USG5300和华为交换机双机环境下的一个对接问题和分析思路

发布时间:  2012-07-23 浏览次数:  146 下载次数:  0
问题描述

USG5300和华为交换机采用典型的口字形双机组网:

华为交换机-------------华为交换机

         |                                  |

         |                                  |

  USG5300------------------USG5300

问题:华为交换机和USG5300均采用VRRP协议进行双机组网,但华为交换机无法ping通USG5300的VRRP虚MAC,而其它ping测试正常

告警信息
处理过程

1、检查配置和网络情况正常

2、检查ARP学习情况,发现华为交换机未能学习到USG5300的VRRP虚MAC

3、对ARP学习过程进行抓包分析,并和正常ARP应答报文进行对比分析,发现ARP应答报文的源MAC和报文内部的应答MAC不一致。ARP应答报文的源MAC为防火墙真实MAC,报文内部的应答MAC为VRRP虚MAC

4、经进一步沟通确认,某些华为交换机会对ARP内外层MAC做一致性检查,检查未通过者,不会学习其ARP表项

5、查找USG5300相关手册的VRRP特性,发现有vrrp virtual-mac enable可支持该场景。命令用来启动USG5300使用虚拟MAC地址的功能,使用虚MAC地址来与接口的实际IP地址对应。缺省情况下,关闭虚拟MAC地址的功能

6、vrrp virtual-mac enable不能在主从设备间进行备份,所以主从设备上都需要配置该命令

7、开启该命令后网络恢复正常

根因

分析可能有如下原因:

1、包过滤等配置问题

2、IP冲突问题

3、可以单向ping通,说明物理链路应该没有问题,再发出ping包之前还有一个ARP学习过程,需要进一步定位是在哪个环节出现问题

建议与总结

通过该案例,我们可以得出一些问题的分析思路,主要包括如下环节:

配置检查-->假设数据流过程分析-->定位问题环节-->抓包法-->对比分析法

具体如下:

1、检查配置问题

2、如配置无误,检查该错误现象如果在正常情况下需要经历哪些数据流的交互过程

3、对每个环节进行检查,比如该问题包括arp请求应答和icmp报文请求应答两个环节,确认问题环节

4、对问题环节需进行深入分析,此时就需要使用抓包法对报文细节特征和情况进行提取

5、提取故障问题的报文如无法很容易看出问题现象,则需要取一份正常报文,供对比分析,快速找到区别,并定位问题原因

END