云计算项目防火墙丢包导致网络不通

发布时间:  2015-06-12 浏览次数:  393 下载次数:  13
问题描述

背景

苏研计算云大网对接需要配置业务网段地址进行倒换测试,发生从桌面云地址ping业务VLAN地址不通,从配置业务VLAN的接入交换机ping桌面云地址能通的情况。

问题、事件描述

计算云的拓扑图如下,其中从桌面云地址(10.135.86.180ping业务VLAN地址(10.171.130.34)和反过来从业务VLAN地址(10.171.130.34ping10.135.86.180)的流量走向、IP地址参考图示,从桌面云ping接入交换机业务地址不通,从内网接入交换机ping桌面云地址可以:

处理过程

1、从外向内ping排查,首先,检查从ME60带源带VPN ping10.171.130.34),可以ping通,查看ARPFIB表项正常,ME60VRRP主备正常,说明从ME60以下是没问题的。

2、从桌面云(10.135.86.180ping ME60上的网关10.171.130.1可以ping通,而tracert10.171.130.34),结果如下,只能到ME60

3、同时我们在接入交换机上连接一台PC模拟也业务地址(10.171.130.35),从桌面云可以ping通,所以我们在ME60上做流量统计,


在桌面云长ping 10.171.130.34 10.171.130.35两个地址,查看流量统计结果发现ME60可以收到(10.171.130.35)的回包,但是没有(10.171.130.34)的回包,所以判断ping包时流量走向为,ping10.171.130.34)——入方向:桌面云—ME60—交换机、出方向:交换机—管理网GW—防火墙——桌面云;ping10.171.130.35)——入方向:桌面云—ME60—交换机—PC、出方向:PC—交换机—ME60—桌面云;所以问题定位在CE12812和防火墙。

4、在CE12812GW上做流量统计,发现从接入交换机来的回包在CE12812RB上连GW可以统计到报文,但是在GW与防火墙的端口10GE7/0/0未统计到,同时防火墙上没有查到流量表项信息,原因可能为aCE12812将报文丢弃;b、防火墙拒绝接收该回包报文。

根因

处理结果

通过与CE交换机和USG防火墙研发人员沟通,确定是从桌面云ping业务VLAN地址防火墙判断来回路径不一致,从而丢弃回包,PC上配置地址默认携带VLAN,回包直接找到ME60网关出去,所以可以ping通,而从接入交换机地址向外ping先经过默认地址到防火墙出去,再从ME60回包,也是能通的。最后,将防火墙undo firewall session link-state check icmp关闭状态检测功能,问题解决。

建议与总结

经验和教训

这种配置业务VLAN地址进行倒换测试的方案在公司局云计算其他局点都有用到,但是配置防火墙的模板却没有重视到来回路径检查这一步骤,而恰恰这次没配正好又在接入交换机上直接配置的业务段地址,问题就浮现出来,对于大家都使用过的方法,自己在使用时如果出现问题,应该第一时间考虑问题中涉及到的关键点(包括设备、特性、方式等)是否存在差异,对于这类问题我们首先能做的就是一定别不假思索的原样照搬,形式主义固然可能成功,但是细节如果没有注意到,出现问题后再解决就会费时费力。

END