USG6330配置ip-link以后出现ping丢包

发布时间:  2015-11-20 浏览次数:  1288 下载次数:  0
问题描述
组网如图所示,防火墙USG6330(V100R001版本)上行接口连接交换机LSW2(没有划分vlan),交换机LSW2上行分别连接两台路由器AR1和AR2。AR1内网口IP地址为192.168.2.4,AR2内网口IP地址为192.168.2.5;AR1外网口(专线)IP地址为172.1.1.1,AR2外网口(专线)IP地址为172.2.2.1。

AR1和AR2对端有一台交换机LSW1,交换机和AR1互联vlan为vlanif2,IP地址为172.1.1.2;交换机和AR2互联vlan为vlanif3,IP地址为172.2.2.2。交换机LSW1内网接PC为vlanif1,IP地址为1.1.3.1;内网PC的IP地址为1.1.3.10,网关为1.1.3.1。



客户想要实现的需求描述如下:

1、正常情况下,经过FW1的流量走192.168.2.4(AR1)专线访问PC(1.1.3.10)。

2、当FW1-AR1-LSW1链路断掉后,切换走FW1-AR2-LSW1链路。

防火墙配置如下:

interface GigabitEthernet0/0/0 
alias GE0/MGMT 
ip address 192.168.2.1 255.255.255.0
 
ip-link 1 destination 1.1.3.10 mode icmp 


ip route-static 0.0.0.0 0.0.0.0 192.168.2.4 track ip-link 1 
ip route-static 0.0.0.0 0.0.0.0 192.168.2.5 preference 61
 
firewall packet-filter default permit interzone local untrust direction inbound 
firewall packet-filter default permit interzone local untrust direction outbound

故障现象:

1、如果不配置ip-link功能,防火墙只连接AR1(AR2断掉),可以ping通1.1.3.10。
2、如果不配置ip-link功能,防火墙只连接AR2(AR1断掉),可以ping通1.1.3.10。
3、配置了ip-link功能以后,出现ip-link状态在up、down间不断切换,ping 1.1.3.10也出现丢包现象。
4、路由表里面 0.0.0.0/0   Static 60   0          RD  192.168.2.4这条路由一会消失一会出现。
处理过程
步骤 1 执行调试命令ip-link 1 destination 1.1.3.10 timer 2 mode icmp 以后,ip-link状态切换加快。

步骤 2 执行调试命令ip-link 1 destination 1.1.3.10 timer 10 mode icmp 以后,ip-link状态切换变慢。

尝试执行上面两个命令后,ip-link状态还是会切换,判断切换应该与链路质量没有关系。恢复默认值3S。

----结束
根因
根据上面的测试情况,怀疑是由于ip-link发出的icmp报文经过了AR2到达1.1.3.10导致ip-link的状态up,当ip-link状态up以后路由表切换走192.168.2.4的优先路由,所以导致ping包丢失,然后ip-link状态又切换为down,路由表切换走192.168.2.5。
解决方案
防火墙上行如果只有一条线路,应该使用子接口的方式,连接AR1和AR2使用不同的网段(封装不同的vlan),然后配置路由track ip-link的时候跟下一跳地址即可:

   ip-link 1 destination 1.1.3.10 mode icmp next-hop 192.168.2.4

使用不同的三层接口连接上行的两台路由器,可以去掉交换机LSW2,并配置ip-link的出接口:

   ip-link 1 destination 1.1.3.10 interface g0/0/1  (假设g0/0/1连接AR1)
建议与总结
防火墙上行只有一条链路时,一般不建议配置ip-link;如果有两条链路,最好使用两个不同的接口,然后再配置ip-link的ICMP报文的出接口,这样两条链路相互之间就没有干扰了。

一般情况下出现ip-link状态在up、down间不停切换,很有可能是ip-link 的timer时间设置太短导致(链路质量不佳导致网络震荡)。

END