vrf NAT を使用し、ARP 解決ができない事象について

Hirofumi Nonose · ‎2016-09-20

vrf NAT を使用し、arp 解決がしない問題について、下記不具合が 3つの登録されています。

CSCtj96626 : vrf-aware nat doesn't create arp entries for nat address

CSCuy84755 : [非公開] No ARP reply for NAT address in vrf -> 15.6(3)T、15.6(2)T、15.5(3)M3以降のバージョンにて修正

CSCux28030 : No ARP replay for NAT address in vrf -> 15.6(2)T以降のバージョンにて修正

3つの不具合は、別々に調査されたため、登録ID が異なっていますが、内容は、同じとなっています。本コンテンツでは、不具合の挙動、Workaroundの適用後の挙動について、debug より解説した内容となっています。なお、上記、不具合では、Workaround として、1. static arpの適用、2. "match-in-vrf"オプションの適用が有効となっています。

1. Workaround を適用した検証

　1.-1. 未修正Version での検証結果

static arpの追加	"match-in-vrf" の追加
OK : ARP解決できる	OK　: ARP解決できる

1.-2. 検証構成

　使用IOS : 15.5(3)M2

　1.-3. 事象確認

R1ログ

R1#  ping 20.0.0.2 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
.....
Success rate is 0 percent (0/5)

R2ログ

R2#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 20.0.0.100:9      1.1.1.1:9          20.0.0.2:9         20.0.0.2:9
--- 20.0.0.100         1.1.1.1            ---                ---
--- 20.0.0.200         2.2.2.2            ---                ---

*0:38:00.804: IP ARP: creating incomplete entry for IP address: 20.0.0.2 interface Ethernet0/1
*0:38:00.804: IP ARP: sent req src 20.0.0.1 aabb.cc00.a110,dst 20.0.0.2 0000.0000.0000 Ethernet0/1
*0:38:00.805: IP ARP: rcvd rep src 20.0.0.2 aabb.cc00.a210, dst 20.0.0.1 Ethernet0/1
*0:38:00.805: NAT*: s=1.1.1.1->20.0.0.100, d=20.0.0.2 [40]

R3ログ

R3#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  20.0.0.1                1   aabb.cc00.a110  ARPA   Ethernet0/1
Internet  20.0.0.2                -   aabb.cc00.a210  ARPA   Ethernet0/1
Internet  20.0.0.100              0   Incomplete      ARPA  <<< ARP incompleteとなる

*0:38:00.806: IP ARP: creating incomplete entry for IP address: 20.0.0.100 interface Ethernet0/1

　

　1.-4. Workaroundの適用(match-in-vrf)

R2(config)# ip nat inside source static 1.1.1.1 20.0.0.100 vrf test extendable match-in-vrf

R1ログ(Workaround適用後)

R1#  ping 20.0.0.2 so lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/5 ms

R2ログ(Workaround適用後)

R2#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
icmp 20.0.0.100:14     1.1.1.1:14         20.0.0.2:14        20.0.0.2:14
--- 20.0.0.100         1.1.1.1            ---                ---
--- 20.0.0.200         2.2.2.2            ---                ---

R3ログ(Workaround適用後)

R3#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  20.0.0.1                0   aabb.cc00.a110  ARPA   Ethernet0/1
Internet  20.0.0.2                -   aabb.cc00.a210  ARPA   Ethernet0/1
Internet  20.0.0.100              0   aabb.cc00.a110  ARPA   Ethernet0/1

*Aug  9 04:46:22.904: IP ARP: rcvd rep src 20.0.0.100 aabb.cc00.a110, dst 20.0.0.100 Ethernet0/

1.-5. Workaroundの適用(static arp)

R2(config)#arp vrf test 20.0.0.200 aabb.cc00.a110 arpa alias

R1ログ(Workaround適用後)

R1#  ping 20.0.0.2 so lo2
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with a source address of 2.2.2.2
.!!!!
Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/2 ms

R2ログ(Workaround適用後)

R2#sh ip nat translations
Pro Inside global      Inside local       Outside local      Outside global
--- 20.0.0.100         1.1.1.1            ---                ---
icmp 20.0.0.200:15     2.2.2.2:15         20.0.0.2:15        20.0.0.2:15
--- 20.0.0.200         2.2.2.2            ---                ---

R3ログ(Workaround適用後)

R3#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  20.0.0.1               10   aabb.cc00.a110  ARPA   Ethernet0/1
Internet  20.0.0.2                -   aabb.cc00.a210  ARPA   Ethernet0/1
Internet  20.0.0.100             10   aabb.cc00.a110  ARPA   Ethernet0/1
Internet  20.0.0.200              0   aabb.cc00.a110  ARPA   Ethernet0/1

*Aug  9 04:56:56.371: IP ARP: rcvd rep src 20.0.0.200 aabb.cc00.a110, dst 20.0.0.2 Ethernet0/

1.-6. 修正バージョンの適用(match-in-vrf & static arp 未設定)

使用IOS : 15.6(2)T1

R1ログ

R1#ping 20.0.0.2 source lo1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 20.0.0.2, timeout is 2 seconds:
Packet sent with a source address of 1.1.1.1
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/5 ms

R3ログ

R3#sh arp
Protocol  Address          Age (min)  Hardware Addr   Type   Interface
Internet  20.0.0.1                0   aabb.cc00.a110  ARPA   Ethernet0/1
Internet  20.0.0.2                -   aabb.cc00.a210  ARPA   Ethernet0/1
Internet  20.0.0.100              1   aabb.cc00.a110  ARPA   Ethernet0/1