ACG透明部署丢包问题

核心问题：流量转发环路
1. 根本原因分析
在您的"口"字形拓扑中，存在四条等价路径：
核心 → ACG1 → FW1
核心 → ACG1 → FW2
核心 → ACG2 → FW1
核心 → ACG2 → FW2
问题产生机理：
OSPF等价路由：核心交换机通过OSPF学习到两条防火墙的等价路由
负载分担冲突：核心交换机可能将去往同一目的地的流量分到不同路径
HA同步延迟：ACG双主模式下，ACG1和ACG2的会话表同步有微秒级延迟
往返路径不一致：
请求流量：核心 → ACG1 → FW1
响应流量：FW1 → ACG2 → 核心
由于ACG2没有这个会话，会丢弃返回流量
2. 具体原因分解
原因一：ARP表震荡
# 在核心交换机上检查ARP
display arp | include 防火墙地址
# 会发现ARP条目在多个端口间跳变
原因二：MAC地址学习异常
防火墙的MAC在核心交换机上从不同端口学习到
导致交换机MAC地址表频繁更新
原因三：会话不对称
ACG双主模式需要精确的会话同步
在高速转发时，会话同步延迟导致丢包
解决方案
方案1：配置单向流量引导（推荐）
# 在核心交换机上配置
# 创建ACL区分上行和下行流量
acl advanced 3000
rule 0 permit ip source 内网网段 destination any
acl advanced 3001
rule 0 permit ip source any destination 内网网段

# 配置QoS策略实现流量引导
traffic classifier upstream operator or
if-match acl 3000
traffic classifier downstream operator or
if-match acl 3001

# 上行流量走ACG1
traffic behavior upstream
redirect interface GigabitEthernet x/x/x # ACG1方向
# 下行流量走ACG2
traffic behavior downstream
redirect interface GigabitEthernet y/y/y # ACG2方向

# 应用到核心交换机的内网侧端口
qos policy traffic-guide
classifier upstream behavior upstream
classifier downstream behavior downstream
方案2：修改ACG为HA主备模式（简单有效）
# 在ACG上修改HA模式
system-view
ha
mode active-standby # 改为主备模式
priority 100 # ACG1优先级设为100
preempt delay 120 # 抢占延迟120秒
# 另一台ACG
priority 90 # ACG2优先级设为90
方案3：调整OSPF Cost值
# 在核心交换机上
interface GigabitEthernet 1/0/1 # 连接ACG1的端口
ospf cost 10
interface GigabitEthernet 1/0/2 # 连接ACG2的端口
ospf cost 20

# 在防火墙上反向配置
interface GigabitEthernet x/x/x # 连接ACG1的端口
ospf cost 20
interface GigabitEthernet y/y/y # 连接ACG2的端口
ospf cost 10
方案4：配置策略路由（PBR）
# 在核心交换机上
policy-based-route to-fw permit node 10
apply next-hop 10.1.1.1 # FW1地址
apply next-hop 10.1.1.2 # FW2地址

# 应用到VLAN接口
interface Vlan 10
ip policy-based-route to-fw
紧急处理步骤
第一步：立即验证
# 1. 查看核心交换机MAC地址表
display mac-address | include 防火墙MAC地址

# 2. 查看OSPF路由
display ospf routing

# 3. 在ACG上查看会话
display session statistics
第二步：临时解决方案
如果业务不能中断，可以：
配置静态ARP（临时解决ARP震荡）：
arp static 防火墙IP地址 MAC地址
调整接口STP：
interface GigabitEthernet x/x/x
stp disable # 在ACG连接口关闭STP
永久解决方案建议
最佳方案组合：
将ACG改为HA主备模式​ - 最稳定
结合OSPF Cost调整​ - 确定主路径
开启ARP代答：
# 在ACG上
system-view
arp fixup
配置验证命令：
# 查看ACG HA状态
display ha state

# 查看丢包统计
display interface brief
display packet statistics

# 核心交换机查看流量路径
tracert 目标地址
为什么断开一条链路能解决问题？
当您断开核心到主防火墙或备防火墙的一条链路时：
打破了环路：从4条路径变为3条路径
消除了往返路径不一致：流量被迫走固定路径
稳定了ARP表：防火墙MAC只在单一端口学习
总结建议
立即实施：方案2（改为主备模式）最直接有效
长期优化：采用方案1+方案3组合
配置顺序：
先将ACG改为HA主备模式
调整OSPF Cost值
如有需要再配置QoS流量引导
这个问题的本质是HA双主模式在透明部署+多路径环境下的固有缺陷。华三官方通常建议在这种拓扑中使用主备模式，或者在路由模式下部署双主。
需要进一步帮助时，可以提供具体的接口信息和IP地址规划。

确认一下是否有来回路径不一致的情况

ACG建议主备