关于S3600交换机作为VRRP Backup设备时回应tracert报文的说明

关于S3600交换机作为VRRP Backup设备时回应tracert报文的说明

 

一      组网：

两台S3600交换机做VRRP为局域网中客户机和上行的路由器提供双机备份：

二      问题描述：

S3600-1和S3600-2使能VRRP，地址分配情况如下：

S3600-1：

interface Vlan-interface10

 ip address 10.0.0.1 255.255.255.0

 vrrp vrid 1 virtual-ip 10.0.0.254

 vrrp vrid 1 priority 150

#

interface Vlan-interface20

 ip address 20.0.0.1 255.255.255.0

 vrrp vrid 2 virtual-ip 20.0.0.254       

#

interface Vlan-interface30

 ip address 30.0.0.1 255.255.255.0

 vrrp vrid 3 virtual-ip 30.0.0.254

S3600-2：

interface Vlan-interface10

 ip address 10.0.0.2 255.255.255.0

 vrrp vrid 1 virtual-ip 10.0.0.254

#

interface Vlan-interface20

 ip address 20.0.0.2 255.255.255.0

 vrrp vrid 2 virtual-ip 20.0.0.254

 vrrp vrid 2 priority 150                

#

interface Vlan-interface30

 ip address 30.0.0.2 255.255.255.0

 vrrp vrid 3 virtual-ip 30.0.0.254

 vrrp vrid 3 priority 150

 

S3600-1为vlan10的VRRP Master，S3600-2为 vlan10的VRRP Backup。

 

在vlan10下的PC tracert远端Server时，应走路径为：

S3600-1 à Router àServer

tracert 100.0.0.1

 traceroute to 100.0.0.1(100.0.0.1) 30 hops max,40 bytes packet, press CTRL_C to break

 1  10.0.0.1 5 ms 5 ms 10.0.0.2 5 ms

 2  100.0.0.1 3 ms 3 ms 10 ms

而实际tracert时，有时的结果却是：

S3600-2à Router àServer

tracert 100.0.0.1

 traceroute to 100.0.0.1(100.0.0.1) 30 hops max,40 bytes packet, press CTRL_C to break

 1  10.0.0.2 4 ms 10.0.0.1 5 ms 5 ms

 2  100.0.0.1 3 ms 3 ms 9 ms

 

三      过程分析：

在S3600-2上debugging drv packet cpurcv和debugging drv packet cpuxmit发现PC发出的tracert报文上设备CPU进行了处理：

*0.70714664 H3C DRV_MNT/8/cpurcv:- 1 -

CPURcv: Portnum--2  length=64 reason=0x00001000 cpu_rx_cos=-1---------

+0 +1 +2 +3 +4 +5 +6 +7  +8 +9 +A +B +C +D +E +F

00 00 5e 00 01 01 00 23  89 6a 20 8b 81 00 00 0a 

08 00 45 00 00 28 75 a1  00 00 01 11 d5 bf 0a 00 

00 64 64 00 00 01 75 9f  82 9c 00 14 00 00 02 01 

00 00 02 00 00 00 00 00  00 00 00 00 00 00 00 00

 

*0.70715125 H3C DRV_MNT/8/CPUXmit:- 1 -

CPUSnd: Portnum--2  length=74 reason=0x00000000 cpu_rx_cos=-1---------

+0 +1 +2 +3 +4 +5 +6 +7  +8 +9 +A +B +C +D +E +F

00 23 89 6a 20 8b 00 0f  e2 20 0d 26 81 00 00 0a 

08 00 45 00 00 38 1f 0f  00 00 ff 01 88 50 0a 00 

00 02 0a 00 00 64 0b 00  fc af 00 00 00 00 45 00 

00 28 75 a1 00 00 01 11  d5 bf 0a 00 00 64 64 00 

00 01 75 9f 82 9c 00 14  00 00

而理论上VRRP Backup设备是不应该处理这个报文的。

为何S3600-2对tracert进行了回应，这里涉及到S3600产品VRRP的实现机制：

如果Backup上有多个vrrp组且其中只要有一个组是处于Master角色，那么底层就会有acl将目的mac为00005e0001xx的TTL=1的报文copy to CPU。

ACL规则没有细化到按vrrp的虚mac来精确匹配是为了节省acl资源。由于只能采取copy的方式，所以这份报文会同时被Backup和Master设备收到。

由于底层acl无法过滤Backup上来的报文，并且底层也不适合针对vrrp状态去软件过滤这种报文，报文上到平台后只要收包端口所在的vlan是有三层接口就会回应tracert，不会再关注到二层mac信息的。

用PC抓包看，PC每发出一个ttl为1的报文，都会同时收到2个回应，至于tracert的结果中显示的回应IP，取决于Master还是Backup谁回应的速度快，显示谁的地址。

 

四      解决方法：

无，该问题只涉及到tracert的显示结果，对三层转发的业务报文没有影响。