防火墙RBM对接交换机M-LAG IS-IS邻居震荡典型案例分析

组网如下图，交叉连线。FW单框三层聚合，SW跨框二层聚合。

FW1聚合口对接SW的DR口。

不涉及

HA系统和M-LAG系统跑IS-IS协议，FW1通过子接口RAGG11.11和RAGG11.12与 核心的vlan 11和vlan 12口使能IS-IS进程1和IS-IS进程2，FW2通过子接口RAGG13.13和RAGG13.14 与 核心vlan 13和 vlan 14接口使能 IS-IS 进程1和IS-IS进程2。

配置完成后，发现邻居状态一直震荡：

FW1日志：

%Apr 14 22:12:35:808 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to DOWN.
%Apr 14 22:12:37:948 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0010 (Route-Aggregation11.12), state changed to DOWN.
%Apr 14 22:12:41:415 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0010 (Route-Aggregation11.12), state changed to UP.
%Apr 14 22:12:42:692 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to UP.
%Apr 14 22:12:44:117 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to DOWN.
%Apr 14 22:12:45:797 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0010 (Route-Aggregation11.12), state changed to DOWN.

SW1日志：

%Apr 14 03:02:30:062 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_FALLBACK: IS-IS 2, Level-2 adjacency 0000.0000.0011 (Vlan-interface12), IfMTU: 1497, CpuUsage: 4%, AddressFamily: IPv4, Last3HelloSentAt: 03:02:07:395, 03:02:16:845, 03:02:25:705, Last3HelloRecvAt: 03:02:25:720, 03:02:29:051, 03:02:30:061, LocalAddress: 192.168.100.49, LocalIpv6Address: N/A, PeerAddress: 192.168.100.50, PeerIpv6Address: N/A, changed from UP to INIT at 03:02:30:062, Reason: IIHNoSNPA.
%Apr 14 03:02:30:062 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_CHG: IS-IS 2, Level-2 adjacency 0000.0000.0011 (Vlan-interface12), state changed to INIT, Reason: 2way-fail.
%Apr 14 03:02:30:553 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0011 (Vlan-interface11), state changed to UP, Reason: 2way-pass.
%Apr 14 03:02:33:589 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_CHG: IS-IS 2, Level-2 adjacency 0000.0000.0011 (Vlan-interface12), state changed to UP, Reason: 2way-pass.

从SW的日志信息来看，IS-IS邻居震荡的原因是SW收到的hello包不携带SNPA。因此进一步在FW上抓包进行确认，发现确实在IS-IS三次握手之后，防火墙又通过子接口11和12向组播地址0180-C200-0015发送了hello报文，该报文并未携带SNPA信息。

报文信息如下：

基于抓包判断问题可能出在FW上，因此在FW上收集IS-IS的调试信息：

RBM_P<FW1>*Apr 17 09:45:17:240 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Receive a Lan L2 Hello packet from(0000.0000.0006) on circuit(Route-Aggregation11.11)
 
*Apr 17 09:45:17:240 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Level-2 NBR(0000.0000.0006) two way pass.
 
*Apr 17 09:45:17:629 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Receive a Lan L2 Hello packet from(0000.0000.0010) on circuit(Route-Aggregation1.12)
 
*Apr 17 09:45:17:630 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Level-2 NBR(0000.0000.0010) two way pass.
 
*Apr 17 09:45:18:571 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Receive a Lan L2 Hello packet from(0000.0000.0005) on circuit(Route-Aggregation11.11)
 
%Apr 17 09:45:18:572 2023 FW1 ISIS/5/ISIS_NBR_CHG: -COntext=1; IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to DOWN.
*Apr 17 09:45:18:571 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: IIH has the same SNPA with a NBR,but different SystemId. The NBR will be down.

 抓包：

通过调试信息以及抓包可以看出，FW1上从Route-Aggregation11.11同时收到SW侧DR口的携带不同的LSP-id的报文，导致邻居刷新。

因此，判断IS-IS邻居震荡和组网强相关。

M-LAG使用限制如下：

配置VLAN接口的M-LAG虚拟IPv4/IPv6地址时，对于同一虚拟MAC地址，虚拟IPv4地址和虚拟IPv6地址在M-LAG设备上的状态必须一致，同为active或同为standby。
在用户侧设备通过M-LAG双归接入网关的场景中，M-LAG设备作为网关进行三层转发。由于不同M-LAG设备上的网关接口（例如VLAN接口、VSI虚接口）需要具有相同的IP地址和MAC地址，M-LAG设备与用户侧设备之间无法建立路由邻居关系。为了解决上述问题，可以在M-LAG设备上配置本功能，并配置路由协议（例如BGP和OSPF）使用虚拟IP地址与其他设备建立邻居关系。
M-LAG设备与其他设备建立BGP邻居关系时，需要在M-LAG设备上进行以下配置：
·              配置port m-lag virtual-ip ipv4-address { mask-length | mask } [ active | standby ] [ virtual-mac mac-address ]命令。
·              配置peer source-address命令并将虚拟IPv4地址作为源IPv4地址。
M-LAG设备与其他设备建立OSPF邻居关系时，需要在M-LAG设备上进行以下配置：
·              配置port m-lag virtual-ip ipv4-address { mask-length | mask } [ active | standby ] [ virtual-mac mac-address ]命令。
·              配置ospf peer sub-address enable命令并将虚拟IPv4地址作为从IPv4地址。
在双活网关场景下，配置本命令时，需要在两台M-LAG设备上配置不同的虚拟IPv4地址，且均配置为active状态。在VLAN接口下配置本命令时，如果配置虚拟MAC地址，则指定的虚拟MAC地址需要和VLAN接口下通过mac-address命令配置的MAC地址保持一致。

针对OSPF以及BGP协议来说，有对应的命令可以使用虚拟IPv4地址和防火墙建立邻居关系。但是ISIS没有。 

解决方案：使用OSPF 协议或者BGP协议。