三层交换机 arp 学习疑问

@newborn 谢谢, 实际情况中, 上层交换为我的 mac 地址记录了额外的 3 个/24 段, 每段至少 5 个 IP+的映射关系, 因此 "11.1.2.3 设备的 mac 地址与 10.1.2.4 相同" 这个说法应该不成立
所以我很疑惑这些记录是怎么创建出来的, 按理说其它内网的 arp 包到不了我这一边, 且就算到了我这边, 内核也不应回复
机房给我的 dis arp | in abcd-ef01-0203 截图大体如下
IP ADDRESS | MAC ADDRESS | EXP(M) | TYPE/VLAN | INTERFACE
10.1.2.4 | abcd-ef01-0203 | 110 | D/123 | Eth-Trunk2
...
10.2.5.6 | abcd-ef01-0203 | 112 | D/123 | Eth-Trunk2
...
10.3.6.7 | abcd-ef01-0203 | 113 | D/123 | Eth-Trunk2
...
11.1.2.3 | abcd-ef01-0203 | 111 | D/123 | Eth-Trunk2

@newborn 另附当时在 vpn xfrm 网口上抓到的回包脱敏图片: https://sm.ms/image/UFRiNvxGPaTlc3o
这个包从网口收到, 但 reject 报文从 xfrm 网口传出, 因为当时偷懒直接定了 10.0.0.0/8 dev ipsec0 的路由规则, 所以 reject 报文从 xfrm 网口发出去前被我抓到了
看内容是机房内部的 syslog 通信报文被转到我机器 (11.x.y.z) 上来了, 后来我严格了路由规则后, reject 报文就会从网口发回, 交换机应该就会看到了
有些怀疑是因为这个 syslog 的报文被交换机广播到我机器上, 然后机器回了 reject 报文导致交换机学习了

这机房怎么会用 11.0.0.0/8 这种作为内网地址呢？

让我捋捋

- 这机房给你配的地址是 11.0.0.0/8 这种地址.
- 机房没做隔离, 10.0.0.0/8 的数据包也转发到你这来了.
- 机房内部内部的 syslog 通信报文你也收到了.
- 机房认为你的的服务器在进行 ARP 欺骗攻击, 执意要清退.

---
你是单独托管一台服务器在机房里的吗?

@Int100 差不多就是这样子; 是的, 我单独托管了一台

感觉你把因果搞错了，单播包在交换机没做策略情况下不可能发给你，所以会不会是先交换机上 arp 指向你了才导致把包发给你，和你后面的 icmp 没关系。

@Executor 看看你的机器是不是开了 arp 代理 sysctl -a | grep proxy_arp

@huaxie1988 所以我也很好奇这些包是怎么给我转来的
别的网段的 arp 请求一般来讲我不可能能原样收到, 中间都要过网关, 我很显然和其它网段的主机不是"网络邻居", 但交换机就是学到了我的 mac 挂着多个/24 段的 IP
但有一个有趣的现象, 我的网卡挂的实际上直接是公网 IP 地址, 网关也是该 IP /24 段下的地址, 是不是这中间他们有什么策略转换成他们自己内网的 11.0.0.0/8 这个地址后搞出来的一系列问题

@newborn 今晚我的机器才送到家里, 到时候上电了我看看, 感谢

@newborn 输出全 0, 确实没开这东西

你看看你 ICMP reject ，回包的 IP ，应该就是你那个 nft 的 reject 导致的。交换机的 mac 表只是看了一眼报文里的 mac 地址和 ip 地址，就把对应关系记录下来了。而你的机器开了 ip_forward ，回个别的 IP 给网关很正常啊

@nkloveni 没错的, 我也估计是这样的情况, 只是机房给我的回复非常肯定我在搞 arp 欺骗把我整的不自信了, 再加上从 kernel 的源码 /net/ipv4/netfilter/nf_reject_ipv4.c#L183-L184 可以看出确实是按你说的这样回

@huaxie1988 你猜当交换机在 mac 表里找不到数据包的 mac 地址，不知道该向哪个口转发的时候，交换机会怎么办？