我们有一个 Sonicwall NSA 2400，它已经使用了几年。在我们“升级”到新的 NSA 2600 设备之前，我们从未遇到任何路由问题。下面是一个粗略的配置思路：

NSA 2600 接口：

x0 - LAN IP x.x.10.223  x1 - WAN ISP #1   x2 - WAN ISP #2    x3 - WAN ISP #3 and x4 - LAN IP y.y.16.10

x0 和 x4 插入 HP Procurve 2920-48G-PoE+ 交换机，服务器位于另一台直接插入另一台的 HP Procurve 2920-24G 交换机上。

我们看到路由问题的主要服务器是 IBM AS400，通过其 NIC 上的虚拟接口配置了多个 IP。IP 地址位于 LAN 网段上，如下所示：

x.x.10.4   x.x.10.6   y.y.16.22

此配置由供应商为 AS400 设置，yy16.0 子网用于从x2 ISP #2接口路由复制

我们看到的行为让戴尔/Sonicwall 工程师难堪，因此我将在此处尽可能详细地描述它。

插入所有接口后，ARP 表开始填充 LAN 段上的设备。 y.y.16.22, x.x.10.4并且x.x.10.6不要出现。我们曾尝试为它们添加静态 ARP 条目，但 ping 执行异常，因为它们会响应一段时间然后开始一次丢弃一个 IP。

现在，如果我们不插电 x4（第二个 LAN 接口），那么x.x.10.4和x.x.10.6最初将出现在 ARP 条目中。我们运行了数据包捕获并发现来自 Sonicwall NSA 2600 的 ping 请求是“生成”然后“使用”的，但有时没有转发。

我们已经清除了 AS400 上的 ARP 缓存，这是第二台 NSA 2600 设备，因为第一台经过 3 次恢复出厂设置甚至测试了从 2400 导入的设置后进行了 RMA。我们还尝试设置了接口 MAC 地址NSA 2600 与 2400 相同。哦，我们用 Dell Powerconnect 交换机开始了这种磨难，并被告知这是一个问题（由 Sonicwall），所以我们购买了 HP :-)

任何想法、建议甚至是研究方向都将不胜感激，因为我们已经在键盘上打了一段时间，并在戴尔/Sonicwall“支持”的电话上花费了数小时。

谢谢。

为 RON 编辑：

1) 正确。对于静态 ARP 条目，它可能会 ping 几分钟，然后从防火墙完全断开，但从网络上的其他 PC 上它仍然响应。

2) 在 NSA 2400（旧设备）的数据包捕获中，从防火墙到 AS400 的 ping 跟踪变为 1-数据包由源生成 2-数据包消耗（由防火墙） 3-数据包转发到 AS400 因此在 2600 上的数据包捕获中它不在 NSA 2600 上转发数据包。

3) AS400 有一个配置了虚拟接口的单个​​ NIC，所以它在技术上是一个单一的接口。网络上的其他机器可以直接在 xx10.0 网络上 ping AS400，我已经将 yy16.0 网络添加到一台机器上，并且 ping 永远不会下降到任何这些地址。这个问题似乎只与 NSA 2600 设备有关，我们已经更换了它......

谢谢罗恩。

编辑 #2：数据包捕获显示 ARP 数据包正在发出，但插入 x4 接口时未收到响应。如果拔出 x4 接口，则会收到 ARP 响应。拔下 x4 子网的 x0 接口也是如此。

编辑 #3：发现 AS400 正在使用所谓的代理 ARP 配置。物理 NIC 用作系统的控制台，还充当 AS400 内部配置的虚拟接口的代理。代理使用物理 MAC 地址响应所有 ARP 请求，然后在内部处理到虚拟接口的路由。我附上了一张图来说明设置如下。

在导致这种行为的原因上仍然没有进展。