usg5500防毒墙在透明模式下网络通信时通时不通故障案例

发布时间:  2012-07-17 浏览次数:  198 下载次数:  12
问题描述
1、usg5500防火墙启用了AV防病毒功能。工作在透明模式下(2层)
2、PC、交换机SW、总部router都在同一个网段
3、PC的网关在交换机上,交换机的网关在总部router上
4、从分支router 去ping总部PC(192.168.1.3)经常出现ping不通的现象。不过以下两种方式可以恢复:
     1)、如果长ping,故障发生后,大约会在20分钟左右就可以恢复ping通
     2)、无法ping通时,如果在usg5500防毒墙上ping一下PC,然后分支也可以ping通PC了
告警信息
处理过程
方案一:将内网交换机的Vlanif的IP地址去掉,将交换机Vlanif的IP地址(192.168.1.2)通过子IP的方式迁移到总部路由器内网口。

方案二:将内网PC的网关均设置为路由器IP(192.168.1.1)。

方案三:调整总部路由器内网口的ARP老化时间为3分钟。  
根因
1、分支ping总部PC,能ping通的时候(通信正常的时候),在我们防毒墙上会话表和MAC转发表,且都是正确的


2、如果ping不通的时候,MAC转发表和会话表都不存在
1、查看MAC转发表,该表项不存在:
[cc-shiyuan_usg5530]dis mac-add 3-3-3
MAC Address    VLAN ID  Left Time(s)  Port                      Type      LSP  
--------------------------------------------------------------------------------
Total 0 ,0 printed
2、查看会话表,会话表也不存在:
[cc-shiyuan_usg5530]display firewall session table verbose protocol icmp
Current Total Sessions : 0

3、查看防毒墙丢包统计:
[cc-shiyuan_usg5530-hidecmd]display firewall debug_statistic
Current Show sessions count: 1  
Discard detail information:
  DP_Input_Eth                  :exit 1:     11
  DP_L3Fwd_ProcessIpv4          :exit 2:     11
  DP_L3Fwd_DataProcess          :exit 2:     11
  DP_L3Fwd_StatusChk        :exit 2:    11 //状态检测丢包,防火墙没有检测到会话时,收到ping的reply报文,会丢包

经排查是因为首包没有建立会话,回来的包没有检测到会话而丢包

通过原理分析该原因:

1、防毒墙的MAC转发表学习:
        当分支第一次向总部PC192.168.1.3发起访问时,通过ARP请求,在防毒墙上学习到的MAC转发表如下,即学习到3个MAC转发表项,包括交换机vlanif(内网PC网关),路由器(交换机网关)和PC的MAC地址

2、防毒墙的MAC转发表刷新老化:
        当后续长时间ping操作时,防毒墙只刷新报文的源MAC转发表项(分支访问总部时,刷新192.168.1.1的MAC转发表项,PC回应分支时,刷新192.168.1.2的MAC转发表项),而192.168.1.3的MAC地址转发表得不到刷新而逐渐老化,当达到老化时间时,该表项即被删除

3、防毒墙因PC的MAC转发表项老化而会话丢包:
当防毒墙上的PC的MAC转发表项老化,此时对于从分支访问总部pc的报文,由于目的MAC转发表项(3-3-3)已经老化,该报文直接在对应的VLAN内广播,不会创建会话,当回应报文经过防毒墙时,由于缺少会话而丢包。
注:对于TCP报文或者ICMP报文,防毒墙/防火墙都会校验报文状态,以保证网络安全,只有ICMP Request或者TCP Syn报文才能创建会话,其他状态报文只能根据会话转发,如果会话不存在,则丢包处理。

建议与总结

END