Palo Alto Networks Mac-Adresse ist die Quelle eines erkannten Duplikats IP
Resolution
Problem
DHCP-Clients berichten, dass eine doppelte IP-Adresse im Netzwerk erkannt wird. Wenn ein anderes Gerät auf dem gleichen Subnetz versucht, diese IP-Adresse zu Ping, die vom DHCP-Server ausgegeben wird, können Sie eine Antwort erhalten oder auch nicht. Wenn Sie einen ARP ausführen, sollten Sie die Mac-Adresse des Geräts anzeigen, das die ARP-Anfrage beantwortet. Wenn diese Mac-Adresse der Palo Alto Networks Firewall entspricht, dann ist die Firewall die Quelle des Problems.
Lösung
Dieser Zustand ist ziemlich häufig, wenn NAT falsch konfiguriert ist. Vergewissern Sie sich, dass die Subnet-Maske für die übersetzte Adresse korrekt ist. Eine 24-Bit-Maske führt dazu, dass die Palo Alto Networks Firewall für alle IP-Adressen in diesem Bereich zu Proxy ARP wird.
Es gab auch einen Vorfall, bei dem das Migrationswerkzeug eine Cisco ASA NAT-Regel in ein Problem umwandelte.
- Quelladresse = x. x. x. x/24
- Quelle übersetzt = x. x. x. x/24
Jedes Gerät, das sich mit x. x. x. 0 verbindet, würde sofort einen Fehler der "doppelten Mac-Adresse erkannt" melden.
Wenn Sie den folgenden Befehl von einem DOS-Prompt auf dem Rechner ausführen, wird die Mac-Adresse der Palo Alto Networks Firewall-Schnittstelle angezeigt, die auf den ARP reagiert:
> ARP-s
Besitzer: Skrall