2024年3月14日发(作者：殷之)

sonicWALL诊断日志 IP spoof dropped

简介: 诊断日志 IP spoof dropped

本文适用于：涉及到的 Sonicwall 防火墙

Gen5: NSA E7500, NSA E6500, NSA E5500, NSA 5000, NSA 4500, NSA 3500, NSA2400, NSA 240

Gen5 TZ 系列: TZ 100/ Wireless, TZ 200/ W, TZ 210/ 210Wireless

Gen4: PRO 系列: PRO 5060, PRO 4100, PRO 4060, PRO 3060, PRO 2040, PRO1260

Gen4: TZ 系列: TZ 190/ W, TZ 180/ W, TZ 170/ W/ SP/ SP Wireless, TZ 150/ W/ Wireless（RevB）

固件/软件版本: 所有 SonicOS 版本

服务: Logs

功能与应用

当 SonicWALL 防火墙认为一个数据包分段上的 IP地址应该属于另一个数据包分段时，将 会在日志中显

示 IP spoof dropped 信息。IP spoof 信息通常被认为是企图恶意进入网络的标志，但是也有可能是糟

糕的网络状况或者 VPN 路由引起的

步骤

LAN 内含有错误地址的节点

最常见的导致出现 IP spoof 信息的原因是局域网内含有错误地址的节点。某个局域网内的所有节点必须

具有和防火墙 LAN 口地址相同网段的 IP 地址。比如防火墙的某个局域网处在192.168.168.0/24 网段，

那么假如有一台 PC 的地址为 192.168.0.1，那么防火墙将会 认为这是一个 IP spoof，并且在记录在日

志中，如图所示：

物理连接问题

另外一个常见的原因是 SonicWALL 防火墙与其他设备在物理连接上出现环路。比如一台交 换机同时连接

了 SonicWALL 防火墙的 X0,X2 和 X3 口，并且交换机上没有划分 VLAN， 那么同样会出现 IP spoof 信

息

额外的 LAN 子网

在正常情况下，SonicWALL 防火墙只会承认与 LAN 口地址同网段的子网，如果该 LAN 口 下有额外的子网，

那么必须在防火墙上添加相应的路由策略

举例：SonicWALL X0 的网段是 192.168.168.0/24，假如有 192.168.200.0/24 网段的主机想要上网，那

么 SonicWALL 会认为这是 IP Spoof 并且丢弃该包

多网卡

假如一台 PC 有多个网卡，在每个网卡上配置不同网段的 IP 地址，网卡 A 连接到防火墙的X0 端口，

网卡 B 连接到路由器。当网卡 B 的数据流量尝试通过防火墙到达外网时，SonicWALL 会丢弃该数据

包

有时这种情况也发生在 VPN 连接时。比如一个 GVC 客户端连接到 SonicWALL 防火墙， 该客户端有一个

WLAN 的适配器尝试通过 Microsoft NetBIOS 流量（UDP 端口 137、138、139）时，SonicWALL 会丢弃该

数据包

网卡的地址为 APIPA（169.254.X.X）

对于有多个网卡的主机，如果其中一个网卡的地址是 automatic private IP address（APIPA），那

么也会导致这个问题。这些网卡会试图以连接到 SonicWALL 的适配器的 MAC 地址的名义将流量通过防火

墙。于是工作区会禁用这些适配器或者检查他们的 IP 地址的合 法性

虚拟接口/适配器

如果网络中的一个节点装有虚拟机，并且它的虚拟适配器的 IP 地址和物理适配器的 IP 地址 不在同一

网段，那么当虚拟适配器试图通过 SonicWALL 防火墙上网时，也会导致 IP spoof 问题。工作区会禁用这

个虚拟适配器或者在 SonicWALL 防火墙上建一条路由策略

标签： sonicWALL诊断日志 IP spoof dropped

分类： Technical Doc

2024年3月14日发(作者：殷之)

sonicWALL诊断日志 IP spoof dropped

简介: 诊断日志 IP spoof dropped

本文适用于：涉及到的 Sonicwall 防火墙

Gen5: NSA E7500, NSA E6500, NSA E5500, NSA 5000, NSA 4500, NSA 3500, NSA2400, NSA 240

Gen5 TZ 系列: TZ 100/ Wireless, TZ 200/ W, TZ 210/ 210Wireless

Gen4: PRO 系列: PRO 5060, PRO 4100, PRO 4060, PRO 3060, PRO 2040, PRO1260

Gen4: TZ 系列: TZ 190/ W, TZ 180/ W, TZ 170/ W/ SP/ SP Wireless, TZ 150/ W/ Wireless（RevB）

固件/软件版本: 所有 SonicOS 版本

服务: Logs

功能与应用

当 SonicWALL 防火墙认为一个数据包分段上的 IP地址应该属于另一个数据包分段时，将 会在日志中显

示 IP spoof dropped 信息。IP spoof 信息通常被认为是企图恶意进入网络的标志，但是也有可能是糟

糕的网络状况或者 VPN 路由引起的

步骤

LAN 内含有错误地址的节点

最常见的导致出现 IP spoof 信息的原因是局域网内含有错误地址的节点。某个局域网内的所有节点必须

具有和防火墙 LAN 口地址相同网段的 IP 地址。比如防火墙的某个局域网处在192.168.168.0/24 网段，

那么假如有一台 PC 的地址为 192.168.0.1，那么防火墙将会 认为这是一个 IP spoof，并且在记录在日

志中，如图所示：

物理连接问题

另外一个常见的原因是 SonicWALL 防火墙与其他设备在物理连接上出现环路。比如一台交 换机同时连接

了 SonicWALL 防火墙的 X0,X2 和 X3 口，并且交换机上没有划分 VLAN， 那么同样会出现 IP spoof 信

息

额外的 LAN 子网

在正常情况下，SonicWALL 防火墙只会承认与 LAN 口地址同网段的子网，如果该 LAN 口 下有额外的子网，

那么必须在防火墙上添加相应的路由策略

举例：SonicWALL X0 的网段是 192.168.168.0/24，假如有 192.168.200.0/24 网段的主机想要上网，那

么 SonicWALL 会认为这是 IP Spoof 并且丢弃该包

多网卡

假如一台 PC 有多个网卡，在每个网卡上配置不同网段的 IP 地址，网卡 A 连接到防火墙的X0 端口，

网卡 B 连接到路由器。当网卡 B 的数据流量尝试通过防火墙到达外网时，SonicWALL 会丢弃该数据

包

有时这种情况也发生在 VPN 连接时。比如一个 GVC 客户端连接到 SonicWALL 防火墙， 该客户端有一个

WLAN 的适配器尝试通过 Microsoft NetBIOS 流量（UDP 端口 137、138、139）时，SonicWALL 会丢弃该

数据包

网卡的地址为 APIPA（169.254.X.X）

对于有多个网卡的主机，如果其中一个网卡的地址是 automatic private IP address（APIPA），那

么也会导致这个问题。这些网卡会试图以连接到 SonicWALL 的适配器的 MAC 地址的名义将流量通过防火

墙。于是工作区会禁用这些适配器或者检查他们的 IP 地址的合 法性

虚拟接口/适配器

如果网络中的一个节点装有虚拟机，并且它的虚拟适配器的 IP 地址和物理适配器的 IP 地址 不在同一

网段，那么当虚拟适配器试图通过 SonicWALL 防火墙上网时，也会导致 IP spoof 问题。工作区会禁用这

个虚拟适配器或者在 SonicWALL 防火墙上建一条路由策略

标签： sonicWALL诊断日志 IP spoof dropped

分类： Technical Doc