Eudemon 1000E替换Eudemon 1000后业务不通

发布时间:  2013-05-29 浏览次数:  159 下载次数:  0
问题描述
混合模式双机热备组网中,原来主用设备和备用设备均由Eudemon 1000承担,现根据客户需求用两台Eudemon 1000E替换Eudemon 1000,替换后发现业务不通。
如图1所示。Untrust安全区域用户和DMZ安全区域用户无法互相访问。
图1-Eudemon 1000E混合模式双机热备组网



告警信息
处理过程
步骤 1 在S6500 A与Eudemon 1000E A相连的接口进行抓包。
由于混合模式组网,Untrust和DMZ安全区域交换机S3982的下一跳都是Trust安全区域的核心交换机S6500,所以当Untrust安全区域用户需要访问DMZ安全区域时,正常的业务流量应该先从Eudemon 1000E的Untrust安全区域到达Trust安全区域的核心交换机S6500,然后再由S6500查找路由转发给DMZ安全区域。即同一个报文需要两次经过Eudemon 1000E。
抓包结果如图2所示。
图2抓包分析图


从图12可以看出同一个报文在S6500上出现了三次,按照正常业务流量分析同一报文只能在S6500上出现两次,一次为Eudemon 1000E转发给S6500,另一次为S6500再转发给Eudemon 1000E。如此可知肯定有一个报文是错误的,即不应该经过S6500。
经过分析可知第三个报文与第二个报文的源和目的MAC地址均相同,对于第三个报文,是因为Eudemon 1000E将S6500转发给它的报文再次回送到S6500,没有转发给DMZ安全区域中的交换机S3928 B。
原因分析
为提高性能,Eudemon 1000E在混合模式和透明模式下,对于一个会话,只有正方向的第一个报文才会通过查看MAC转发表来确定出接口,然后将出接口信息缓存在会话表中,后续报文不再进行MAC转发表查找,直接根据会话缓存中的出接口进行转发。
在本案例中,Eudemon 1000E对Utrust安全区域访问DMZ安全区域的报文处理如下:
           1. Eudemon 1000E收到Untrust安全区域访问DMZ安全区域的报文,由于是报文首包,所以进行MAC转发表查找,确定出接口是与S6500连接的接口,并且记录到会话表中,将报文转发给S6500。
           2. S6500收到该报文后,查找路由,结果又将该报文转发给Eudemon 1000E。
           3. Eudemon 1000E收到S6500转发过来的报文后命中会话,直接根据会话表记录的出接口(与S6500连接的接口)将报文转发出去,此时S6500收到报文后发现MAC地址不是自身,便将报文丢弃,因此出现了业务中断。
步骤 2 修改现有组网方式,配置Eudemon 1000E工作在路由模式下,Untrust安全区域和DMZ安全区域的下一跳地址设置为Eudemon 1000E的接口IP地址,该接口IP地址可以使用原来S6500的IP地址,如此一来可以改动最小,Eudemon 1000E与S6500需要划分为另一网段。
----结束
根因
由于在替换前业务正常,用Eudemon 1000E替换后业务中断,说明是由于Eudemon 1000E与Eudemon 1000差异导致.
通过抓包分析Eudemon 1000E报文转发方式,从而定位问题为组网导致。
建议与总结
由于Eudemon 1000对报文逐包查找MAC转发表,而Eudemon 1000E只是对报文首包查找MAC转发表,后续报文匹配会话表,导致Eudemon 1000E替换Eudemon 1000后业务中断。
原来组网不合理,同一个报文需要两次经过Eudemon 1000E,修改组网方式和Eudemon 1000E工作模式后方可解决该问题,在以后的组网中应规避组网的不合理性。

END