Sophos Firewall – Risolvere il problema ARP dopo la migrazione del firewall
Quando si cambia la configurazione di un firewall, in rari casi può accadere che alcuni indirizzi IP alias non rispondano più alle richieste ICMP (ping), mentre altri indirizzi alias rimangono pingabili. Questo fenomeno si verifica con particolare frequenza se l’indirizzo MAC del firewall cambia a seguito del cambio di configurazione.
Una configurazione tipica delle reti moderne prevede più indirizzi IP alias su una singola interfaccia WAN. Questi indirizzi alias sono spesso utilizzati per gestire diversi servizi da un’unica interfaccia fisica. Quando si cambia firewall, ad esempio passando da un altro produttore a un Sophos Firewall o addirittura cambiando modello di hardware all’interno dell’ecosistema Sophos, l’indirizzo MAC dell’interfaccia esterna spesso cambia. Questo cambiamento può causare problemi nella tabella ARP (Address Resolution Protocol) dei router o degli switch vicini, che assegnano gli indirizzi IP alias ai vecchi indirizzi MAC e non li aggiornano automaticamente.
Argomenti
La tecnologia alla base del problema
Il protocollo ARP è responsabile della risoluzione degli indirizzi IP in indirizzi MAC. Quando un host vuole contattare un indirizzo IP nella rete, invia una richiesta ARP per determinare l’indirizzo MAC associato. La cache ARP memorizza temporaneamente queste assegnazioni per ridurre il carico della rete e accelerare la risoluzione. Tuttavia, se l’indirizzo MAC di un firewall cambia mentre l’indirizzo IP rimane lo stesso, possono sorgere dei conflitti perché i dispositivi vicini possono ancora cercare di collegare gli indirizzi IP al vecchio indirizzo MAC.
In questa situazione, è possibile che alcuni indirizzi IP siano ancora pingabili mentre altri non rispondono. Questo accade perché la tabella ARP dei dispositivi vicini ha aggiornato correttamente l’assegnazione di alcuni indirizzi IP, mentre contiene ancora informazioni non aggiornate per altri indirizzi IP.
ARP ping per aggiornare la tabella ARP
Per risolvere questo problema, puoi eseguire un comando specifico sul Sophos Firewall tramite SSH che ti permette di eseguire un ping ARP manuale per ogni indirizzo IP alias. Questo comando obbliga il firewall ad avviare una richiesta ARP dall’indirizzo IP alias in questione, aggiornando la tabella ARP dei dispositivi vicini.
system diagnostics utilities arp ping source <Alias-IP-address> interface <Interface-Name> <Destination-IP-address>
212.60.60.124
Port7.27
Supponiamo che uno degli indirizzi IP alias non pingabili sia e sia configurato sull’interfaccia .
Il comando per aggiornare la tabella ARP per questo indirizzo è:
system diagnostics utilities arp ping source 212.60.60.120 interface Port7.27 212.60.60.124
212.60.60.124
Port7.27
Questo comando invia una richiesta ARP dall’indirizzo IP dell’alias a se stesso tramite l’interfaccia .
Questo costringe tutti i dispositivi vicini ad aggiornare le loro tabelle ARP con l’indirizzo MAC corretto per questo IP.
Guida alla risoluzione dei problemi passo dopo passo:
Connettersi al Sophos Firewall tramite SSH: per prima cosa è necessario stabilire una connessione SSH al firewall. Per farlo, puoi utilizzare uno strumento come PuTTY o la console SSH integrata.
Identificare gli indirizzi IP alias non pingabili: il passo successivo è verificare quali indirizzi IP alias sull’interfaccia WAN non sono pingabili.
Eseguire il comando ARP ping: il comando ARP ping di cui sopra viene eseguito per ogni indirizzo IP alias non pingabile. È necessario prestare attenzione a utilizzare correttamente l’indirizzo IP alias specifico e l’interfaccia associata.
Verifica i risultati: dopo l’esecuzione del comando, si controlla se gli indirizzi IP alias precedentemente non pingabili rispondono ora alle richieste di ping.
Riavvia i dispositivi di rete (se necessario): in alcuni casi, può essere utile riavviare i dispositivi di rete vicini, come router o switch, per assicurarsi che le tabelle ARP siano completamente aggiornate.