ARP (incomplet) avec le journal système « Received conflicting ARP on interface ethernet1/1 indicating duplicate IP»
29569
Created On 06/21/22 09:16 AM - Last Modified 05/09/23 08:16 AM
Symptom
- La règle source est créée avec l’adresse source NAT traduite en tant que sous-réseau chevauchant l’interface de sortie/destination.
Par exemple :
Firewall L’interface est ethernet1/1. C’est IP 10.129.72.126/24
Firewall L’interface est ethernet1/1. C’est IP 10.129.72.126/24
- Il existe une S-NAT règle qui traduit la source en sous-réseau 10.0.0.0/8 qui chevauche le IP sous-réseau sur eth1/1.
- Ping Next Hop: 10.129.72.130, nous voyons 100% de perte de paquets.
admin@Lab70-126-PA-5280> ping source 10.129.72.126 host 10.129.72.130 PING 10.129.72.130 (10.129.72.130) from 10.129.72.126 : 56(84) bytes of data. ^C --- 10.129.72.130 ping statistics --- 1 packets transmitted, 0 received, 100% packet loss, time 0ms
- Exécution cmd montrer arp tout ce que nous voyons ARP Incomplet.
admin@Lab70-126-PA-5280> show arp all maximum of entries supported : 128000 default timeout: 1800 seconds total ARP entries in table : 1 total ARP entries shown : 1 status: s - static, c - complete, e - expiring, i - incomplete interface ip address hw address port status ttl -------------------------------------------------------------------------------- ethernet1/1 10.129.72.130 (incomplete) ethernet1/1 i 1
- Les journaux système affichent :
2022/06/21 01:24:10 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:24:00 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:50 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:25 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d 2022/06/21 01:23:15 info general general 0 Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
- pan_packet_diag avec le flux de fonctionnalités de journalisation arp montre que quelqu’un utilise l’adresse, qui firewall utilise dans NAT la IP règle.
En réponse, firewall envoie une ARP diffusion gratuite que 10.129.72.130 est à firewall MAC.
Received ARP packet from port ethernet1/1
Packet decoded dump:
L2: 00:50:56:9b:ab:6d->94:56:41:37:d4:40, type 0x0806
ARP: hardware type 0x0001
protocol type 0x0800
hardware size 6
protocol size 4
opcode REPLY
sender mac address 00:50:56:9b:ab:6d
sender ip address 10.129.72.130
target mac address 94:56:41:37:d4:40
target ip address 10.129.72.126
ARP packet sent from translated IP 10.129.72.130 in NAT rule index 0 in vsys 1
MAC not of own box00:50:56:9b:ab:6d
Received conflicting ARP on interface ethernet1/1,indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
Broadcast ARP announcement packet on interface 64
Packet decoded dump:
L2: 94:56:41:37:d4:40->ff:ff:ff:ff:ff:ff, type 0x0806
ARP: hardware type 0x0001
protocol type 0x0800
hardware size 6
protocol size 4
opcode REPLY
sender mac address 94:56:41:37:d4:40
sender ip address 10.129.72.130
target mac address 94:56:41:37:d4:40
target ip address 10.129.72.130
Environment
- Palo Alto Firewall configuré avec la règle source dans laquelle l’adresse source NAT traduite chevauche le sous-réseau de l’interface de sortie/destination.
Cause
- En effet firewall , il exécute un proxy ARP pour le sous-réseau source traduit et répond donc à toute ARP demande d’adresses IP dans ce sous-réseau.
Resolution
- Corrigez la règle avec un S-NAT sous-réseau et une IP traduction corrects.
Additional Information
- Pour plus d’informations sur le proxy : https://docs.paloaltonetworks.com/pan-os/9-1/-admin/networking/nat/nat--rules/pan-osproxy-arp-for-nat-address-pools ARPpolicy