ping不通问题排查一则

发布时间:  2012-12-14 浏览次数:  124 下载次数:  0
问题描述
PC1----------FW1==================FW2----------PC2

FW1:                              FW2:
ethe0/0/0 99.1.1.3/24                ethe0/0/0 99.1.1.2/24
ethe1/0/7 100.1.1.11/24           ethe0/0/1 100.1.1.1/24
从防火墙两端相互ping对端的接口地址,100.1.1.0网段的地址ping不通。
告警信息
处理过程
由于是直连网段,不需要配置路由,检查了两端的接口地址及接口都加入相应的安全区域,域间也没有特殊的包过滤规则限制ping,基础配置应该没有问题。
进一步检查ARP表项,发现能学习到对端IP的MAC地址
[USG2100]disp arp          
16:51:02  2012/12/12     
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE 

                                          VLAN/PVC 
------------------------------------------------------------------------------ 
100.1.1.11      0022-a100-f2f3            I           Vlanif1   
100.1.1.1       0018-8277-12a8  13        D           Eth1/0/7 
99.1.1.3        0022-a100-f2f2            I           Eth0/0/0  
99.1.1.2        0018-8277-12a7  20        D           Eth0/0/0    
------------------------------------------------------------------------------ 
Total:4         Dynamic:2       Static:0    Interface:2   
[USG2100]    
检查接口状态发现没有报文发出,只有两个广播报文发出,也没有接收报文。  
<USG2100> disp inter ethe 1/0/7             
14:33:42  2012/12/12   
Ethernet1/0/7 current state : UP 

Line protocol current state : UP
Ethernet1/0/7 current firewall zone : trust  
Description : Huawei Symantec, USG2100 serials, Ethernet1/0/7 Interface, Lan Swi
tch Port    
The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)  
PVID:1       
Port link-type:access    
  VLAN ID:1     
Media type is twisted pair, loopback is not set, promiscuous mode not set      
100Mb/s-speed mode, Full-duplex mode, link type is auto negotiation            
flow control is disable       
    Last 300 seconds input rate 0 bits/s, 0 packets/s        
    Last 300 seconds output rate 0 bits/s, 0 packets/s    
    Input: 0 packets, 0 bytes        
           0 broadcasts, 0 multicasts        
           0 errors, 0 runts, 0 giants, 0 FCS     
           0 length error, 0 code error, 0 align errors
    Output:2 packets, 128 bytes  
           2 broadcasts, 0 multicasts 
           0 errors, 0 collisions, 0 late collisions 
           0 ex. collisions, 0 FCS error  
           0 deferred, 0 runts, 0 giants   
检查路由表,发现除了缺省路由和直连路由外,还有一个主机路由指向了一个非对端接口的地址。
[USG2100]disp ip rout  
17:10:54  2012/12/12
Route Flags: R - relay, D - download to fib  
------------------------------------------------------------------------------ 
Routing Tables: Public   
        Destinations : 8        Routes : 8
   
Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface       
                                                                               
        0.0.0.0/0   Static 60   0          RD  100.1.1.1       Ethernet0/0/0   
       99.1.1.0/24  Direct 0    0           D  99.1.1.3        Ethernet0/0/0   
       99.1.1.3/32  Direct 0    0           D  127.0.0.1       InLoopBack0     
      100.1.1.0/24  Direct 0    0           D  100.1.1.11      Vlanif1         
      100.1.1.1/32  Static 60   0          RD  99.1.1.1        Ethernet0/0/0   
     100.1.1.11/32  Direct 0    0           D  127.0.0.1       InLoopBack0     
      127.0.0.0/8   Direct 0    0           D  127.0.0.1       InLoopBack0     
      127.0.0.1/32  Direct 0    0           D  127.0.0.1       InLoopBack0     
                   
[USG2100]         
检查路由配置,果然有一条静态的主机路由指向了99.1.1.1, 并且这个地址实际上不存在。
<USG2100>disp cur | inc ip rout        
16:49:04  2012/12/12       
ip route-static 0.0.0.0 0.0.0.0 192.168.1.11    
ip route-static 0.0.0.0 0.0.0.0 100.1.1.1      
ip route-static 20.1.1.0 255.255.255.0 Virtual-Template0     
ip route-static 100.1.1.1 255.255.255.255 99.1.1.1         
<USG2100>               
至此原因找到了,因为配置了一个主机路由,并且其下一跳不是对端接口地址,由于主机路由是32位掩码,主机路由优先,导致转发时学习不到MAC地址(即使学习到MAC,报文也会转发到错误的地方而ping不通)
删除了这条错误的路由后问题解决。
根因
ping不通的原因通常有以下几种:
1)网络连通性问题(包括网线、链路协商等方面问题);
2)包过滤策略问题;
3)基础配置问题(地址、安全区域等)。
建议与总结
在排查直连网段问题时不要忽略检查精确路由引起的问题。

END