防火墙F1000-AK1414(R8601P2412)二层透传到设备组网中,客户24口交换机若直接使用光口26端口连接电信汇聚设备,则24口交换机下联业务能正常运行。后面使用23端口上联我司防火墙二层透传,我司防火墙通过14端口和电信汇聚设备相连,SCTP业务出现异常。
故障期间的会话状态为 State: SCTP_COOKIE_ECHOED,非 SCTP_ESTABLISHED完成状态
dis session table ipv4 sou 20.1.145.1 des 20.1.144.11 ver
Slot 1:
Initiator:
Source IP/port: 20.1.145.1/2904
Destination IP/port: 20.1.144.11/60000
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/500/-
Protocol: SCTP(132)
Inbound interface: GigabitEthernet1/0/14
Source security zone: Untrust
Responder:
Source IP/port: 20.1.144.11/60000
Destination IP/port: 20.1.145.1/2904
DS-Lite tunnel peer: -
VPN instance/VLAN ID/Inline ID: -/500/-
Protocol: SCTP(132)
Inbound interface: GigabitEthernet1/0/6
Source security zone: Trust
State: SCTP_COOKIE_ECHOED
Application: OTHER
Rule ID: 0
Rule name: pass
Start time: 2021-12-15 00:43:29 TTL: 29s
Initiator->Responder: 192 packets 23742 bytes
Responder->Initiator: 1266 packets 218618 bytes
正常时候sctp四次握手都是正常的
异常时候防火墙上连口抓包缺少20.1.145.11发来的COOKIE ack报文导致sctp连接未建立,防火墙丢弃了COOKIE—ack报文导致业务异常
后经定位为防火墙软件问题,需要出补丁解决,其他防火墙如果出现类似问题,需要升级最新版本。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作