ARP (incompleto) con el registro del sistema "Recibido en conflicto en ARP la interfaz ethernet1/1 indicando duplicado IP"
29508
Created On 06/21/22 09:16 AM - Last Modified 05/09/23 08:16 AM
Symptom
- La regla de origen se crea con la dirección de origen traducida como una subred que se superpone con la interfaz de NAT salida/destino.
Por ejemplo:
Firewall La interfaz es Ethernet1/1. Su IP es 10.129.72.126/24
Firewall La interfaz es Ethernet1/1. Su IP es 10.129.72.126/24
- Hay una S-NAT regla que traduce source a subred 10.0.0.0/8 que se superpone con IP subnet en eth1/1.
- Haciendo ping al siguiente salto: 10.129.72.130, vemos una pérdida de paquetes del 100%.
admin@Lab70-126-PA-5280> ping source 10.129.72.126 host 10.129.72.130 PING 10.129.72.130 (10.129.72.130) from 10.129.72.126 : 56(84) bytes of data. ^C --- 10.129.72.130 ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms
- Ejecutando cmd mostrar arp todo lo que vemos ARP Incompleto.
admin@Lab70-126-PA-5280> show arp all maximum of entries supported : 128000 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/1 10.129.72.130 (incomplete) ethernet1/1 i 1
- Los registros del sistema muestran:
2022/06/21 01:24:10 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:24:00 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:50 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:25 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:15 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
- pan_packet_diag con el flujo de características de registro, ARP muestra que alguien está usando la IP dirección, que firewall está usando en NAT regla.
En respuesta, firewall envía la ARP radiodifusión gratuita que 10.129.72.130 está en firewall MAC.
Received ARP packet from port ethernet1/1
Packet decoded dump:
L2: 00:50:56:9b:ab:6d->94:56:41:37:d4:40, type 0x0806
ARP: hardware type 0x0001
protocol type 0x0800
hardware size 6
protocol size 4
opcode REPLY
sender mac address 00:50:56:9b:ab:6d
sender ip address 10.129.72.130
target mac address 94:56:41:37:d4:40
target ip address 10.129.72.126
ARP packet sent from translated IP 10.129.72.130 in NAT rule index 0 in vsys 1
MAC not of own box00:50:56:9b:ab:6d
Received conflicting ARP on interface ethernet1/1,indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
Broadcast ARP announcement packet on interface 64
Packet decoded dump:
L2: 94:56:41:37:d4:40->ff:ff:ff:ff:ff:ff, type 0x0806
ARP: hardware type 0x0001
protocol type 0x0800
hardware size 6
protocol size 4
opcode REPLY
sender mac address 94:56:41:37:d4:40
sender ip address 10.129.72.130
target mac address 94:56:41:37:d4:40
target ip address 10.129.72.130
Environment
- Palo Alto Firewall configurado con regla de origen en la que la dirección de origen NAT traducida se superpone con la subred de interfaz de salida/destino.
Cause
- Esto se debe a que realiza un proxy ARP para la subred de origen traducida y, por lo tanto, responderá a firewall cualquier ARP solicitud de direcciones IP en esta subred.
Resolution
- Corrija la regla con la traducción IP correcta y la S-NAT subred.
Additional Information
- Para más información sobre proxy: https://docs.paloaltonetworks.com/pan-os/9-1/-admin/networking/nat/nat--rules/pan-osproxy-arp-for-nat-address-pools ARPpolicy