|
组网拓扑: 防火墙作为内网出口设备,双机热备镜像模式部署。如下图所示,IP和MAC地址简要表示。 问题描述: USG6650防火墙作为出口设备,双机热备镜像部署联通线路业务大面积丢包,其他运营商线路则正常。已经联系运营商,排除了链路本身问题。
问题分析: 1.防火墙发现存在ARP冲突告警,冲突IP正好是联通出口IP地址,跟丢包现象的出口吻合。 ARP/4/ARP_LOG_DUPLICATE_IPADDR_DETECT: Detected an IP address collision. (IpAddress=[1.1.1.1], LocalMacAddress=[A-A-A-A], LocalInterfaceName=[G1/0/1], LocalVlanId=[0], ReceiveMacAddress=[B-B-B-B], ReceiveInterfaceName=[G1/0/1], ReceiveVlanId=[0])
2.登录到上游接入交换机上,查看MAC表,定位到冲突MAC地址B-B-B-B对应的是备防火墙的接口。
3.从现象和日志上分析,备机联通接口发送了ARP报文,由于镜像模式下主备墙的接口IP完全一样,导致了ARP冲突,部分流量被引导到了备墙被丢弃。
4.分析防火墙组网,两台防火墙镜像模式部署,双机状态正常,备机理论上除了跟主墙之间交互心跳,不会发送其他数据报文。
5.检查备防火墙的配置,尤其是出接口相关配置,发现如下命令。由于部署了多条运营商链路,为了及时检测到链路故障并切换,客户配置了ip-link检测: ip-link name ChinaUnicom destination 1.1.1.2 interface GigabitEthernet1/0/1 mode arp
6.镜像模式下备机会同步ip-link配置,但双机状态正常时,备机不应该发送检测报文,实际情况是备机由于配置了ARP模式的ip-link检测,导致备机周期性发送ARP探测报文,刷新了上联设备的ARP表项,从而引起ARP冲突,流量异常。
7.修改ip-link的探测模式为icmp后,故障消失,此时备机不再发送探测报文,仅当双机切换后,备机才主动发送icmp探测: ip-link name ChinaUnicom destination 1.1.1.2 interface GigabitEthernet1/0/1 mode icmp
问题根因: 1.ip-link的探测模式为arp模式。 2.防火墙镜像模式下备机仍然会发送arp探测报文。 3.备防火墙发送的arp探测报文刷新了上联设备的arp表项。 4.运营商设备的部分回程流量被错误引导到了备墙,此时备墙处于不转发状态从而丢包。
解决方案: 调整ip-link探测模式为icmp代替arp,从而解决问题。
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
成长值: 63370
发表于 2023-11-14 13:58:44
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2023-11-26 20:42:17
