ARP (unvollständig) mit dem Systemprotokoll "Empfangener Konflikt auf der Ethernet-Schnittstelle 1/1, der auf ein Duplikat IPhinweistARP"
29578
Created On 06/21/22 09:16 AM - Last Modified 05/09/23 08:16 AM
Symptom
- Die Quellregel wird mit der übersetzten Quelladresse NAT als Subnetz erstellt, das sich mit der Ausgangs-/Zielschnittstelle überschneidet.
Zum Beispiel:
Firewall Schnittstelle ist Ethernet1/1. Es IP ist 10.129.72.126/24
Firewall Schnittstelle ist Ethernet1/1. Es IP ist 10.129.72.126/24
- Es gibt eine S-NAT Regel, die die Quelle in das Subnetz 10.0.0.0/8 übersetzt, das sich mit IP dem Subnetz auf eth1/1 überschneidet.
- Pinging Next Hop: 10.129.72.130, wir sehen 100% Paketverlust.
admin@Lab70-126-PA-5280> ping source 10.129.72.126 host 10.129.72.130 PING 10.129.72.130 (10.129.72.130) from 10.129.72.126 : 56(84) bytes of data. ^C --- 10.129.72.130 ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms
- Ausführen von cmd show arp alles, was wir sehen ARP Unvollständig.
admin@Lab70-126-PA-5280> show arp all maximum of entries supported : 128000 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/1 10.129.72.130 (incomplete) ethernet1/1 i 1
- Systemprotokolle zeigen:
2022/06/21 01:24:10 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:24:00 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:50 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:25 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:15 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
- pan_packet_diag mit Protokoll-Feature-Flow zeigt ARP an, dass jemand die Adresse verwendet, die IP firewall in NAT der Regel verwendet wird.
Als Antwort firewall sendet unentgeltliche ARP Sendungen, dass 10.129.72.130 bei firewall MACist.
Received ARP packet from port ethernet1/1
Packet decoded dump:
L2: 00:50:56:9b:ab:6d->94:56:41:37:d4:40, type 0x0806
ARP: hardware type 0x0001
protocol type 0x0800
hardware size 6
protocol size 4
opcode REPLY
sender mac address 00:50:56:9b:ab:6d
sender ip address 10.129.72.130
target mac address 94:56:41:37:d4:40
target ip address 10.129.72.126
ARP packet sent from translated IP 10.129.72.130 in NAT rule index 0 in vsys 1
MAC not of own box00:50:56:9b:ab:6d
Received conflicting ARP on interface ethernet1/1,indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
Broadcast ARP announcement packet on interface 64
Packet decoded dump:
L2: 94:56:41:37:d4:40->ff:ff:ff:ff:ff:ff, type 0x0806
ARP: hardware type 0x0001
protocol type 0x0800
hardware size 6
protocol size 4
opcode REPLY
sender mac address 94:56:41:37:d4:40
sender ip address 10.129.72.130
target mac address 94:56:41:37:d4:40
target ip address 10.129.72.130
Environment
- Palo Alto Firewall ist mit einer Quellregel konfiguriert, in der sich die übersetzte Quelladresse NAT mit dem Subnetz der Ausgangs-/Zielschnittstelle überschneidet.
Cause
- Dies liegt daran, dass firewall ein Proxy ARP für das übersetzte Quellsubnetz ausgeführt wird und somit auf jede ARP Anfrage nach IPs in diesem Subnetz reagiert wird.
Resolution
- Korrigieren Sie die S-NAT Regel mit der korrekten Übersetzung IP und dem Subnetz.
Additional Information
- Weitere Informationen zum Proxy ARPfinden Sie unter: https://docs.paloaltonetworks.com/pan-os/9-1/-admin/networking/nat/nat--rules/pan-osproxy-arp-for-nat-address-poolspolicy