大致组网如下图所示
两台S12500进行IRF,两台M9000进行IRF,S12500与M9000之间通过三层接口互联。
刀片服务器直连在S12500上,S12500上的LB为第三方厂商设备,与该问题无关。
同网段的刀片服务器访问互联网时,有如下问题现象:
1、部分刀片服务器访问218.201.4.3正常,访问218.201.34.50不通;
2、部分刀片服务器访问218.201.34.50正常,访问218.201.4.3不通;
3、M9000上的策略已经将刀片服务器所在网段全放通
1、在S12500上进行流量统计,确认报文是否丢在S12500上
通过在刀片服务器ping不通的地址时,在S12500上做流量统计,S12500上的报文发包为5 ,收包为0 。
因此,初步判断报文可能在M9000上被丢弃。
流量统计结果如下:
<S12500-X>dis qos policy interface Ten-GigabitEthernet 1/4/0/4
Interface: Ten-GigabitEthernet1/4/0/4
Direction: Inbound
Policy: icmpinput
Classifier: icmpinput
Operator: AND
Rule(s) :
If-match acl 3600
Behavior: icmptest
Accounting enable:
0 (Packets)
Interface: Ten-GigabitEthernet1/4/0/4
Direction: Outbound
Policy: icmpoutput
Classifier: icmpoutput
Operator: AND
Rule(s) :
If-match acl 3601
Behavior: icmptest
Accounting enable:
5 (Packets)
2、在M9000上做流量统计,确认报文是丢在内网接口,还是丢在外网接口
通过在刀片服务器ping不通的地址时,在M9000的内网接口和外网接口上做流量统计,发现内网口上发包为0 ,收包为5 ;外网口上的报文发包为5 ,收包为0 。
因此,初步判断报文可能在M9000外网接口或者运营商被丢弃。
内网口流统结果:
<M9000>dis qos policy interface Ten-GigabitEthernet 1/5/0/3
Interface: Ten-GigabitEthernet1/5/0/3
Direction: Inbound
Type : Enhancement
Policy: icmpinput
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: icmpinput
Operator: AND
Rule(s) :
If-match acl 3600
Behavior: icmptest
Accounting enable:
5 (Packets)
Interface: Ten-GigabitEthernet1/5/0/3
Direction: Outbound
Type : Enhancement
Policy: icmpoutput
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: icmpoutput
Operator: AND
Rule(s) :
If-match acl 3601
Behavior: icmptest
Accounting enable:
0 (Packets)
外网接口流统结果:
<M9000>dis qos policy interface g1/2/0/1
Interface: GigabitEthernet1/2/0/1
Direction: Inbound
Type : Enhancement
Policy: internetinput
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: internet
Operator: AND
Rule(s) :
If-match acl 3602
Behavior: test
Accounting enable:
0 (Packets)
Interface: GigabitEthernet1/2/0/1
Direction: Outbound
Type : Enhancement
Policy: internetoutput
Classifier: default-class
Operator: AND
Rule(s) :
If-match any
Behavior: be
-none-
Classifier: internetoutup
Operator: AND
Rule(s) :
If-match acl 3602
Behavior: test
Accounting enable:
5 (Packets)
3、在M9000上debug,查看报文的处理过程
通过在M9000上查看报文的处理过程,发现M9000上可以收到回复报文,但是由于没有匹配上session,导致报文被丢弃。
*Oct 20 14:34:03:615 2015 M9000 FILTER/7/PACKET: -Chassis=1-Slot=3.1; The packet is denied. Src-ZOne=Untrust, Dst-ZOne=Local;If-In=GigabitEthernet1/2/0/1(131), If-Out=InLoopBack0(4810); Packet Info:Src-IP=218.201.34.50, Dst-IP=*.*.*.*, VPN-Instance=none,Src-Port=179, Dst-Port=0, Protocol=ICMP(1), ACL=none.
*Oct 20 14:34:03:615 2015 M9000 ASPF/7/PACKET: -Chassis=1-Slot=3.1; The packet that matches no session was dropped by packet filter or object-policy. Src-ZOne=Untrust, Dst-ZOne=Local;If-In=GigabitEthernet1/2/0/1(131), If-Out=InLoopBack0(4810); Packet Info:Src-IP=218.201.34.50, Dst-IP=*.*.*.*, VPN-Instance=none,Src-Port=179, Dst-Port=0. Protocol=ICMP(1).
由于M9000做了IRF,怀疑回程流量走到了另一台设备上,导致匹配不上会话。
4、尝试将M9000的两个防火墙插卡绑定备份组中
备份组由主节点和备节点组成。业务模块引用备份组后,主节点处理业务流量并将业务数据备份到备节点,备节点处于备份状态,不处理业务。当主节点故障时,流量自动切换到备节点。当主节点再次恢复后,流量会切回到主节点,实现业务的备份和可靠运行。
在M9000上,将两个防火墙插卡绑定在一个备份组中。
问题解决。
来回流量通过不同设备进行转发,导致会话匹配失败,业务不通。
在M9000上,将两个防火墙插卡绑定在一个备份组中。
此外,还可以开启会话同步,开启本地优先,同样可以解决。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作