防火墙二层部署丢包典型案例分析

不涉及

不涉及

防火墙二层部署，组网简化如下：

客户端-----（BAGG2）防火墙（BAGG1）------服务器

现场过防火墙探测服务器的端口不通。

首先查看防火墙会话信息如下：

TCP连接状态为TCP_SYN_SENT,说明防火墙收到了第一个SYN报文。

由于防火墙二层部署，通过debug查看ip转发无回显，所以直接在防火墙上抓包，查看是否收到服务器端回应的syn/ack报文。

图示：防火墙收到SYN报文，并转发。根据ip.id字段一致判断为同一个报文。

通过抓包可以看出，防火墙收到了SYN/ACK报文，如果通过ip.id来看，似乎这是同一组报文，防火墙转发没有问题。

但是结合会话状态来看，似乎无法对上。因为防火墙如果收到SYN/ACK报文并转发出去的话，状态机会变为TCP_SYN_RECV。

所以问题大概率可能出现在防火墙上。

继续查看报文，发现虽然No.3和No.4报文内容一样，但是时间确相差1S多（上图绿色框），因此判断No.4报文为服务器侧重传的报文，而非防火墙转发的报文。

继续分析发现防火墙来回报文携带的vlan标签不一致，由于防火墙会话状态检测机制会检查报文携带的vlan标签，难道是安全策略阻断了？

但是现场反馈其他的IP是能通的，来回的vlan标签也不一致。

基于以上分析判断现场应该开启了松散模式，但是没有放通反向的报文。

解决方案：松散模式下放通反向报文，使得反向报文能够建立会话。