S9700下挂终端改变位置后网络出现部分中断

发布时间:  2014-08-05 浏览次数:  167 下载次数:  0
问题描述
S9700交换机旁挂了UTM设备,将需要清洗的流量从S9700交换机引入UTM,再经过UTM处理后再引回S9700交换机。
以终端A的IP地址为源IP的流量从S9700交换机3口进入后,根据入口策略,流量将引入UTM设备做清洗,进入UTM设备的接口为1;
终端A位置改变后,IP地址不变,但是进入S9700的接口改变,调用的策略也发生改变,
以终端A的IP地址为源IP的流量从S9700交换机的4口进入后,根据入口策略,流量将引入UTM设备做清洗,进入UTM设备的接口为2;
改变位置后终端A无法访问总部网络。

告警信息
处理过程
分别在UTM设备和S9700设备上抓包,发现从A发出的流量会被引入UTM设备,但是在UTM设备上会被丢弃。联系UTM厂家工程师,发现是UTM策略配置问题。A改变位置后,从2口进入UTM设备,根据原来的策略,流量应该从2口离开UTM设备进入S9700交换机,这样流量就会出现从UTM的2口进去,再从2口出来,UTM设备会认为这是路由欺骗,将会丢弃数据包。
根据A的IP地址做流量策略,让A的流量从UTM的2口进入,1口出,问题解决。
根因
1.可能是S9700上面的流量策略配置错误导致网络不通
2.可能是UTM上面的配置问题导致网络不通
建议与总结
网络不通时,逐跳排查故障,找到数据包传输中断的位置,从这里去排查问题

END