备配置一致:
删除 Vlanif22 三层 IP;
6、7 口加入同一 BVI 接口;
BVI0 配置 IP 10.126.111.254/24;
二层转发和原来完全一致,ARP 行为和旧设备一模一样,问题直接消失。
五、快速总结
最可能原因:三层接口无持续双向流量 → ARP 老化后无法重新学习;
✅ 解决:配置静态 ARP(首选)。
次大概率:6/7 口同 VLAN 产生二层环路,风暴丢弃 ARP;
✅ 解决:全局开启 STP。
防火墙特有问题:ARP 限速、广播抑制、域策略拦截报文;
备选方案:直接切回BVI 透明模式,复刻旧设备配置,彻底规避。
一、 核心原因分析
1. IP 地址冲突(最常见)
10.126.111.254/24。新防火墙同样创建了 Vlan-interface 22 并配置了 10.126.111.254/24。- 现象解释:如果旧设备未彻底断电或未删除 BVI0 的 IP 配置,局域网内会同时存在两个
10.126.111.254。核心交换机(.253)在发送 ARP 请求时,两台设备都会响应。核心交换机会根据 MAC 地址刷新其 ARP 缓存,而防火墙在检测到自己的 IP 被其他 MAC 占用(免费 ARP 冲突检测)时,可能会主动清除本地对应的 ARP 表项以自我保护。
2. 防火墙安全策略与区域信任级别限制
- 现象解释:虽然刚配置完能通,但如果防火墙的安全策略没有显式放行 ICMP 和 ARP 相关报文,或者接口绑定的安全域(Zone)之间的策略默认是 Deny,随着初始建立的临时会话超时,后续的 ARP 交互会被防火墙静默丢弃。此外,需检查是否开启了 DAI(动态 ARP 检测)等防攻击功能,若未绑定合法 IP-MAC-Port,合法的 ARP 报文也会被拦截。
3. 缺少 ARP 代理(Proxy ARP)配置
- 现象解释:由于 GE6 和 GE7 都在同一个 VLAN 22 内,且分别连接不同方向的设备。当内网设备访问专线侧,或核心交换机需要解析某些非直连但同网段的 MAC 时,如果防火墙没有开启 ARP 代理,它将不会代为应答 ARP 请求,导致对端学不到 MAC,进而导致防火墙自身的 ARP 表项老化消失。
二、 故障排查与解决建议
第一步:排查 IP 冲突(首要任务)
- 确认旧设备状态:务必确保原透明桥设备的 BVI0 IP 已被彻底删除,或将旧设备完全下线。
- 抓包验证:在防火墙 Vlan-interface 22 上开启 ARP 调试(
debugging arp packet interface Vlan-interface 22),观察是否有来自其他 MAC 地址发送的免费 ARP 报文宣告10.126.111.254。
第二步:检查并调整安全策略与防护机制
- 检查安全域与策略:确认 GE6 和 GE7 接口划分的安全域,并确保域间策略允许必要的通信(如 Trust 到 Untrust 的放行)。
- 关闭测试环境的防攻击:如果在测试阶段,可暂时在接口下关闭 ARP 防攻击功能,排除误杀:
interface GigabitEthernet 1/0/6 undo arp detection enable undo arp anti-attack check user-bind enable
第三步:启用 ARP 代理
interface Vlan-interface 22
ip address 10.126.111.254 255.255.255.0
arp-proxy enable第四步:检查硬件资源与日志
display logbuffer | include arp 查看是否有 ARP 相关的告警日志。同时,使用 display device 检查防火墙 CPU 和内存利用率,排除因设备过载导致 ARP 进程异常的情况。暂无评论
1. 原设备BVI接口MAC与防火墙vlanif22 MAC不同,核心交换机ARP表未及时更新,仍保留原设备MAC,导致防火墙无法学习核心ARP;
2. 专线链路不稳定,ARP报文交互中断,ARP老化后未重新学习;
3. 防火墙6口配置错误(未正确加入vlan22)。
排查步骤
1. 检查防火墙6口配置:dis cur int GigabitEthernet 1/0/6,确认已加入vlan22、接口状态up;
2. 核对ARP老化时间:防火墙/核心执行dis arp timer aging,确保两端老化时间一致;
3. 清除核心旧ARP:核心执行reset arp all,等待防火墙vlanif22的ARP重新学习;
4. 验证链路:防火墙ping核心vlanif22地址,不通则排查专线链路。
关键命令
防火墙端:dis cur int GigabitEthernet 1/0/6、dis arp all;
核心端:reset arp all、dis arp all。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论