ARP （不完全）システムログ付き「競合を受信しましたARPインターフェイス ethernet1/1 で重複を示すIP"

29500

Created On 06/21/22 09:16 AM - Last Modified 05/09/23 08:16 AM

Symptom

ソースNAT変換された送信元アドレスを使用して、出力/宛先インターフェイスと重複するサブネットとしてルールが作成されます。

例：
Firewallインターフェイスは ethernet1/1 です。これはIPは 10.129.72.126/24 です

イーサネット 1_1。PNG

がありますS-NATソースを重複する 10.0.0.0/8 サブネットに変換するルールIPeth1/1 のサブネット。

ネクストホップ: 10.129.72.130 に Ping すると、100% のパケット損失が見られます。

admin@Lab70-126-PA-5280> ping source 10.129.72.126 host 10.129.72.130
PING 10.129.72.130 (10.129.72.130) from 10.129.72.126 : 56(84) bytes of data.
^C
--- 10.129.72.130 ping statistics ---
1 packets transmitted, 0 received, 100% packet loss, time 0ms

実行中のコマンドarp をすべて表示私たちは見るARP不完全な。

admin@Lab70-126-PA-5280> show arp all

maximum of entries supported :      128000
default timeout:                    1800 seconds
total ARP entries in table :        1
total ARP entries shown :           1
status: s - static, c - complete, e - expiring, i - incomplete

interface         ip address      hw address        port              status   ttl
--------------------------------------------------------------------------------
ethernet1/1       10.129.72.130   (incomplete)      ethernet1/1         i      1

システムログには次の情報が表示されます。

2022/06/21 01:24:10 info     general        general 0  Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
2022/06/21 01:24:00 info     general        general 0  Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
2022/06/21 01:23:50 info     general        general 0  Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
2022/06/21 01:23:25 info     general        general 0  Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
2022/06/21 01:23:15 info     general        general 0  Received conflicting ARP on interface ethernet1/1 indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d

pan_packet_diagとログ機能フロー arp誰かが使用していることを示しますIPアドレスfirewallで使用していますNATルール。

に応じて、firewall無償で送信しますARP10.129.72.130 のブロードキャストfirewallMAC.

Received ARP packet from port ethernet1/1
Packet decoded dump:
L2:     00:50:56:9b:ab:6d->94:56:41:37:d4:40, type 0x0806
ARP:    hardware type 0x0001
        protocol type 0x0800
        hardware size 6
        protocol size 4
        opcode REPLY
        sender mac address 00:50:56:9b:ab:6d
        sender ip address 10.129.72.130
        target mac address 94:56:41:37:d4:40
        target ip address 10.129.72.126
ARP packet sent from translated IP 10.129.72.130 in NAT rule index 0 in vsys 1
MAC not of own box00:50:56:9b:ab:6d
Received conflicting ARP on interface ethernet1/1,indicating duplicate IP 10.129.72.130, sender mac 00:50:56:9b:ab:6d
Broadcast ARP announcement packet on interface 64
Packet decoded dump:
L2:     94:56:41:37:d4:40->ff:ff:ff:ff:ff:ff, type 0x0806
ARP:    hardware type 0x0001
        protocol type 0x0800
        hardware size 6
        protocol size 4
        opcode REPLY
        sender mac address 94:56:41:37:d4:40
        sender ip address 10.129.72.130
        target mac address 94:56:41:37:d4:40
        target ip address 10.129.72.130

Environment

パロアルトFirewallソースで構成されたNAT変換された送信元アドレスが出力/宛先インターフェイスサブネットと重複しているルール。

Cause

それの訳はfirewallプロキシを実行しますARP変換されたソースサブネット用であり、したがって、任意のARPこのサブネットの IP を要求します。

Resolution

修正するS-NAT正しく翻訳されたルールIPとサブネット。

Additional Information

プロキシの詳細についてはARP: https://docs.paloaltonetworks.com/pan-os /9-1/pan-os -管理者/ネットワーク/nat/nat-policy -rules/proxy-arp-for-nat-address-pools