F1000-AI-25防火墙来回路径不一致导致丢包？

是RBM组网吗？还是IRF

没做的话,反向报文到防火墙肯定会进行首包丢弃的,你要配置两台防火墙会话痛不,这样就算来回路径不一致也不会丢包的

肯定会的，防火墙不允许有来回路径不一致的问题

在透明模式下工作的防火墙（如FW1和FW2），通常期望看到的是对称的流量路径，即请求和响应应该沿着相同的路径进出。当出现不对称路由时，可能会导致防火墙无法正确地关联请求和响应，从而可能导致丢弃响应包的情况。

分析问题

• 正常情况下：Server1发出的ICMP请求通过VRRP主路由器（可能是R2）转发出去，并且响应也通过同样的路径返回。
• 故障现象：当左侧防火墙断开并重新接入后，ICMP请求可能开始走不同的路径（例如通过SW1-FW1-R1-R2），但响应却试图通过另一条路径（如R2-FW2-SW2）返回，这导致了流量的不对称性。由于这种不对称性，防火墙可能无法识别返回的响应包是对应于先前的请求，因此丢弃了这些响应包。

解决方案

为了解决这个问题，我们需要确保所有往返的流量都遵循相同的路径。以下是几种可能的解决方案：

1. 调整优先级或使用跟踪对象：

   • 调整VRRP组成员的优先级或者使用VRRP的跟踪功能来确保流量总是选择最优路径。例如，如果检测到某条链路故障，则降低相关路由器的优先级，使其不再成为Master。

2. 配置静态路由：

   • 在Server1所在的子网中配置静态路由，强制所有的出站流量都通过特定的路径（例如通过R2）。这样可以确保所有的响应也会沿用相同的路径返回 。

3. 启用防火墙上的会话同步功能：

   • 如果支持的话，可以在双机热备的防火墙之间启用会话同步功能，使得即使流量路径不对称，防火墙也能识别并允许合法的响应包通过 。

4. 优化堆叠交换机的配置：

   • 确保堆叠交换机之间的配置正确无误，特别是与防火墙相连的部分。确保所有相关的端口都在正确的VLAN中，并且没有配置错误导致的路径不一致 。

5. 检查并修正防火墙的安全策略：

   • 检查防火墙的安全策略是否有可能阻止了某些类型的流量。确保安全策略允许必要的双向通信 。

实施步骤

• 第一步：首先尝试调整VRRP的优先级设置，确保在任何情况下，流量都会选择最优的路径。可以通过增加R2的优先级或添加对关键接口的跟踪来实现这一点。

• 第二步：如果调整优先级不能解决问题，考虑为Server1配置静态路由，明确指定出站流量应经过的下一跳地址。

• 第三步：检查防火墙的配置，确保它们能够处理不对称的流量。如果防火墙支持会话同步，请启用此功能。

• 第四步：最后，审查堆叠交换机的配置，确保没有任何配置上的错误影响了流量路径的一致性。

根据具体情况的不同，可能需要结合以上多个步骤来进行调试和优化。希望这些建议能帮助你找到问题的根本原因并加以解决。如果还有其他细节或进一步的问题，欢迎继续讨论。