【东北小老弟】防火墙ARP代理应用场景+实现过程

关键字：ARP代理 | AF | 防火墙ARP代理

主题：现实中经常使用到的两个防火墙ARP代理使用场景

场景一：上级单位分配了一个C段给下级单位，下级单位针对该段还需要细分vlan使用，本段网关还在上级单位 且上级单位不允许使用SNAT接入

       拓扑：

场景分析（拆分）：

       1.内网通过核心交换机划分vlan，每个vlan使用vlanif作为网关

       2.核心使用默认路由指向防火墙LAN口，防火墙配置内网CIDR网段的回程路由

       3.防火墙WAN口配置30位掩码地址与上级单位互联，上级单位作为整个网段的网关

访问数据流：

       PC访问DNS服务器223.5.5.5 通过默认路由转发流量至核心，核心根据默认路由转发至防火墙，直至转发进上级单位网络内并送达223.5.5.5；

       服务器回包到达上级单位后，上级单位网络查找路由后将发给PC的流量转发至AF WAN口，此处产生丢包

丢包原因：

       PC访问223.5.5.5的数据包通过AF转发至网关时，网关会广播查询PC的MAC地址，由于防火墙处于三层模式 隔离了广播域，因此该ARP无法被响应，数据包无法正常转发至内网

       由于防火墙WAN口IP地址不等于PC的IP地址，因此防火墙丢弃该数据包

解决方法：

       开启ARP代理，代理响应上级网关发起的ARP请求（以WAN口-代理的接口来响应）

场景二：防火墙部署在出口直连公网，服务器直连防火墙DMZ区域接口，服务器也需要使用公网地址上网

      拓扑：

描述不清不楚，图一那个是防火墙LAN  那个是WAN    从左到右访问，或是从右到左访问，让人看得迷糊。