• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

某局点F5080(V7)防火墙冗余组切换后无法ping通上行交换机互连接口地址

2021-04-29 发表
  • 1关注
  • 0收藏 619浏览
刘诚 四段
粉丝:0人 关注:0人

组网及说明


组网说明:防火墙堆叠部署,上行两台交换机防火墙主备单独互连(不做irf),交换机与防火墙互连接口为三层口,且两个接口ip地址一样,对接防火墙reth1口。左边防火墙为主,右边防火墙为备,左边交换机称为A,右边交换机称为B。


问题描述

现场反馈对防火墙进行冗余组切换时,从主防火墙切到备防火墙,在防火墙上ping B与reth 1互连的接口地址不通,需要在防火墙上reset arp all或者等5分钟才能ping通;从备防火墙切到主防火墙,在防火墙上可以直接ping A与reth 1互连的接口地址。


过程分析

经过实验室测试:

倒换前,冗余组在主框,在防火墙上长ping

dis redundancy group

Redundancy group 1 (ID 1):

  Node ID      Chassis       Priority   Status        Track weight

  1            Chassis1      90         Primary       255

  2            Chassis2      10         Secondary     255

 

Preempt delay time remained     : 0    min

Preempt delay timer setting     : 1    min

Remaining hold-down time        : 0    sec

Hold-down timer setting         : 1    sec

Manual switchover request       : No

 

Member interfaces:

    Reth5             

Node 1:

  Track info:

    Track    Status           Reduced weight     Interface

      11       Positive         255                XGE1/3/0/1

Node 2:

  Track info: 

    Track    Status           Reduced weight     Interface

    21       Positive         255                XGE2/3/0/1

 

通过shut XGE 1/3/0/1进行倒换后,冗余组切换到备上,此时测试长ping丢一个包。//丢一个包,与现场ping不通不一致

 

56 bytes from 70.1.1.2: icmp_seq=150 ttl=255 time=0.527 ms

56 bytes from 70.1.1.2: icmp_seq=151 ttl=255 time=0.548 ms

56 bytes from 70.1.1.2: icmp_seq=152 ttl=255 time=0.791 ms

56 bytes from 70.1.1.2: icmp_seq=153 ttl=255 time=0.541 ms

Request time out

56 bytes from 70.1.1.2: icmp_seq=155 ttl=255 time=1.016 ms

56 bytes from 70.1.1.2: icmp_seq=156 ttl=255 time=0.649 ms

56 bytes from 70.1.1.2: icmp_seq=157 ttl=255 time=0.559 ms

56 bytes from 70.1.1.2: icmp_seq=158 ttl=255 time=0.573 ms

 

dis redundancy group

Redundancy group 1 (ID 1):

  Node ID      Chassis       Priority   Status        Track weight

  1            Chassis1      90         Secondary     0

  2            Chassis2      10         Primary       255

 

Preempt delay time remained     : 0    min

Preempt delay timer setting     : 1    min

Remaining hold-down time        : 0    sec

Hold-down timer setting         : 1    sec

Manual switchover request       : Yes

 

Member interfaces:

    Reth5             

 

Node 1:

  Track info:

    Track    Status           Reduced weight     Interface

    11       Negative         255                XGE1/3/0/1

Node 2:

  Track info: 

    Track    Status           Reduced weight     Interface

21       Positive         255                XGE2/3/0/1

 

Undo shut XGE 1/3/0/1之后,冗余组回切,回切过程中未丢包。//回切不丢包,与现场描述一致

dis redundancy group

Redundancy group 1 (ID 1):

  Node ID      Chassis       Priority   Status        Track weight

  1            Chassis1      90         Secondary     255

  2            Chassis2      10         Primary       255

 

Preempt delay time remained     : 1    min

Preempt delay timer setting     : 1    min

Remaining hold-down time        : 0    sec

Hold-down timer setting         : 1    sec

Manual switchover request       : No

 

Member interfaces:

    Reth5            

 

Node 1:

  Track info:

    Track    Status           Reduced weight     Interface

    11       Positive         255                XGE1/3/0/1

Node 2:

  Track info: 

    Track    Status           Reduced weight     Interface

    21       Positive         255                XGE2/3/0/1

实验环境测试,在备切回主的时候,对端设备会回一个免费arp给防火墙设备,所以回切时基本不丢包。

*Apr 24 15:56:48:990 2021 F1070 ARP/7/ARP_SEND: -COntext=1; Sent an ARP message, operation: 1, sender MAC: 3c8c-40b4-0921, sender IP: 70.1.1.1, target MAC: 0000-0000-0000, target IP: 70.1.1.1

*Apr 24 15:56:49:990 2021 F1070 ARP/7/ARP_SEND: -COntext=1; Sent an ARP message, operation: 1, sender MAC: 3c8c-40b4-0921, sender IP: 70.1.1.1, target MAC: 0000-0000-0000, target IP: 70.1.1.1

*Apr 24 15:56:50:990 2021 F1070 ARP/7/ARP_SEND: -COntext=1; Sent an ARP message, operation: 1, sender MAC: 3c8c-40b4-0921, sender IP: 70.1.1.1, target MAC: 0000-0000-0000, target IP: 70.1.1.1

*Apr 24 15:56:51:453 2021 F1070 ARP/7/ARP_RCV: -COntext=1; Received an ARP message, operation: 1, sender MAC: 9023-b46c-0683, sender IP: 70.1.1.2, target MAC: 0000-0000-0000, target IP: 70.1.1.2

*Apr 24 15:56:51:990 2021 F1070 ARP/7/ARP_SEND: -COntext=1; Sent an ARP message, operation: 1, sender MAC: 3c8c-40b4-0921, sender IP: 70.1.1.1, target MAC: 0000-0000-0000, target IP: 70.1.1.1




解决方法

根据测试的结果分析,因为防火墙上是reth口,reth为逻辑口,当业务在主墙上时,防火墙学到的arpmac表象为核心1上的mac,当业务切换至备墙后,由于arp还未老化,对与防火墙而言,arp表象里的mac还是核心1上的mac,发送的报文目的mac还是核心1 mac,这样报文到达核心2后,由于目的mac错误,核心会将报文丢弃。核心上配置免费arp,核心定时发送免费arp告知防火墙核心mac的变化情况,使防火墙能够及时更新arp表象,用正确的mac去封装报文。这样切换后防火墙上的arp表象能及时刷新为正确的表象,倒换也就正常。

2.1.2  arp send-gratuitous-arp

arp send-gratuitous-arp命令用来在接口上使能定时发送免费ARP功能,并设置发送免费ARP报文的周期。

undo arp send-gratuitous-arp命令用来关闭定时发送免费ARP功能。

【命令】

arp send-gratuitous-arp [ interval milliseconds ]

undo arp send-gratuitous-arp

【缺省情况】

定时发送免费ARP功能处于关闭状态。

【视图】

三层以太网接口视图/VLAN接口视图/三层以太网子接口视图/三层聚合接口视图/三层聚合子接口视图

【缺省用户角色】

network-admin

mdc-admin

【参数】

interval milliseconds:发送免费ARP报文的周期,取值范围为200~200000,单位为毫秒,缺省值为2000毫秒。

【使用指导】

配置本命令后,只有当接口链路up并且配置IP地址后,此功能才真正生效。

只能为VRRP虚拟IP地址、接口主IP地址和手工配置的从IP地址发送免费ARP。主IP地址可以是手工配置或者通过其他方式获取的,但是从IP地址必须是手工配置的。

如果修改了免费ARP报文的发送周期,则在下一个发送周期才能生效。

如果同时在很多接口下使能本功能,或者每个接口有大量的从IP地址,或者两种情况共存的同时又配置很小的发送时间间隔,那么免费ARP报文的发送频率可能会远远低于用户的预期。

【举例】

# 在接口Vlan-interface2上使能定时发送免费ARP功能,发送免费ARP报文的周期为300毫秒。

<Sysname> system-view

[Sysname] interface vlan-interface 2

[Sysname-Vlan-interface2] arp send-gratuitous-arp interval 300


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作