交换机与防火墙对接,报文上送至虚墙转发
现场经过M9000虚墙转发业务不通。
对于防火墙来说定位业务不通的问题的定位思路:
1. 首先判断报文是否上送至防火墙,是否是策略丢弃;首先在虚墙debug ip packet acl没有对应的信息,debug aspf packet/security-policy也没有对应的回显;
2. 分析是因为报文没有上到虚墙,怀疑报文没有发送给防火墙,让排查上行交换机,交换机接口流通显示发给我们;
3. 可能是中间链路丢弃,但是链路正常,所以在防火墙上流通(M9000防火墙只支持根墙的物理口配置流通),显示报文已经发送给我们了;
4. 目前判断确实防火墙丢包,因为虚墙没有对应的debug信息输出,报文没有上送到虚墙应该是在根墙丢包了。
5. 根墙丢包(设备CPU包括转发核,所以不存在因为CPU丢包),应该不是MAC校验的结果,M9000防火墙是混杂模式,也就是不校验发送至本端的报文的MAC地址(中低端防火墙为了保护性能会检查目的MAC非本机报文就会丢弃),对于业务不通怀疑是目的MAC不对,流量在根墙无法找到对应的虚墙进行数据转发,所以这个时候就需要查过来的报文的目的MAC,因为M9000web界面抓包不支持;
6. 想办法抓过来的报文。可以镜像抓包,也可以debug抓包。镜像抓包这里不再赘述,如果抓到报文非常好对比;
debug方式抓包:
1. 先查出每个虚墙对应的接口MAC。
[M9000-probe]display system internal sib mac-table
2.抓取发送过来的报文。
debugging system internel sib packet acl XXXX
现场通过debug信息排查发现为目的MAC确实不是我们虚墙的接口MAC,原因是交换机发送的过来的报文MAC不对,排查交换机发现配置有问题导致MAC更改变。一般情况下交换机作为border或者spine可能存在问题。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作