• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

E200/100接口停止转发问题

2006-02-09 发表
  • 0关注
  • 0收藏 931浏览
粉丝: 关注:

EUDEMON 200/100转发停止转发问题

 

问题现象:

E200/E100在网上运行一段时间之后,防火墙接口突然没有流量,转发停止。

1、防火墙看起来运行正常,未出现死机等问题,检查防火墙故障接口信息,可以发现此接口能够接收报文,但不能发送单播报文。

2、使用ping检查对端设备,防火墙显示无法ping通,接口发送报文没有计数。

3、检查arp表项,可以看到问题接口下面并没有对端设备的arp地址。Shut/undo shut接口、插拔网线均无法解决问题,reset arp之后,无故障的接口可以很快学到对端mac地址,但故障接口仍然无法学到对端的arp表项。

4、检查防火墙的配置,可以看到防火墙在故障接口上使能了快转功能。

EUDEMON 200采取措施:

发生此问题的版本包括03070310版本,将故障设备升级到0313以上版本可以解决。

如果不方便升级,可以采取以下方式规避解决

 

对于流量很小的局点

可以采用关闭快转的方式,命令行如下:

[eudemon-Ethernet0/0/0]undo ip fast-forwarding qff

输入完命令之后,使用display current interface可以看到类似

interface Ethernet0/0/0

 ip address 172.29.100.1 255.255.255.0

的显示,其中没有ip fast-forwarding qff的命令会buildrun显示出来。

E200 0313之前的版本,快转功能缺省为关闭,如果显示接口buildrun信息没有ip fast-forwarding qff命令,则没有打开快转)

这种规避方法可以避免因为ARP表项产生的转发终止的问题,但要注意要保证所有的接口都将快转取消了,不要有的接口下使能快转,有的接口不使能快转,否则可能会造成转发问题。另一个要注意的是这种方式会比较大的影响防火墙性能,在流量超过10Mb的局点要谨慎使用。

 

对于接口掩码很长(30位)的组网情况

对于这种组网,一个网络中只有一个本接口IP,一个对端IP。此时可以采用设置对端IP的静态ARP表项来解决,假设有如下接口:

interface Ethernet0/0/0

 ip address 172.29.100.1 255.255.255.252

在该子网中,仅有的另一个地址就是对端地址172.29.100.2

那么,可以在防火墙上配置(假设对端接口MAC地址为00e0-fc00-0001

[eudemon]arp static 172.29.100.2 00e0-fc00-0001

输入display arp可以看到

IP Address      MAC Address    Type Vrf Name             Interface

172.29.100.2    00e0-fc00-0001 S

的显示,此时也可以规避这个问题。

这种解决方法可以屏蔽ARP插入失败引入的转发终止问题,但在接口下可能挂多个ARP表项的情况下很难使用。同时,如果对端更换了设备,要注意此ARP表项的更改,否则会造成转发不通。

EUDEMON 100采取措施:

对于老命令行的E100设备,通过升级新命令行版本可以解决问题。也可以采用以下方法配置规避:

 

对于流量很小的局点

对于流量很小的局点,可以采用关闭快转的方式,命令行如下:

首先进入防火墙接口,然后输入取消快转的命令:

Quidway(config-if-Ethernet0)#no ip fast-forwarding qff

此时,show run int eth可以看到

interface Ethernet0

ip address 172.29.100.1 255.255.255.0

 no ip fast-forwarding qff

这种规避方法可以避免因为ARP表项产生的转发终止的问题,但要注意要保证所有的接口都将快转取消了,不要有的接口下使能快转,有的接口不使能快转。否则可能会造成转发问题。另一个要注意的是这种方式会比较大的影响防火墙性能,老命令行E100上更要谨慎使用。

 

对于接口掩码很长(30位)的组网情况

对于这种组网,一个网络中只有一个本接口IP,一个对端IP。此时可以采用设置对端IP的静态ARP表项来解决,假设有如下接口:

interface Ethernet0

ip address 172.29.100.1 255.255.255.252

在该子网中,仅有的另一个地址就是对端地址172.29.100.2

那么,可以在防火墙上配置(假设对端接口MAC地址为00e0-fc00-0001

Quidway(config)#arp 172.29.100.2 00e0.fc00.0001

输入show arp可以看到

IpAddress        Mac_Address        Type

172.29.100.2     00e0.fc00.0001        Static

的显示,此时也可以规避这个问题。

这种解决方法可以屏蔽ARP插入失败引入的转发终止问题,但在接口下可能挂多个ARP表项的情况下很难使用。同时,如果对端更换了设备,要注意此ARP表项的更改,否则会造成转发不通。

若您有关于案例的建议,请反馈:

作者在2006-02-09对此案例进行了修订
0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作