USG5500防火墙照成ICMP报文异常的处理

发布时间:  2012-07-17 浏览次数:  110 下载次数:  0
问题描述
从省院(10.22.10.211)Ping市院的某一个终端(10.122.20.77)时经常出现Ping不通的现象,在下面两种情况下会恢复:
1,如果持续长Ping,约20分钟后就能恢复,之后能够Ping通;
2,当终端无法Ping通时,在防毒墙上执行Ping该终端操作后,省检察院也就能Ping通该终端了
告警信息
处理过程

把路由器的MAC老化时间更改为4M,问题得到解决。
 

根因
分别登录到路由器、防毒墙、防火墙查看设备信息后确定了几个关键数值,如下:
路由器的MAC表更新时间为20M、防毒墙的ARP表更新时间为10M、防火墙的ARP表更新时间为5M。
当ping不通的时候,防毒墙ARP表存在10.122.20.77的表项,但防火墙没有这个表项。过20分钟以后,又能够ping通了,这时候防毒墙和防火墙都存在10.122.20.77的表项。
由此判断ping不通的原因是:当防火墙ARP表老化时间(5M)超时后,会更新ARP表项,此时ARP表中不会有10.122.20.77对应的表项,这样就照成ICMP报文到防火墙后被丢弃。
过20M又能ping通的原因是:过20M后路由器MAC表项老化,重新全网发送ARP请求报文,此时10.122.20.77对应的MAC表在防火墙和防毒墙又被更新,就可以ping的通了。
建议与总结

END