Cisco ASA 5510 需要“清除 arp“定期到达单个主机

tag-icon tag-icon cisco vlan cisco-asa arp
Cisco ASA 5510 需要“清除 arp“定期到达单个主机

ASA 9.0(3)

症状是,我可以从 ASA ping 到该接口子网中的任何其他主机,除了一个特定主机(但是该主机可以 ping ASA 上的接口)。如果我执行“clear arp FooInterface”,我将能够 ping 主机几分钟(会有所不同,但少于 10 分钟),然后它才会工作,直到我重新发出命令。

ASA 上的 sho arp 显示主机的正确 MAC,主机上的 arp -a 显示 ASA 接口的正确 MAC。

该子网位于 VLAN 上,此物理接口上的任何其他 VLAN 均不存在此问题。

知道这是什么原因造成的吗?

=== 编辑 ===

根据要求,show arp对于通信正常时的IP:

ykf-fw-1# sho arp | include 10.10.40.36
Infrastructure 10.10.40.36 90e6.ba8c.1828 363

如果没有的话:

ykf-fw-1# sho arp | include 10.10.40.36
Infrastructure 10.10.40.36 90e6.ba8c.1828 144

=== 编辑 #2 ===

来自 ASA 的 ping:

ykf-fw-1# ping 10.10.40.36
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.40.36, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)

主机通过 tcpdump 看到此信息:

[root@ykf-nas-2] ~# tcpdump -i vlan1 host 10.10.40.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 65535 bytes
22:01:17.563705 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:17.563719 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:19.561476 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:19.561490 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:21.561253 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:21.561267 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:23.561107 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:23.561120 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:25.560906 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:25.560920 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80

(并且从主机到 ASA 的 ping 操作按预期工作)。

[2 月 17 日编辑] 上个月我和 Cisco TAC 来回沟通过。升级到 9.1(5),问题依旧。支持代表从 ASA、主机和连接它们的 L2 交换机捕获了数据包,应该会在某个时候回复我。他声称他从未见过这样的事情,并认为这可能与交换机和 ASA 之间的 VLAN 封装有关(此问题不会发生在 ASA 本机接口上的子网上)。

答案1

问题最终是旧防火墙一直由不同的团队连接到网络,距离网络设备有好几台。所以那些说“重复 IP”的人是对的。

相关内容