Print

ACG1000旁路部署从内网无法管理

2018-12-12 发表

组网及说明

组网图如下:


问题描述

用户现场ACG1000旁路部署。同时用户希望通过内网能管理到ACG1000,所以从交换机上又连接了一根线到ACG1000。ACG1000的管理口和内网用户是同一网段,但是从内网PC无法ping通ACG1000。

过程分析

1.内网用户和在同一网段是二层转发,查看设备的ARP和电脑的ARP学习都正常。

H3C> en
  H3C# system-view           
  H3C(config)# display arp

电脑CMD   arp -a

2.ping测试,发现ping不通。电脑的防火墙已经关闭,交换机和PC互ping能通。交换机抓包发现ACG1000没有回复报文。替换接口等测试均无效,但只要现场将镜像口关掉之后就能ping通。怀疑是处理机制问题,确认如下:

内网PC的流量会被镜像到ACG,ACG先通过镜像收到内网的报文,随后通过路由ACG又从管理口收到该报文,对于ACG来说是收到了两次这个报文。因为这个报文的5源组完全相同,所以ACG回包的时候会根据会话建立的先后顺序选择旁路接口去回,这样回包就被交换机drop了。所以不能管理到ACG1000。


解决方法

1.修改组网

2.交换机上不使用端口镜像,使用流镜像。隔离到ACG的管理口的管理流量,保证管理的流量不被镜像到ACG即可。