配置ARP表项固化导致ARP表项刷新缓慢致使业务中断

发布时间:  2015-05-18 浏览次数:  144 下载次数:  0
问题描述

组网拓扑如下:


华为USG9560防火墙主备模式接入网络,当防火墙发生主备切换或者流量回切时会发生丢包,防火墙配置VRRP组,VRRP组主备随着防火墙一起切换,交换机配置引流策略,将流量目的地址指向防火墙的VRRP虚拟IP 10.0.237.118接口Eth-trunk 3,交换机之间通过心跳线二层打通接口Eth-trunk 2。正常情况下流量因该走主系统(DS01),切换后因该走备系统(DS02)。

1、流量正常时交换机ARPMAC表项如下:


可以看到此10.0.237.118ARPMAC信息均是从主系统学习到,此时流量正常。

2、防火墙主备切换后交换机ARPMAC表项如下:

可以看到此时VRRP虚拟IP所对应的虚拟MAC地址方向正确,从备系统习得,但是ARP表项却没有相应的刷新,还是走了主系统,这就导致了流量中断。

告警信息


处理过程

1、 在系统视图下undo arp anti-attack entry-check send-ack enable

2、 在相应的业务Vlanif接口下arp anti-attack entry-check send-ack enable

根因

在配置了arp anti-attack entry-check send-ack enable指令后,收到新的免费ARP报文,设备,不会立即更新ARP表项,而是先记录这个请求修改ARP表项的报文信息,并向待更新的ARP表项现有MAC地址对应的用户发送一个单播的ARP请求报文进行确认,根据确认结果再决定是否更新ARP表项中的MAC地址、VLAN和接口信息,然后再将请求修改ARP表项的报文信息删除。

建议与总结

arp anti-attack entry-check send-ack enable 是针对业务接口的安全特性,要根据情况在接口视图下使用,避免在全局下使用,以免影响敏感系统正常通信。

END