ARP表项不能自动更新导致网络调整后业务不通的故障解决步骤如下:
网络环境
如图1和图2所示,NE40的接口工作在交换式接口模式。原来在PIX防火墙上做服务器对外网的NAT server转换,网络调整后把在PIX防火墙上对服务器做的NAT server转换的数据删除,改为在Eudemon500上做服务器的NAT server转换,服务器对外网的公网地址不变。
网络调整后,从Internet上无法ping通服务器的公网地址,也无法访问服务器上的业务。
故障分析
步骤 1 检查服务器的网卡工作状态是否正常,没有发现问题。
步骤 2 检查Eudemon500上的数据配置是否有问题。经检查没有发现问题,且从Eudemon500能ping通服务器的私网地址和映射后的公网地址。
步骤 3 从NE40上ping服务器映射后的公网地址,无法ping通。在NE40上使用命令display ip routing-table查看到服务器映射后的公网地址的路由,没有发现问题。
步骤 4 在NE40上执行命令display arp all查看ARP表项,发现服务器映射后的公网IP地址对应的仍然是PIX防火墙的MAC地址,ARP表项没有及时更新导致网络不通。
- <NE40> display arp all
- Arp Table:
- Total number of arp:2 static:0 dynamic:2
- IP Address MAC Address VlanID Type VPN-Instance Interface
- 11.1.1.1 1-1-1 I Eth6/0/0
- 11.1.1.2 2-2-2 D Eth6/0/0
----结束
处理步骤
在NE40上执行以下操作。
步骤 1 在用户视图下执行命令reset arp interface interface-type interface-number,清空NE40上与防火墙相连的接口上的ARP表项。
步骤 2 ping服务器映射后的公网地址11.1.1.2,使ARP表项重新自动学习。
步骤 3 执行命令display arp all,可以看到服务器映射后的公网IP地址对应的是Eudemon500上的MAC地址。
- <NE40> display arp all
- Arp Table:
- Total number of arp:2 static:0 dynamic:2
- IP Address MAC Address VlanID Type VPN-Instance Interface
- 11.1.1.1 1-1-1 I Eth6/0/0
- 11.1.1.2 3-3-3 D Eth6/0/0
----结束
完成上述操作后,从Internet上可以ping通服务器映射后的公网地址,也可以正常访问服务器上的业务,故障排除。
案例总结
一般情况下,ARP表项老化之前,系统会发送广播的ARP老化探测报文,确认ARP表项中MAC地址和IP地址的映射是否正确。
当网络调整后,与NE40相连的设备被更换(即MAC地址发生了改变),但新设备仍然使用原来IP地址。在ARP表项超时之前,从Internet上ping服务器映射后的公网地址时,系统认为自己有IP地址与MAC地址的映射,所以不会发送ARP老化探测报文,但是ARP表项中的MAC地址又不正确,所以导致业务不通。
网络调整后,最好手动更新一下ARP表项。
【编辑推荐】
- 路由器故障:策略路由配置不生效
- 路由器故障:POS接口修改MTU值无法生效
- 路由器故障:POS接口无法收到对端的报文
- 路由器故障:ACL反掩码配置错误 策略路由失效
- 路由器故障:MP Group成员接口状态频繁Up/Down
