观察到的异常点:
1.
2.
3.
1、现场二层网络域大,交换机收到TC报文后会刷新mac表,此过程中会存在短暂的未知单播泛洪流量。是否这些流量会泛洪到了迪普防火墙导致会话数突增,迪普防火墙挂死?
///经排查组网,确实会泛洪到迪普交换机,但是迪普侧确认收到目的mac非自己的报文会直接丢弃,这些泛洪流量理论上并不会导致迪普防火墙的异常。
2、H3C交换机记录到思科交换机6509下的vrrp mac有漂移,其中最新一次是2-10日,思科下接的是IPS设备。是否可能很多流量是经过ips的,在2-10 11时左右此处故障导致终端大量原有会话超时,因此发起了大量的新连接导致迪普防火墙异常?
///经梳理组网流量模型,出现故障的业务不经过下接的IPS设备,因此故障与此处mac漂移无关。另外此处mac漂移经核实是由于SR6604接入的专线不稳定联动的VRRP切换导致的VRRP虚mac漂移,属于正常现象。
3、是否交换机软硬件在故障时间点有异常未能正常转发流量导致终端大量会话超时,大量重连导致迪普防火墙异常?
///经排查确认,组网中S12508,S7600等并未发现相关软硬件故障。同时排查组网发现组网不合理,备框所有流量都是跨irf链路转发的,但根据峰值流量和时间点记录,故障时候并未见拥塞等情况,因此可以排除。
4、迪普防火墙会话突增,并发突增,迪普是否有相关异常日志记录?是否有异常报文的特征?是否可能是迪普应用层面应用本身发生异常导致异常?
///经和现场工程师确认,迪普侧没有会话异常时的特征记录,应用层是否发生异常在排查确认中。
2月20
第三方设备链路模块等问题产生大量TC报文,流量模型配置导致大量单播报文泛洪给防火墙,防火墙被打爆引起业务异常。
解决方法:
1
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作