S12508F-AF VRRP组网流量异常泛洪问题案例

  组网拓扑：

如图，某局点两台S12508F-AF作为VRRP的主备，同时作为下行服务器的网关，两台服务器同接在VRRP主上，上行等价链路分别连接到VRRP主备。

客户表示之前在服务器侧抓包的时候，抓到了发往同网段的其他服务器的报文。故而查设备上的mac表和arp表的情况，发现有ARP表项，但是没有MAC表项，理论上来说这没关系，因为S12508F-AF是作为服务器的网关的，直接查ARP表项就可以。

1、开始是没有mac表的，第一次ping通后，查看有服务器的mac表，等待一个mac表老化时间后，再查看的时候，mac表消失，arp表正常，重新ping之后，mac表未生成。这个现象是正常的，这个S125X/S125F的一个机制：默认MAC地址学习是出接口学习，不是传统的在入接口学习源MAC。但从客户那边反馈的抓包来看，在115.169.126.117侧的服务器确实抓到了去往服务器115.169.126.116的报文，抓包截图如下：

2、从抓包来看，确实泛洪了，因为是单播流量，所有在VRRP主上这条流肯定是未知单播，否则不会泛洪。从上面的截图可以看到，泛洪报文的源MAC是84d9-31e8-0cf9，这个MAC是VRRP备对应vlan虚接口的MAC：

备上vlan 2016虚接口

Vlan-interface2016

Current state: UP

Line protocol state: UP

Description: pT:Media-DNS01AAA

Bandwidth: 10000000 kbps

Maximum transmission unit: 1500

Internet address: 115.169.126.115/28 (primary)

IP packet frame type: Ethernet II, hardware address: 84d9-31e8-0cf9

IPv6 packet frame type: Ethernet II, hardware address: 84d9-31e8-0cf9

  Last clearing of counters: Never

去往115.169.126.116的流量从上行负载链路hash过来，从备进来的流量都广播了，而从主进来的流量都是单播转发出去。根据报文的源MAC就可以区别从主还是备进来的流量。

3、这里在回到组网上，两个服务器都是挂在VRRP主下面的，所有从VRRP备进来的流量查ARP表项发现出接口是互联的AGG10口，到VRRP主上在进行 二层转发，那因为没有MAC表项，所以出现泛洪的现象。

对于客户的这种组网，建议修改MAC地址学习方式传统入端口学习源MAC的方式，命令：mac-address mac-learning ingress。