Sophos Firewall – Résoudre les problèmes d’ARP après le changement de pare-feu
Lors du changement de configuration d’un pare-feu, il peut arriver, dans de rares cas, que certaines adresses IP alias ne répondent plus aux requêtes ICMP (ping), alors que d’autres adresses alias restent pingables. Ce phénomène est particulièrement fréquent lorsque la conversion modifie l’adresse MAC du pare-feu.
Une configuration typique dans les réseaux modernes comprend plusieurs adresses IP alias sur une seule interface WAN. Ces adresses alias sont souvent utilisées pour gérer différents services à partir d’une seule interface physique. Lorsque vous changez de pare-feu, par exemple en passant d’un autre fabricant à un Sophos Firewall ou même en changeant de modèle de matériel dans l’écosystème Sophos, l’adresse MAC de l’interface externe change souvent. Ce changement peut entraîner des problèmes dans la table ARP (Address Resolution Protocol) des routeurs ou des commutateurs voisins qui attribuent les adresses IP alias aux anciennes adresses MAC et ne les mettent pas à jour automatiquement.
Thèmes
La technique derrière le problème
Le protocole ARP est responsable de la résolution des adresses IP en adresses MAC. Lorsqu’un hôte souhaite contacter une adresse IP sur le réseau, il envoie une requête ARP afin de déterminer l’adresse MAC correspondante. Le cache ARP stocke temporairement ces associations afin de réduire la charge du réseau et d’accélérer la résolution. Cependant, si l’adresse MAC d’un pare-feu change alors que l’adresse IP reste la même, il peut y avoir des conflits car les périphériques voisins peuvent encore essayer d’associer les adresses IP à l’ancienne adresse MAC.
Dans une telle situation, il est possible que certaines adresses IP soient toujours pingables, alors que d’autres ne répondent pas. Cela est dû au fait que la table ARP sur les appareils voisins a correctement mis à jour l’attribution pour certaines adresses IP, alors qu’elle contient encore des informations obsolètes pour d’autres adresses IP.
Ping ARP pour mettre à jour la table ARP
Pour résoudre ce problème, vous pouvez exécuter une commande spécifique sur Sophos Firewall via SSH, qui permet d’effectuer un ARP ping manuel pour chaque adresse IP alias. Cette commande force le pare-feu à initier une requête ARP depuis l’adresse IP alias concernée, ce qui met à jour la table ARP sur les périphériques voisins.
system diagnostics utilities arp ping source <Alias-IP-address> interface <Interface-Name> <Destination-IP-address>
Supposons que l’une des adresses IP alias non épinglables est 212.60.60.124
et qu’elle est configurée sur l’interface Port7.27
.
La commande pour mettre à jour la table ARP pour cette adresse est
system diagnostics utilities arp ping source 212.60.60.120 interface Port7.27 212.60.60.124
Cette commande envoie une requête ARP à elle-même à partir de l’adresse IP alias 212.60.60.124
via l’interface Port7.27
.
Cela force tous les périphériques voisins à mettre à jour leurs tables ARP avec l’adresse MAC correcte pour cette IP.
Guide de dépannage étape par étape :
- Se connecter à Sophos Firewall via SSH :
Commencez par établir une connexion SSH au pare-feu. Pour cela, vous pouvez utiliser un outil comme PuTTY ou la console SSH intégrée. - Identifier les adresses IP alias non pingables :
L’étape suivante consiste à vérifier quelles adresses IP alias ne sont pas pingables sur l’interface WAN. - Exécuter la commande ARP ping :
Pour chaque adresse IP alias non pingable, la commande ARP ping mentionnée ci-dessus est exécutée. Il faut veiller à utiliser correctement l’adresse IP alias spécifique et l’interface correspondante. - Vérifier les résultats :
Une fois la commande exécutée, elle vérifie si les adresses IP alias qui n’étaient pas pingables répondent désormais aux requêtes ping. - Redémarrer les périphériques réseau (si nécessaire) :
Dans certains cas, il peut être utile de redémarrer les périphériques réseau adjacents, tels que les routeurs ou les commutateurs, pour s’assurer que les tables ARP sont entièrement mises à jour.