ASA 9.0 (3)
Симптомом является то, что я могу выполнить эхо-запрос от ASA к любому другому хосту в подсети этого интерфейса, за исключением одного конкретного хоста (однако этот хост может пинговать интерфейс на ASA). Если я сделаю «clear arp FooInterface», я смогу пропинговать хост в течение нескольких минут (варьируется, но <10), тогда он не будет работать, пока я не введу команду повторно.
sho arp на ASA показывает правильный MAC для хоста, arp -a на хосте показывает правильный MAC для интерфейса ASA.
Эта подсеть находится в VLAN, ни одна из других VLAN на этом физическом интерфейсе не имеет этой проблемы.
Есть идеи, что вызывает это?
=== редактировать ===
Как просили, show arp для IP, когда связь работает:
ykf-fw-1# sho arp | include 10.10.40.36
Infrastructure 10.10.40.36 90e6.ba8c.1828 363
а когда нет:
ykf-fw-1# sho arp | include 10.10.40.36
Infrastructure 10.10.40.36 90e6.ba8c.1828 144
=== редактировать # 2 ===
Пинг от ASA:
ykf-fw-1# ping 10.10.40.36
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.10.40.36, timeout is 2 seconds:
?????
Success rate is 0 percent (0/5)
хост видит это через tcpdump:
[root@ykf-nas-2] ~# tcpdump -i vlan1 host 10.10.40.1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan1, link-type EN10MB (Ethernet), capture size 65535 bytes
22:01:17.563705 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:17.563719 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:19.561476 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:19.561490 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:21.561253 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:21.561267 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:23.561107 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:23.561120 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
22:01:25.560906 IP 10.10.40.1 > 10.10.40.36: ICMP echo request, id 17480, seq 25146, length 80
22:01:25.560920 IP 10.10.40.36 > 10.10.40.1: ICMP echo reply, id 17480, seq 25146, length 80
(и ping от хоста к ASA работает должным образом).
[править 17 февраля] Я был в Центре технической поддержки Cisco в течение последнего месяца. Обновился до 9.1 (5), та же проблема. Представитель службы поддержки взял перехваты пакетов от ASA, хоста и коммутатора L2, соединяющего их, и должен в какой-то момент вернуться ко мне. Он утверждает, что никогда не видел ничего подобного, и думает, что это может иметь какое-то отношение к инкапсуляции VLAN между коммутатором и ASA (эта проблема не возникает с подсетями на собственном интерфейсе ASA).
В конечном итоге проблема заключалась в том, что старый брандмауэр был подключен к сети другой командой, находящейся на расстоянии нескольких сетевых устройств. Так что те из вас, кто сказал «дублированный IP», были правы.