流量经过M9000虚墙转发业务不通

交换机与防火墙对接，报文上送至虚墙转发

现场经过M9000虚墙转发业务不通。

对于防火墙来说定位业务不通的问题的定位思路：

1. 首先判断报文是否上送至防火墙，是否是策略丢弃；首先在虚墙debug ip packet acl没有对应的信息，debug aspf packet/security-policy也没有对应的回显；

2. 分析是因为报文没有上到虚墙，怀疑报文没有发送给防火墙，让排查上行交换机，交换机接口流通显示发给我们；

3. 可能是中间链路丢弃，但是链路正常，所以在防火墙上流通（M9000防火墙只支持根墙的物理口配置流通），显示报文已经发送给我们了；

4. 目前判断确实防火墙丢包，因为虚墙没有对应的debug信息输出，报文没有上送到虚墙应该是在根墙丢包了。

5. 根墙丢包（设备CPU包括转发核，所以不存在因为CPU丢包），应该不是MAC校验的结果，M9000防火墙是混杂模式，也就是不校验发送至本端的报文的MAC地址（中低端防火墙为了保护性能会检查目的MAC非本机报文就会丢弃），对于业务不通怀疑是目的MAC不对，流量在根墙无法找到对应的虚墙进行数据转发，所以这个时候就需要查过来的报文的目的MAC，因为M9000web界面抓包不支持；

6. 想办法抓过来的报文。可以镜像抓包，也可以debug抓包。镜像抓包这里不再赘述，如果抓到报文非常好对比；

debug方式抓包：

1. 先查出每个虚墙对应的接口MAC。

[M9000-probe]display system  internal sib mac-table

2.抓取发送过来的报文。

debugging system internel sib packet acl  XXXX

现场通过debug信息排查发现为目的MAC确实不是我们虚墙的接口MAC，原因是交换机发送的过来的报文MAC不对，排查交换机发现配置有问题导致MAC更改变。一般情况下交换机作为border或者spine可能存在问题。