pc-------fw(pc网关)-------vlan接口
msr 3600 Eth-channel1/0:0--------运营商----------目的端
无
过设备ping 运营商地址不通,display nat session 没有nat的状态
Icmp请求到msr后被丢弃 ,display nat session 没有nat的状态
设备本身ping 10.254.7.7 可达
debugging ip info 发现icmp请求被丢弃了
IPFW/7/IPFW_INFO:
MBUF was intercepted! Phase Num is 9(post routing beforefrag), Service ID is 7(nat), Bitmap is 1000080, return 1(0:continue, 1:dropped, 2:consumed, 3:enqueued, 4:relay)! Interface is Eth-channel1/0:0,
[11:33:36]s= 10.251.198.72, d= 10.254.7.7, protocol=
1, pktid = 5963
debugging ip info看到报文最后处理的模块信息。
MBUF was intercepted! Phase Num is 1(pre routing), Service ID is 7(ipsec), Bitmap is 100080800000000, return 2(0:continue, 1:dropped, 2:consumed, 3:enqueued, 4:relay)! Interface is Reth3,
如上的debugging, Service ID is 7(ipsec),这就表示是IPSEC模块处理了,动作为 return 2(0:continue, 1:dropped, 2:consumed, 3:enqueued, 4:relay),
0是继续,也就是继续下一个模块处理,
1是丢包,
2是消耗,一般是NAT转换和VPN等,设备直接加封装消耗了,后续地址变化了,这个不能表示丢包,如上的debugging表示是IPSEC模块加封装了,后续这个报文不会再以内网IP出现在设备上。
3和4基本不会遇到,可以不用关注。
现网设备关闭了快转,V7 MSR做nat需要快转。在全局ip fast-forwarding enable,如果有类似流量清洗的需求可以保留undo ip fast-forwarding load-sharing。
现网配置: undo ip fast-forwarding enable
重新使能快转后正常
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作