防火墙子接口发包不带标签
- 0关注
- 0收藏,829浏览
问题描述:
1.防火墙有一三层子接口,做了vlan终结,业务正常时,该子接口收发的数据包均携带对应的标签。
2.业务异常时,抓包发现该子接口发出的数据包均未携带对应的标签。
3.用模拟器复现不出来问题,请问什么情况下会导致防火墙三层子接口发出的数据包不携带标签呢?
4.最后定位问题是上联的waf透明代理底层路由表项有问题,修复后正常,还是不明白waf到底给防火墙发了什么数据包(当时没抓到waf发出的数据包),能让防火墙回的包不带标签。
组网及组网描述:
- 2023-08-30提问
- 举报
-
(0)
最佳答案
按你子接口的配置,流量如果真是从你子接口出的,天塌了他也得给带上tag。
即使聚合主接口有配置ip,如果聚合主接口没有配置源进源出,那也是要查路由表从子接口出包的才对。
如果主接口有配置ip,又有ip last-hop hold 那当我没说
- 2023-08-30回答
- 评论(4)
- 举报
-
(0)
老师看下我的评论,截图我放下面了。主接口都有的,目的不是指向主接口的,是指向防火墙下联的业务地址。
看你补充的截图,那就是waf给墙时就是没带tag的了,被墙的聚合主接口接收后处理,回包因为源进源出所以从主接口出去了,所以没带tag。
老师,我这边又检查了一下,主接口没有地址,没有配置源进源出,但是子接口有地址和源进源出,而且子接口对应的业务地址是做了nat的,也就是说全局路由表该业务地址是指向null0的,子接口的地址做了vrrp,而抓到的回包也是vrrp的mac地址回应的,所以可以确定是从子接口出去的,系统版本M9010-9153P3901,很奇怪为什么不带标签……
这个还得看具体现场,具体路由表项是什么问题导致的,是通过什么手段修复的,来判断具体是什么原因
- 2023-08-30回答
- 评论(2)
- 举报
-
(0)
如果防火墙接口收到的是打标签的会不会就剥离标签了呢?
老师看下我的评论,截图我放下面了。
如果防火墙接口收到的是打标签的会不会就剥离标签了呢?
1.老师们看下,web界面配置的是br2.175,而底层看到的是br2。
2.后来在web界面重新设置透明代理规则接口,把br2.175改成br2.174,保存后再把br2.174改为br2.175,底层就恢复了。
3.有源进源出,题设我用模拟器没加,实际环境有的。
4.waf是透传vlan 175的。
- 2023-08-30回答
- 评论(0)
- 举报
-
(0)
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
老师,我这边又检查了一下,主接口没有地址,没有配置源进源出,但是子接口有地址和源进源出,而且子接口对应的业务地址是做了nat的,也就是说全局路由表该业务地址是指向null0的,子接口的地址做了vrrp,而抓到的回包也是vrrp的mac地址回应的,所以可以确定是从子接口出去的,系统版本M9010-9153P3901,很奇怪为什么不带标签……