Przejdz do tresci
Avanet

Sophos Firewall - rozwiązanie problemu ARP po migracji firewalla

Sophos Firewall

Podczas zmiany konfiguracji firewalla może się w rzadkich przypadkach zdarzyć, że niektóre aliasy IP przestaną odpowiadać na zapytania ICMP (ping), podczas gdy inne aliasy IP nadal pozostaną osiągalne. Zjawisko to występuje szczególnie często wtedy, gdy w wyniku migracji zmienia się adres MAC firewalla.

Typowa konfiguracja w nowoczesnych sieciach obejmuje kilka aliasów IP na jednym interfejsie WAN. Takie aliasy są często używane do obsługi różnych usług przez jedną fizyczną kartę sieciową. Przy wymianie firewalla, na przykład z urządzenia innego producenta na Sophos Firewall albo przy zmianie modelu sprzętowego w ramach ekosystemu Sophos, często zmienia się adres MAC zewnętrznego interfejsu. Może to powodować problemy w tablicy ARP (Address Resolution Protocol) sąsiednich routerów lub przełączników, które nadal przypisują aliasy IP do starych adresów MAC i nie aktualizują ich automatycznie.

Techniczne tło problemu

Protokół ARP odpowiada za mapowanie adresów IP na adresy MAC. Gdy host chce skontaktować się z adresem IP w sieci, wysyła zapytanie ARP, aby ustalić właściwy adres MAC. Pamięć podręczna ARP zapisuje takie przypisania tymczasowo, aby zmniejszyć obciążenie sieci i przyspieszyć rozwiązywanie adresów. Jeśli jednak adres MAC firewalla zmieni się, a adres IP pozostanie taki sam, mogą powstać konflikty, ponieważ sąsiednie urządzenia próbują nadal łączyć adresy IP ze starym adresem MAC.

W takiej sytuacji część adresów IP może nadal odpowiadać na ping, a część nie. Wynika to z tego, że tablica ARP na sąsiednich urządzeniach została poprawnie odświeżona tylko dla niektórych adresów IP, podczas gdy dla innych nadal zawiera nieaktualne informacje.

ARP ping do aktualizacji tablicy ARP

Aby rozwiązać ten problem, można wykonać na Sophos Firewall przez SSH specjalne polecenie, które pozwala wysłać ręczny ARP ping dla każdego aliasu IP. Polecenie wymusza na firewallu zainicjowanie zapytania ARP z dotkniętego aliasu IP, co aktualizuje tablice ARP na sąsiednich urządzeniach.

system diagnostics utilities arp ping source interface

Załóżmy, że jeden z nieosiągalnych aliasów IP to 212.60.60.121 i jest skonfigurowany na interfejsie Port2. Polecenie aktualizujące tablicę ARP dla tego adresu wygląda następująco:

system diagnostics utilities arp ping source 212.60.60.121 interface Port2 212.60.60.120

To polecenie wysyła zapytanie ARP z aliasu IP 212.60.60.121 przez interfejs Port2 do samego siebie. Dzięki temu wszystkie sąsiednie urządzenia są zmuszane do zaktualizowania swoich tablic ARP poprawnym adresem MAC dla tego IP.

Instrukcja rozwiązywania problemu krok po kroku

  1. Połącz się z Sophos Firewall przez SSH: Najpierw nawiąż połączenie SSH z firewallem. Możesz użyć narzędzia takiego jak PuTTY albo wbudowanej konsoli SSH.
  2. Zidentyfikuj nieosiągalne aliasy IP: W kolejnym kroku sprawdź, które aliasy IP na interfejsie WAN nie odpowiadają na ping.
  3. Wykonaj polecenie ARP ping: Dla każdego nieosiągalnego aliasu IP wykonaj podane wyżej polecenie ARP ping. Upewnij się, że używasz właściwego aliasu IP i odpowiedniego interfejsu.
  4. Sprawdź wynik: Po wykonaniu polecenia sprawdź, czy wcześniej nieosiągalne aliasy IP odpowiadają teraz na zapytania ping.
  5. Uruchom ponownie urządzenia sieciowe, jeśli to konieczne: W niektórych przypadkach pomocne może być ponowne uruchomienie sąsiednich urządzeń sieciowych, takich jak routery lub przełączniki, aby mieć pewność, że tablice ARP zostały całkowicie odświeżone.