【SD-WAN】【NAT】cpe直连电脑无法互通

2线-王博09发表于:2021年03月05日 11:25:24更新于:2021年03月31日 15:07:18

问题描述

CPE WAN口直连电脑无法互通,show arp dyna 没有学习到电脑的ARP信息,电脑(防火墙已关闭)上有CPE的ARP信息。CPE WAN口直连电脑无法互通,show arp dyna 没有学习到电脑的ARP信息,电脑(防火墙已关闭)上有CPE的ARP信息。

适用场景

通用

原因分析

1、通过抓包发现能收到PC发送的报文到了设备,再通过设备命令行debug查看,如下:

    CPE WAN口的地址为60.211.249.242,PC的地址为60.211.249.241

    debug  dp filter src_ip 60.211.249.242 src_port any dst_ip 60.211.249.241 dst_port any protocol 1 bidirectional

    debug dp flow drop

    debug to terminal

图片.png

    Debug信息提示:获取不到60.211.249.241的arp信息,改地址在nat地址中;

2、查看设备上配置DNAT信息

图片.png

3、目的地址对象中之前为60.211.249.242/30,包含了241地址导致arp走了dnat流程,设备无法获取arp;修改地址对象为32位掩码后,可以互通。

图片.png

解决办法

修改DNAT配置中的目的地址为设备接口地址,掩码为32位。