停止不需要的项填充 ARP 表

停止不需要的项填充 ARP 表

23400
Created On 09/26/18 19:16 PM - Last Modified 06/14/23 06:00 AM


Resolution


问题

不需要的 arp 条目出现在帕洛阿尔托网络设备的 arp 表中。 arp 表中充满了来自 Internet 的地址条目, 并接近 arp 表限制。

 

详细

当帕洛阿尔托网络防火墙部署在 L3 模式下时, 主机和设备的 ARP 条目将成为防火墙接口上配置的同一网络/子网的一部分。如果地址的 ARP 条目不是任何帕洛阿尔托网络防火墙接口的任何子网的一部分, 则意味着防火墙正在接口上执行代理 ARP。

 

如果在没有下一个跃点 IP 的情况下配置了静态路由, 则从静态路由的目标网络响应回防火墙的所有主机都将在防火墙上有一个 ARP 项。下面是一个配置示例:

static_route1. png

static_route

这些示例显示了一个默认的静态路由, 它使用选定的传出接口配置, 下一个跃点值设置为 None。在这种情况下, 帕洛阿尔托网络防火墙将为 0.0. 0.0/0 网络中的所有主机提供 arp, 并为主机响应备份创建 arp 条目。

 

解决办法

如果未在防火墙所拥有的子网的接口上故意实现 ARPing, 请确保指定下一个跃点值, 如下所示:

str3。Jpg

示例截图显示下一个跃点值是以 IP 地址的形式指定的。此配置将防止 PA 防火墙从 ARPing 的所有主机匹配的路线 0.0. 0.0/0。

 

所有者︰ mvenkatesan
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm4GCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language