【简要拓扑图示例】:
SR66在G5/0/0上调用PBR,将PC上来的流量下一跳都指向防火墙。
防火墙上配置默认路由将流量丢回SR66。
防火墙上不做nat,只做安全策略。
SR66与防火墙互联的口也在5板上。
按正常转发流程,应该是PC流量通过G5/0/0口转发至SR66,SR66根据接口PBR将流量转发至防火墙,防火墙过滤完后将流量转发回SR66,SR66根据路由表将流量转发至其他设备。
但设备割接上线后,网络不可达。
1、防火墙在割接前未做过配置改动,在防火墙上抓包分析,流量已到达防火墙,防火墙也将流量转发回路由器。
2、细看防火墙上抓到的包,数据包存在TTL不一样的情况,并且TTL有不断减小的情况,怀疑设备产生了环路。
3、排查物理连线、设备配置、查看路由等信息,均显示正常。
4、除去这些,要想到还有快转表是否有问题。
5、检查快转表信息发现异常,快转表中没有从防火墙回来的明细快转表信息。
6、这时候可以想到是快转负载分担功能引起的问题。
7、关闭快转负载分担功能后,业务正常。
1、中低端路由器默认开启了快转负载分担功能。关闭快转负载分担功能后正常。
undo ip
fast-forwarding load-sharing
【快转负载分担功能】:开启快速转发负载分担功能后,当一条数据流从不同入接口上来进行转发时,不再根据入接口不同区分数据流,根据报文中的信息标识一条数据流。
也就是说默认开启的快转负载分担功能,在这种组网环境下,从防火墙回来的数据流,不再匹配路由,而是匹配快转表,并且不再根据数据流源接口匹配快转表,只要快转表中有对应的源目的地址即匹配,所以流量会匹配快转表又转发给防火墙,导致环路。
【补充说明】如果SR66与防火墙互联的接口与PBR调用的源接口不在同一板卡上,不会有这种现象,因为快转表是根据板卡来的,跨板卡不会有这种现象。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作