组网拓扑:
如图,某局点两台S12508F-AF作为VRRP的主备,同时作为下行服务器的网关,两台服务器同接在VRRP主上,上行等价链路分别连接到VRRP主备。
客户表示之前在服务器侧抓包的时候,抓到了发往同网段的其他服务器的报文。故而查设备上的mac表和arp表的情况,发现有ARP表项,但是没有MAC表项,理论上来说这没关系,因为S12508F-AF是作为服务器的网关的,直接查ARP表项就可以。
1、开始是没有mac表的,第一次ping通后,查看有服务器的mac表,等待一个mac表老化时间后,再查看的时候,mac表消失,arp表正常,重新ping之后,mac表未生成。这个现象是正常的,这个S125X/S125F的一个机制:默认MAC地址学习是出接口学习,不是传统的在入接口学习源MAC。但从客户那边反馈的抓包来看,在115.169.126.117侧的服务器确实抓到了去往服务器115.169.126.116的报文,抓包截图如下:
2、从抓包来看,确实泛洪了,因为是单播流量,所有在VRRP主上这条流肯定是未知单播,否则不会泛洪。从上面的截图可以看到,泛洪报文的源MAC是84d9-31e8-0cf9,这个MAC是VRRP备对应vlan虚接口的MAC:
备上vlan 2016虚接口
Vlan-interface2016
Current state: UP
Line protocol state: UP
Description: pT:Media-DNS01AAA
Bandwidth: 10000000 kbps
Maximum transmission unit: 1500
Internet address: 115.169.126.115/28 (primary)
IP packet frame type: Ethernet II, hardware address: 84d9-31e8-0cf9
IPv6 packet frame type: Ethernet II, hardware address: 84d9-31e8-0cf9
Last clearing of counters: Never
去往115.169.126.116的流量从上行负载链路hash过来,从备进来的流量都广播了,而从主进来的流量都是单播转发出去。根据报文的源MAC就可以区别从主还是备进来的流量。
3、这里在回到组网上,两个服务器都是挂在VRRP主下面的,所有从VRRP备进来的流量查ARP表项发现出接口是互联的AGG10口,到VRRP主上在进行 二层转发,那因为没有MAC表项,所以出现泛洪的现象。
对于客户的这种组网,建议修改MAC地址学习方式传统入端口学习源MAC的方式,命令:mac-address mac-learning ingress。
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作