RBM+VRRP场景典型配置场景,出口做NAT。
类似于下面这样:
不涉及
现场运行过程中发现不断有ARP冲突的告警,告警的地址为对应的公网地址。冲突的MAC为RBM对端设备的接口MAC。
看到这个场景,怀疑是现场配置的全局NAT策略中没有绑定对应的vrrp vrid,对应的配置要求可以参考案例:https://zhiliao.h3c.com/Theme/details/172903
于是检查全局NAT配置,发现对应的DNAT已经绑定了vrrp vrid,如下:
问题排查到这,百思不得其解。已经配置了vrrp vrid的情况下,理论上不存在IP冲突的情况。
尝试debug查看arp报文从哪里来的,此时冲突的MAC地址引起了我的注意。为啥冲突地址对应的MAC地址是接口MAC。理论上应该是VRRP 虚地址对应的MAC(格式0000-5e00-01vrid),难道是设备存在bug?
思索了一下,可能现场还存在其他的策略没有绑定对应的vrid,查了一下果然应验。
现场后期添加的snat+dnat结合的rule中,对于dnat规则没有绑定vrrp vrid导致地址冲突。例如:
rule name 38_t
service 10443
source-zone Trust
destination-ip host x.x.x.x
source-ip subnet 10.0.0.0 8
action snat address-group 3 vrrp 202
action dnat ip-address 10.41.224.8
counting enable
解决方案:涉及nat转换对应的action后均要绑定vrrp vrid,尤其是涉及如上双向转换的场景。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作