本帖最后由 杨锋 于 2024-3-29 17:05 编辑
关键字:ARP代理 | AF | 防火墙ARP代理
主题:现实中经常使用到的两个防火墙ARP代理使用场景
场景一:上级单位分配了一个C段给下级单位,下级单位针对该段还需要细分vlan使用,本段网关还在上级单位 且上级单位不允许使用SNAT接入
拓扑:
场景分析(拆分): 1.内网通过核心交换机划分vlan,每个vlan使用vlanif作为网关 2.核心使用默认路由指向防火墙LAN口,防火墙配置内网CIDR网段的回程路由 3.防火墙WAN口配置30位掩码地址与上级单位互联,上级单位作为整个网段的网关
访问数据流: PC访问DNS服务器223.5.5.5 通过默认路由转发流量至核心,核心根据默认路由转发至防火墙,直至转发进上级单位网络内并送达223.5.5.5; 服务器回包到达上级单位后,上级单位网络查找路由后将发给PC的流量转发至AF WAN口,此处产生丢包
丢包原因: PC访问223.5.5.5的数据包通过AF转发至网关时,网关会广播查询PC的MAC地址,由于防火墙处于三层模式 隔离了广播域,因此该ARP无法被响应,数据包无法正常转发至内网 由于防火墙WAN口IP地址不等于PC的IP地址,因此防火墙丢弃该数据包
解决方法: 开启ARP代理,代理响应上级网关发起的ARP请求(以WAN口-代理的接口来响应)
场景二:防火墙部署在出口直连公网,服务器直连防火墙DMZ区域接口,服务器也需要使用公网地址上网
拓扑:
|