• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
案例类型
搜索
取消
产品线
关键字
发布者
发布时间

SecBlade IV防火墙插卡配置跨Vlan二层转发数据不通问题解决方法

2019-11-26发表
  • 0关注
  • 0收藏,127浏览
粉丝:6人 关注:0人

组网及说明

组网:


问题描述

现场两台S75E交换机、两块SecBlade IV插卡堆叠部署,配置跨Vlan二层转发功能后发现数据不通。


过程分析

防火墙涉及配置:

1、排查安全策略及安全域,发现没有问题。

#

security-zone intra-zone default permit

#

session synchronization enable

#

zone-pair security source Any destination Any

packet-filter 3000

#

security-zone name Trust

import vlan 8 3008

2、查看冗余组配置及端口聚合状态均正常

[Intra_fw01]display redundancy group

Redundancy group red (ID 1):

  Node ID      Slot          Priority   Status        Track weight

  1            Slot1         100        Primary       255

  2            Slot2         50         Secondary     255

Node 1:

  Node member     Physical status

    XGE1/0/1      UP

    XGE1/0/2      UP

    XGE1/0/3      UP

  Track info:

    Track    Status       Reduced weight     Interface

    1        Positive     255                XGE1/0/1

    2        Positive     255                XGE1/0/2

    3        Positive     255                XGE1/0/3

端口聚合选中状态也正常:

[Intra_fw01]display link-aggregation verbose

  Port             Status  Priority Oper-Key

--------------------------------------------------------------------------------

  XGE1/0/1         S       1        2        

  XGE1/0/2         S       1        2        

  XGE1/0/3         S       1        2        

  XGE2/0/1         U       2        2        

  XGE2/0/2         U       2        2        

  XGE2/0/3         U       2        2 

查看跨Vlan 二层转发配置:

#

bridge 1 inter-vlan

add vlan 8 3008

#

查看桥组有学习到的MAC地址,发现学习的表项均是正常的。对于二层报文来说表象正常说明是可以通信的,但是现场数据还是不通。

[Intra_fw01]display bridge mac-address

MAC Address                                                          BRIDGE ID  State        VLAN ID  Port            Aging

04d7-a595-be01(核心交换机VLAN 8 MAC    1          Learned      8        BAGG1           Y

7485-c4ba-820c (测试交换机Vlan3008 MAC1          Learned      3008     BAGG1           Y

继续排查发现核心交换机有10.50.8.1设备的ARP,但是在测试交换机上却没有核心交换机的ARPMAC地址表象,这点很奇怪。

核心交换机:

[核心交换机]dis arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI   Interface                Aging Type

10.50.8.1       7485-c4ba-820c 8          BAGG20                   971   D    

测试交换机:

<测试交换机>dis arp

  Type: S-Static   D-Dynamic   O-Openflow   R-Rule   M-Multiport  I-Invalid

IP address      MAC address    VLAN/VSI   Interface                Aging Type

 

交换机配置排查:

核心交换机聚合状态正常:

[core_sw01]display link-aggregation verbose

  Port             Status  Priority Oper-Key

  XGE1/6/0/1(R)    S       1        1        

  XGE1/6/0/2       S       1        1        

  XGE1/6/0/3       S       1        1        

  XGE2/6/0/1       U       32768    1        

  XGE2/6/0/2       U       32768    1        

  XGE2/6/0/3       U       32768    1

在查看核心交换机的配置后发现核心交换机配置了vlan 3008的虚接口?

[core_sw01]dis ip in br

*down: administratively down

(s): spoofing  (l): loopback

Interface           Physical Protocol IP address      VPN instance Description 

MGE1/0/0/0          down     down     --              --           --

MGE1/0/0/1          down     down     --              --           --

MGE1/0/0/2          down     down     --              --           --

MGE1/0/0/3          down     down     --              --           --

Vlan8               up       up       10.50.8.254     --           Manage_TO_...

Vlan10              up       up       10.50.10.254    --           Test_TO_Ac...

Vlan21              up       up       10.50.21.254    --           Office_TO_...

Vlan23              up       up       10.50.23.254    --           Ops_TO_Acc...

Vlan25              up       up       10.50.25.254    --           Internet_T...

Vlan26              up       up       10.50.26.254    --           Connect_TO...

Vlan30              up       up       10.50.30.254    --           Online_TO_...

Vlan40              up       up       10.50.40.254    --           Bigdata_TO...

Vlan150             up       up       10.150.10.254   --           ILO_TO_Acc...

Vlan3008            up       up       --              --           --

 

防火墙正常跨vlan二层报文转发流程:

防火墙异常跨vlan二层报文转发流程:

1、  如上图所示看到黄色为下行流量,下行流量转发是正常的,所以在交换机上可以看到测试交换机的arp信息。

2、  但是上行流量就出现了问题,如果核心交换机配置了三层接口,那么数据会直接上送交换机做三层转发,直接由CPU处理,CPU查表项直接丢弃报文。因此数据根本就不会上送到防火墙做跨vlan二层转发。


解决方法

删除核心交换机空闲的Vlan接口,让数据通过二层泛洪到防火墙接口做替换标签操作。

 

Vlan二层转发注意事项:

在配置跨Vlan二层转发时一定要注意在交换机上不能配置转换前VLAN的虚接口,如果配置会导致交换机认为报文需要做三层转发到CPU直接丢弃。

 


0 个评论

该案例暂时没有网友评论

编辑评论

举报

×

侵犯我的权益 >
对根叔知了社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔知了社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明

提出建议

    +
<

亲~登录后才可以操作哦!

确定

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作