NGFW单板主备模式与运营商对接直连ping不通问题

发布时间:  2015-08-05 浏览次数:  215 下载次数:  1
问题描述
与运营商对接,对端与本端均为trunk模式,启用子接口的情况下,直连无法ping通运营商。
告警信息
Ping运营商显示请求超时。
处理过程

1、 出口链路不通
将运营商链路连接至一台5700交换机,配置为trunk模式,下行端口配置为access模式连接PC,配置运营商分配的地址,可以正常上网,排除出口链路不通问题。
此时NGFW接口配置为:
interface Eth-Trunk1.1
vlan-type dot1q 2031
ip address 192.168.206.2 255.255.255.248
vrrp vrid 1 virtual-ip 60.222.229.24 255.255.255.240 active 


2、 配置问题
将出口接一台S5700交换机,配置为trunk模式,S5700下行端口配置为access模式连接PC,将PC配置为运营商端地址,用NGFW单板pingPC,正常ping通,排除配置问题。
此时NGFW接口配置为:
interface Eth-Trunk1.1
vlan-type dot1q 2031
ip address 192.168.206.2 255.255.255.248
vrrp vrid 1 virtual-ip 60.222.229.24 255.255.255.240 active


3、 请求包和应答包MAC地址不一致
启用VRRP后,NGFW在发送VRRP报文和免费ARP报文时,将会使用虚拟MAC地址对报文进行封装。当NGFW对用户业务报文进行三层转发时,将会使用接口的实际MAC地址对报文进行封装。
未使能虚MAC时,由于发送的ARP是虚拟MAC地址(TETF-VRRP-VRID_01  00:00:5e:00:01:01),实际发送数据使用的是实际的MAC地址(34:00:a3:42:87:87),这就使对端回应数据包时目的为虚拟MAC,而本端发包源是实际MAC.

 本端发送:S: 34:00:a3:42:87:87    D:00:18:82:53;a4;c6
 对端回应:S: 00:18:82:53;a4;c6    D:00:00:5e:00:01:01
 由于两次MAC地址不同,因此ping不通。

使能虚MAC后,使得发送ARP和实际数据包封装时将MAC地址都修改为虚拟MAC地址,这就使本端发包源MAC和对端回包的目的MAC相同。

 本端发送:S: 00:00:5e:00:01:01    D:00:18:82:53;a4;c6
 对端回应:S: 00:18:82:53;a4;c6    D:00:00:5e:00:01:01
 两次MAC地址相同,因此ping通,正常通信。

此时NGFW接口配置为:
interface Eth-Trunk1.1
vlan-type dot1q 2031
ip address 192.168.206.2 255.255.255.248
vrrp vrid 1 virtual-ip 60.222.229.24 255.255.255.240 active
vrrp virtual-mac enable 

建议与总结
在与运营商对接中,如果直连ping不同,确认在链路和配置无误的情况下,应抓包分析。如果MAC地址有差异,应该在接口下开启虚拟mac使能功能。

END