代理ARP导致网络“正常”

客户网络拓扑介绍如下：LSW1、LSW2、LSW3三个设备之间起mstp+vrrp，LSW1作为业务vlan的主网关设备；LSW1、LSW2、AR1、AR2之间ospf互连。

故障现象：
按照现网模式将97，57设备割接替换后发现下挂部分业务网络无法访问，影响客户业务使用。

无

处理过程：
1、设备替换后，应用vlan 10，20等多个vlan下挂的部分服务无法正常提供访问；
2、经分析，在同一vlan下有部分服务器出现异常，部分正常；故判断源地址到目的地址的路由正常，初步怀疑在二层网络是否存在arp攻击等行为，造成服务器arp映射错误导致无法正常访问网络；
3、在核心设备上查看log信息是否存在arp冲突告警，经查看并无相关告警信息；协商客户检查服务器端配置，查看arp映射是否正常，客户表示割接前网络正常；
4、在故障网段进行报文分析，观察故障服务器数据包交换过程；
5、通过报文分析发现故障服务器发送非本网段的arp请求包：

经分析，10.1.20.10/24为故障server地址，10.1.2.0/24 为客户网段地址，两个地址不在一个网段内，正常情况下跨网段通信10.1.20.10应该请求网关10.1.20.254的arp解析；通过分析，怀疑服务端的TCP/IP配置有误，而之前某厂商设备默认网关接口可能开启了代理arp，造成了割接前网络能够正常通信。
6、跟客户解释所观察的情况，协商客户检查服务器端配置；
7、经客户系统管理员查看，发现服务器端TCP/IP配置错误：
IP:10.1.20.10
掩码：255.255.0.0
网关：无
客户的网段为10.1.2.0，此错误配置导致服务器误将客户网段地址认为是同一段地址，直接发出10.1.2.0的ARP地址请求，在某厂商下默认接口启用了代理arp的功能，造成了网络能够正常的通信。
8、暂时在intvlanif接口下开启代理arp功能，网络恢复；待后续客户整改。

1、经割接前测试，客户原有网络均正常。现割接后，出现网络不通情况，判断跟设备替换有较大原因；
2、可能存在ARP攻击。

建议与总结：
在设备割接替换工作中，不同厂商或者同一厂商的不同版本设备技术特性有所差异，前期应做好测试工作，充分了解替换设备所需用到的技术特性，这样才能在遇到问题时快速帮助我们定位，解决问题。