某局点S10508在1框9槽位使用一块IPS安全插卡,作为主动式入侵防御系统,阻止各种针对系统漏洞的攻击,屏蔽蠕虫、病毒和间谍软件等,交换机采用手动MQC引流方式,将进入交换机的流量重定向到IPS插卡二层转发,经过匹配安全防护以及流量管理策略处理后回到交换机进行三层转发,转发至相应的出接口。在一次对交换机版本升级操作之后,发现IPS板卡上无法获取流量,业务中断。
查看接口的MQC引流配置:
traffic classifier all-address operator and
if-match acl 3001
#
traffic behavior redirect-to-ips
redirect interface Ten-GigabitEthernet1/9/0/1
#
qos policy up-stream
classifier all-address behavior redirect-to-ips
查看IPS插卡与交换机内联口配置:
#
interface Ten-GigabitEthernet1/9/0/1
port link-mode bridge
port link-type trunk
undo port trunk permit vlan 1
port trunk permit vlan 2 to 4094
stp disable
packet-filter 4000 outbound
mac-address mac-learning disable
确认升级前后交换机配置没有变化,首先通过在MQC下发包计数,确认MQC已经匹配上流量重定向至内联接口,接下来检查内联口下过滤无关的二层报文,查看包过滤底层也下发成功:
acl number 4000
rule 9 permit type 0800 ffff dest-mac 3c8c-4005-50f7 ffff-ffff-ffff
rule 12 permit type 88a7 ffff
rule 100 deny
底层acl:
Acl-Type PktFilter Eth_Mac on PORT, Stage EFP, GroupPri 515, EntryID 192, Active Health 1, PoolFree 0, PoolID 0, Prio_Mjr 264, Prio_Sub 6,Slice 3,SliceIdx 0 ACL GroupNo : 4000, RuleID : 9 Rule Match -------- Out Port: 24 L2Format: Any Dest mac: 3C8C-4005-50F7, FFFF-FFFF-FFFF EtherType: 0x800, 0xffff Actions -------- Permit 最后通过对acl 4000的rule规则进行删减测试,当将rule 100 的deny规则删除后,业务恢复正常,IPS可以检测到流量。
通过acl的rule增删确认引流的流量被包过滤过滤了,并没有匹配第一条rule放通的网关mac进入IPS插卡,在检查网关mac时发现,acl规则中放通的网关mac配置错误,但对比升级之前的交换机配置,配置并没有变化,通过对比设备桥mac,升级前后设备的桥mac发生了变化,导致acl没法正确匹配放通相应流量。
升级前设备桥mac:
===============debug sysm bridgemac read ===============
==============================================================
The Bridge Macs are as follows:
3c8c-4005-50f7
升级后设备桥mac:
===============debug sysm bridgemac read ===============
==============================================================
The Bridge Macs are as follows:
3c8c-4005-50bb
分析总结:
检查设备配置IRF的桥MAC地址保留时间为永久保留:irf mac-address persistent always
理论上升级导致堆叠发生主备倒换,设备的桥mac不会改变,不会对引流造成影响;
和现场确认升级过程,现场是将两台设备同时指定软件版本后重启升级,这种情况下,由于二框先启动完成,
选举为堆叠全局主设备,因此堆叠的桥mac变成二框的设备的自身mac地址,不在使用原来堆叠使用的一框的mac
地址作为堆叠桥mac。
建议之后在堆叠情况下使用MQC方式引流到IPS板卡,做过滤二层报文策略时,放通两框的设备自身桥mac地址,
用来防止由于设备掉电或其他原因造成设备桥mac地址改变导致业务中断情况发生。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作