这个周末我正在testing一个来自服务提供商的新的数据链接连接,并且我经历了一些地址parsing问题。
我使用笔记本电脑testing了远端主机的可达性,并提供了ISP提供的一些networking参数。
然后,当我在我的UTM上的可用NIC上configuration它时,同一主机无法访问。 确认我的路由configuration正确安装后,我开始用tcpdump进行嗅探,发现我的linux UTM的ARP请求( arp who-has )在另一端的第一跳没有得到答案。 因此,在我的UTM的ARP表中创build了一个<incomplete>条目的IP地址。
作为暂时的解决方法,我通过arp -a向UTM的ARP表中添加了一个永久的条目。
我发现主机不回答我的arp请求是Cisco路由器(根据nmap OS检测function的Cisco 7600 router (IOS 12.2) )。 什么可能是这个问题的根源呢?
arp_filter不允许回复来自其他子网的地址/ NAT必需? 数据链接的networking掩码是/30所以只有两个主机能够回复arp请求(我的UTM和路由器)
我的ISP回复:
我们确实应用了安全策略,但是在MAC地址级别,对于接入端口(Gi7 / 3),最多有10个Mac允许该端口的stream量,并且日志已经在此date注册了4个条目,因此确保安全措施(限制)尚未激活。
我确实升级了我的UTM硬件,以获得更多的网卡。 在这个升级中,我的网卡接收数据链接的MAC地址发生了变化,但行为是一样的,没有静态ARP条目,我不能发送数据包到思科路由器。
(这应该被移到https://networkengineering.stackexchange.com/ )
没有“不可理解的”ARP,如果你的linux-box在arp-requests上没有得到任何答案,你的networkingconfiguration是正确的(IP,networking掩码)和以太网工作(接口是UP)。
所以没有任何可能的方式来说明无法访问思科设备的原因。 一些可能的原因: