MSR接口启用ARP代理导致业务不通的问题

MSR3011接口启用ARP代理导致业务不通的问题

一、   组网：

MSR3011与外联机构互联的接口开启的arp代理，外联机构有一台C2950与MSR3011互联，C2950下面接了局域网。

MSR3011的版本：R22XX

连接方式如下：

思科防火墙----MSR3011(E0/1.22)---普通交换机-----外联机构2950（二层交换机）

1)        MSR3011 接口E0/1.22地址：192.168.10.18/24

2)        外联机构地址段：192.168.10.0/24

3)        外联机构终端IP网关设置为192.168.10.254

4)        外联机构终端与MSR3011的E0/1.22在同一网段

二、   问题描述：

某客户使用思科防火墙做出口，所有从该银行内部访问外联机构的数据包在防火墙出口处用nat转换成192.168.10.0/24网段的地址，该192.168.10.0/24网段的地址和外联机构显示的地址是同一网段（实际上外联机构的内网地址是10.40.168.0/24网段的地址），客户使用MSR3011路由器做出口路由器，测试出现问题，一家外联机构的业务不通了，根据代理商反馈是外联机构的局域网内PC互访不通，经测试将MSR3011路由器的接口的arp代理功能关闭，外联结构局域网互访正常。

三、   过程分析：

MSR3011的相关配置：

#

interface Ethernet0/1.22

 description To_JS-CaiZheng

 vlan-type dot1q vid 22

 ip address 192.168.10.18 255.255.255.0

proxy-arp enable

#

 ip route-static 0.0.0.0 0.0.0.0 182.89.109.193 //匹配了10.40.168.0/24网段的路由，其中182.89.109.193是思科防火墙的接口地址。

#

从配置中我们看到，e0/1.22接口启用了arp代理，并且在路由器上配置了默认路由，这样外联机构内网的10.40.168.0/24网段互访的arp请求到达路由器MSR3011后，因为匹配了默认路由并且出口和该报文的进接口不是同一个接口（这是接口配置ARP代理起作用的条件），所以MSR3011就给该网段10.40.168.0/24回应了arp请求，见如下在MSR3011的e0/1接口的抓包信息：

查看e0/1.22接口的mac地址表;

Ethernet0/1.22 current state: UP

Line protocol current state: UP

Description: To_JS-CaiZheng

The Maximum Transmit Unit is 1500

Internet Address is 192.168.10.18/24 Primary

IP Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: c4ca-d934-7394

IPv6 Packet Frame Type: PKTFMT_ETHNT_2,  Hardware Address: c4ca-d934-7394

Output queue : (Urgent queuing : Size/Length/Discards)  0/100/0

Output queue : (Protocol queuing : Size/Length/Discards)  0/500/0

Output queue : (FIFO queuing : Size/Length/Discards)  0/75/0

从以上信息看到，MSR3011用e0/1.22接口的mac地址回应了10.40.168.0/24网段的arp请求，导致了外联机构内网间pc互访失败。

四、   解决方法：

将MSR3011的版本从R22XX的版本升级到R23XX之后的版本解决。