疑似防火墙流量跨框问题,请大神帮忙分析解答
- 1关注
- 0收藏,124浏览
问题描述:
客户现场网络情况如下,有2台H3C防火墙配置的IRF。防火墙为二层部署,上行有2台出口路由器,客户现场的业务网关配置在路由器上,为VRRP配置。防火墙下行有一台网闸设备。网闸的2个接口配置聚合分别与防火墙主备的各一个口进行互联,防火墙侧未做聚合。
现在从外网终端ping网闸的外网口不通,但是ping出口路由器的网关地址通。一开始以为是网闸问题,后来在网闸的接口上抓包,发现有ICMP包,但是出现了No response seen的提示。在社区看到了H3C防火墙流量跨框这个说法,请大佬们帮忙分析一下,是否为流量跨框问题,导致的ping不通,更重要的是现在要从外网访问网闸内终端的一些服务,目前也是服务不可达。请问是否为流量跨框问题引起?该如何解决。
- 2025-08-20提问
- 举报
-
(0)
在H3C SecPath防火墙的IRF(智能弹性架构)双机热备环境中,如需配置宽松会话模式以解决非对称路径流量问题
宽松模式 (Asymmetric Path Allowed):
允许主备组网中的非对称路径流量(即来回流量经过不同防火墙节点)。备用设备会放行未由其处理的流量,避免因会话状态不一致导致的丢包。
system-view # 进入系统视图
session state-machine mode loose # 配置会话状态机为宽松模式
关键说明:
-
应用场景
在主备组网(如IRF主备模式)中,当出现非对称路径流量(即流量的入方向和出方向经过不同设备)时,必须配置此模式,否则会导致异常会话丢包。 -
注意事项
- 安全影响:松散模式会降低基于会话的安全检测强度(如状态包过滤严格性),仅在非对称路径场景下使用,其他情况保持默认严格模式(strict)。
- 双主组网差异:在双主组网中,非对称路径需配置
compact(简化模式),而非loose。 - 全局生效:多次执行命令时,仅最后一次生效。
- IRF协同要求:确保IRF所有成员设备软件版本、License一致,避免特性异常。
-
Web界面配置路径
可通过Web界面操作:
系统 > 高级虚拟化 > IRF高级设置 → 会话状态机:选择“宽松模式”
- 2025-08-20回答
- 评论(0)
- 举报
-
(0)
怀疑跨框就关闭一台呗
联系相关技术支持沟通下细节吧
- 2025-08-20回答
- 评论(1)
- 举报
-
(0)
客户现场为生产环境,不敢随意动,最好是确认一下
客户现场为生产环境,不敢随意动,最好是确认一下
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明