柯辉,某局点S5130s-ei 连接主备防火墙 arp 未更新问题
1680243147,
CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。,某局点S5130s-ei 连接主备防火墙 arp 未更新问题
组网及说明
5130s-ei 做堆叠 和对端防火墙主备墙互连
告警信息
暂无
问题描述
防火墙主备切换,发现设备侧可以从切换之后的主墙防火墙上收到 免费ARP报文,但是设备上的arp 表项未及时更新,导致流量还是走到原先的主墙上,导致流量不通
过程分析
查看配置发现 ,在交换机上配置了 arp active-ack enable ,设备收到的免费arp 报文,设备需要确认建立表项,但是因为设备将报文发给原来的主之后,主不会回应,导致设备无法更新arp
配置非严格模式的ARP主动确认功能时,处理方式如下:
¡ 收到目标IP地址为自己的ARP请求报文时,设备会发送ARP应答报文,但先不建立对应的表项。同时,设备立即向ARP请求报文的发送端IP地址发送ARP请求,在一个探测周期内如果收到发送端IP地址对应的设备回复的ARP应答报文,则建立ARP表项。
¡ 收到ARP应答报文时,需要确认本设备是否在当前探测时间周期内对该报文中的源IP地址发起过ARP请求:
- 若发起过请求,则设备建立该ARP表项;
- 若未发起过请求,则不建立ARP表项。同时,设备立即向ARP应答报文的发送端IP地址发送ARP请求,在一个探测周期内如果收到发送端IP地址对应的设备回复的ARP应答报文,则建立ARP表项。
解决方法
取消掉 该配置 arp active-ack enable
CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。,某局点S5130s-ei 连接主备防火墙 arp 未更新问题
