ping业务地址不通,但打开业务应用不影响

发布时间:  2016-02-23 浏览次数:  180 下载次数:  0
问题描述


如图所示:内网汇聚5700EI为客户PC机网关设备,上联S12712-1和S12712-2两台核心设备,每台S12712分别旁挂1台友商的防火墙,并部署了终端安全管理软件。

PC机上装有ping包软件,相内外网不同地址ping包。客户发现外网一直都能ping通,但内网时通时不通。重启PC机后,内网全不通,外网通。但却始终没有影响到业务应用。

告警信息

无告警。

处理过程

1、在ping不通内网的PC上打开内网服务器的应用(如:http服务),可以打开。

2、打开后,观察到ping包软件上,刚刚ping不通的内网地址,现在全都可以ping通。

3、反复测试(将PC机重启),都是同样现象。

4、在内网网关设备S5700EI和S12712-1、S12712-2的进出端口配置流量统计策略,针对某个单独的源、目的地址进行跟踪,观察数据包在何处被丢弃。

5、结果发现,数据包在S12712-1与防火墙互联的出接口被发送过去,但没有回包。

6、友商厂家工程师在其防火墙上能收到特定的ping报文,但被丢弃了。没有触发防火墙与其终端安全软件的联动认证系统,故被丢弃。

7、最后得出结论,防火墙和终端安全软件之间联动必须要有TCP/UDP,而ping包不能触发联动机制。

根因

防火墙与其终端安全管理软件之间的联动必须有TCP/UDP连接触发才能生效,否则数据包会被丢弃。而ping包,tracert -d等操作不能触发其联动认证。

解决方案

原本在内网网关配置的内外网所走路径不同,内网走S12712-1,外网走S12712-2。现将内外网路径改为一致,当PC机开机后,其自身安装的360软件、输入法等,都会产生后台程序,都可以产生TCP/UDP连接,这样ping任何地址都可以ping的通。

建议与总结
数通设备旁挂防火墙,并部署了终端安全管理软件时,注意其联动的触发机制,明白其触发原理,否则会出现类似本案例的情况。

END