S7506E设备为下联终端的IPv6网关,当终端上已存在IPv6 ND表项时,IPv6终端无法访问(及PING通)S7506E交换机IPv6地址。
通过在IPv6终端上抓包发现,当终端发出ICMPv6 NS报文后,终端网卡能够收到S7506E设备发出的ICMPv6 NA报文,但是后续终端没有发出ICMPv6单播请求报文,在CMD PING中显示为“一般故障。”无法通信。如下为分析过程:
以在MAC地址为FC-4D-D4-38-1A-FA的终端测试观察。
当该终端已经获取到IPv6地址后,终端访问网关S7506E的2405:6f00:212a:8000::1 IPv6地址不通,如图1所示:
图1
在该终端无法PING通S7506E网关IPv6地址时,发现该终端已安装并启用赛门铁克安全软件,如图2、图3:
图2
图3
故障时,抓包发现,终端的网卡能够正常的发送ICMPv6 NS报文,并且网卡已收到了S7506E回应的ICMPv6 NA报文(源IPv6地址=2405:6f00:212a:8000::1,目的IPv6地址=2405:6f00:212a:8000:688b:4788:1214:337e)。
但是,终端在收到ICMPv6 NA报文后,没有正常的发送ICMPv6请求报文(源IPv6地址=2405:6f00:212a:8000:688b:4788:1214:337e,目的IPv6地址=2405:6f00:212a:8000::1)如图4:(ICMPv6 NA报文作用类似于IPv4中的ARP报文,终端收到ICMPv6 NA报文后,便得知了IPv6地址对应的MAC地址)
图4
既然网卡已收到ICMPv6 NA报文,但是CMD PING显示“一般故障。”且终端没有发送正常的ICMPv6请求,怀疑测试终端上运行的安全软件将其阻止。为验证怀疑点,将测试终端赛门铁克安全软件卸载,并根据赛门铁克软件要求重启测试终端。如图5:
图5
测试终端重启后,此时终端上已没有部署赛门铁克软件。在测试终端上PING S7506E上的IPv6地址2405:6f00:212a:8000::1测试,发现能够正常通信。如图6:
图6
在能够正常PING通时,抓包观察。发现终端收到ICMPv6 NA报文后,能够正常发送ICMPv6请求报文,并正常接收ICMPv6回应报文。如图7:
图7
根据上述分析测试,判定该故障与终端上部署的赛门铁克安全软件有关。该软件造成终端在接收到ICMPv6 NA报文后,无法发送ICMPv6单播请求报文,导致PING IPv6地址“一般故障”,无法通信。
对于终端无法访问网关地址的问题,可以采用案例中的方式,通过抓包分析报文交互过程,来确认,是否由于第三方软件导致报文丢弃。
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作