这个周末,我正在测试服务提供商提供的新数据链路连接,并且遇到了一些地址解析问题。
我使用我这边的笔记本电脑以及 ISP 提供的一些网络参数测试了远端主机的可达性。
然后,当我在 UTM 上可用的 NIC 上配置它时,相同的主机无法访问。确认我的路由配置设置正确后,我开始嗅探tcpdump
并发现我的 Linux UTMarp who-has
对另一侧第一跳的 ARP 请求()没有得到答复。因此,<incomplete>
在我的 UTM 的 ARP 表中创建了它的 ip 地址的条目。
作为一种临时的解决方法,我通过向我的 UTM 的 ARP 表中添加了一个永久条目arp -a
。
我确实发现不响应我的 arp 请求的主机是 Cisco 路由器(Cisco 7600 router (IOS 12.2)
根据 nmap OS 检测功能)。这个问题的根本原因是什么?
- 路由器的 ARP 中是否存在某种 ACL 配置?(我的笔记本电脑确实获得了 ARP 解析)
- 有些
arp_filter
不允许回复来自其他子网/ NAT 的地址吗? - 当我在 UTM 上配置相同的地址时,路由器的 ARP 表上会出现我的笔记本电脑的临时条目,并且会激活欺骗保护?
- 格式错误的 ARP 请求?(我在同一个 UTM 上的其他数据链接没有遇到这个问题)
- 向我的 UTM 发送了“无法理解”的 ARP 答复?
- 任何其他?
数据链路的网络掩码是/30
只有两个主机能够回复 arp 请求(我的 UTM 和路由器)
更新:
我的 ISP 的答复:
我们确实应用了安全策略,但在 MAC 地址级别,对于接入端口(Gi7/3)的情况,我们最多有 10 个 Mac 允许该端口的流量,并且日志到目前为止已经注册了 4 个条目,从而确保安全操作(限制)尚未被激活。
我确实升级了 UTM 的硬件,以便获得更多可用的 NIC。在这次升级中,我的 NIC 接收数据链路的 MAC 地址发生了变化,但行为是一样的,没有静态 arp 条目,我无法将数据包发送到思科路由器。
答案1
(这应该移至https://networkengineering.stackexchange.com/)
不存在“无法理解的” ARP,如果您的 Linux 机器没有收到任何有关 ARP 请求的答复,则表明您的网络配置正确(IP、网络掩码)并且以太网可以正常工作(接口处于 UP 状态)。
因此,如果不访问 cisco 设备,就无法说明原因。一些可能的原因:
- 不知何故错误的网络配置
- 静态ARP条目
- 防火墙/过滤/...