Salut,
Cet article vous montre dans quelles situations le pare-feu répond aux requêtes ARP:
1. Recevoir une demande de l'adresse IP réelle de l'interface: Répondez avec la véritable adresse MAC de l'interface.
2. Recevoir une demande d'adresse IP virtuelle VRRP : le périphérique maître répond avec l'adresse MAC virtuelle correspondant à l'ID VRRP et le périphérique de sauvegarde ne répond pas.
3. Recevoir une demande d'adresse IP dans le pool d'adresses NAT: Si l'interface est liée à un groupe VRRP, le périphérique maître répond avec l'adresse MAC virtuelle et le périphérique de sauvegarde ne répond pas. Si l'interface n'est pas liée à VRRP, les périphériques maître et de sauvegarde peuvent répondre avec l'adresse MAC physique de l'interface. Si les adresses d'un pool d'adresses NAT se trouvent sur le même sous-réseau que l'adresse d'un groupe VRRP, vous devez lier manuellement le pool d'adresses NAT au groupe VRRP.
4. Recevoir une demande pour l'adresse IP globale du serveur nat: Si l'interface est liée à un groupe VRRP, le périphérique maître répond avec l'adresse MAC virtuelle et le périphérique de sauvegarde ne répond pas. Si l'interface n'est pas liée à VRRP, les périphériques maître et de sauvegarde peuvent répondre avec l'adresse MAC physique de l'interface. Si l'adresse IP publique du serveur NAT et l'adresse IP du groupe VRRP se trouvent sur le même segment de réseau, vous devez lier manuellement le serveur NAT au groupe VRRP.
5. Proxy ARP: l'adresse IP source et l'adresse IP de l'interface entrante se trouvent sur le même segment de réseau, et l'adresse IP source et l'adresse IP de destination se trouvent sur des segments de réseau différents. Le pare-feu constate que la route IP de destination est accessible et que l'interface sortante et l'interface entrante de la route IP de destination ne sont pas la même interface. Si toutes les conditions sont remplies, la réponse du proxy peut être effectuée, la réponse du pare-feu avec l'adresse MAC physique de l'interface. Si la demande ARP porte une balise VLAN, les adresses IP source et de destination peuvent être dans le même segment de réseau, mais le pare-feu doit avoir une entrée ARP correspondant à l'adresse IP de destination, et l'adresse IP source et l'adresse IP de destination appartiennent à des VLAN, le pare-feu peut répondre à la requête ARP;Si le pare-feu n'a pas d'entrée ARP correspondant à l'adresse IP de destination, le pare-feu utilise l'adresse MAC de l'interface comme adresse MAC source et utilise l'adresse IP source du paquet de demande ARP d'origine comme adresse IP source pour envoyer la demande ARP paquets vers tous les VLAN. Autrement dit, le pare-feu agit comme un proxy pour différents domaines de diffusion.
