Hoppa till innehållet
Avanet

Lösa ARP-problem efter byte av Sophos Firewall

Sophos Firewall

Vid byte av en firewall-konfiguration kan det i sällsynta fall hända att vissa alias-IP-adresser inte längre svarar på ICMP-förfrågningar (Ping), medan andra alias-adresser fortfarande kan pingas. Fenomenet uppstår särskilt ofta när firewallens MAC-adress ändras genom omställningen.

En typisk konfiguration i moderna nätverk omfattar flera alias-IP-adresser på ett enskilt WAN-interface. Dessa alias-adresser används ofta för att hantera olika tjänster från ett enda fysiskt interface. Vid ett firewall-byte, till exempel från en annan tillverkare till Sophos Firewall eller även vid byte av hårdvarumodell inom Sophos-ekosystemet, ändras ofta MAC-adressen för det externa interfacet. Denna ändring kan leda till problem i ARP-tabellen (Address Resolution Protocol) på intilliggande routrar eller switchar, som kopplar alias-IP-adresserna till gamla MAC-adresser och inte uppdaterar dem automatiskt.

Tekniken bakom problemet

ARP-protokollet ansvarar för att lösa upp IP-adresser till MAC-adresser. När en host vill kontakta en IP-adress i nätverket skickar den en ARP-förfrågan för att fastställa tillhörande MAC-adress. ARP-cachen sparar dessa kopplingar tillfälligt för att minska nätverksbelastningen och snabba upp upplösningen. Om MAC-adressen för en firewall ändras medan IP-adressen förblir densamma kan konflikter uppstå, eftersom intilliggande enheter eventuellt fortfarande försöker koppla IP-adresserna till den gamla MAC-adressen.

I en sådan situation är det möjligt att vissa IP-adresser fortfarande kan pingas, medan andra inte svarar. Det beror på att ARP-tabellen på grannenheterna har uppdaterat kopplingen korrekt för vissa IP-adresser, medan den fortfarande innehåller föråldrad information för andra IP-adresser.

ARP-ping för att uppdatera ARP-tabellen

För att lösa problemet kan man köra ett specifikt kommando via SSH på Sophos Firewall som gör det möjligt att utföra ett manuellt ARP-ping för varje alias-IP-adress. Kommandot tvingar firewallen att initiera en ARP-förfrågan från den berörda alias-IP-adressen, vilket uppdaterar ARP-tabellen på grannenheterna.

system diagnostics utilities arp ping source interface

Anta att en av de alias-IP-adresser som inte kan pingas är 212.60.60.121 och att den är konfigurerad på interfacet Port2. Kommandot för att uppdatera ARP-tabellen för denna adress är:

system diagnostics utilities arp ping source 212.60.60.121 interface Port2 212.60.60.120

Detta kommando skickar en ARP-förfrågan från alias-IP-adressen 212.60.60.121 via interfacet Port2 till sig själv. Det tvingar alla intilliggande enheter att uppdatera sina ARP-tabeller med rätt MAC-adress för denna IP.

Steg-för-steg-guide för felsökning:

  1. **Anslut via SSH till Sophos Firewall:**Först upprättas en SSH-anslutning till firewallen. För detta kan man använda ett verktyg som PuTTY eller den inbyggda SSH-konsolen.
  2. Identifiera alias-IP-adresser som inte kan pingas: I nästa steg kontrolleras vilka alias-IP-adresser på WAN-interfacet som inte kan pingas.
  3. **Kör ARP-ping-kommandot:**För varje alias-IP-adress som inte kan pingas körs ARP-ping-kommandot ovan. Se till att den specifika alias-IP-adressen och tillhörande interface anges korrekt.
  4. **Kontrollera resultat:**När kommandot har körts kontrolleras om de tidigare icke-pingbara alias-IP-adresserna nu svarar på ping-förfrågningar.
  5. **Starta om nätverksenheter (om nödvändigt):**I vissa fall kan det vara hjälpsamt att starta om angränsande nätverksenheter som routrar eller switchar för att säkerställa att ARP-tabellerna uppdateras helt.