组网及说明
客户组网如下,S10506X-G做了M-LAG VRRP双活网关,测试终端的网关在M-LAG上,VRRP相关int-vlan接口绑定了PBR,将部分流量引流到旁挂防火墙。(信息已脱敏,以下组网和IP地址与客户现场无关)
问题描述
终端(10.1.1.1)ping网关的VRRP虚地址(10.1.1.254),发现ping的回包数量明显多与请求数量,且tracert网关地址有很多跳。
M-LAG设备的主要配置如下:
#
interface Vlan-interface10
ip address 10.1.1.252 255.255.255.0
vrrp vrid 10 virtual-ip 10.1.1.254
ip policy-based-route PBR
#
policy-based-route PBR permit node 10
if-match acl 3000
apply next-hop 20.1.1.1
#
#
acl number 3000
rule 0 permit ip source 30.1.1.0 0.0.0.255
rule 5 permit ip source 10.1.1.0 0.0.0.255
#
#
interface Bridge-Aggregation15
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 10
link-aggregation mode dynamic
port m-lag group 15
#
过程分析
1、按照理论来说ping网关的流量是不会匹配PBR上墙,且用模拟器测试也无此现象;但在防火墙上抓包发现,确实有收到终端ping网关的报文。
2、经确认当前设备(S10506X-G Version 7.1.070, Release 7755P03)实现机制如此:pbr能够匹配到ping本机的报文,会上送本机一份,并且pbr转走一份。即pbr匹配到ping本机的报文,也会由pbr转发一份走;
解决方法
可以在pbr上加一个node匹配ping本机的流量,什么动作也不执行来规避。
例如:
policy-based-route PBR permit node 1
if-match acl 3010
policy-based-route PBR permit node 10
if-match acl 3000
apply next-hop 20.1.1.1
acl num 3010
rule permit ip 10.1.1.254 0 匹配ping本机的报文
该案例暂时没有网友评论
编辑评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作