NGFW板卡防火墙配置OSPF导致网络异常

发布时间:  2016-03-24 浏览次数:  172 下载次数:  0
问题描述

用户反馈某局域网内同一个PC,访问某个网段应用服务器,部分服务器文件传输速度很慢,部分服务器文件传输速度很快。

2台S12700核心交换机配置堆叠做为内网业务网段网关,板载2块NGFW防火墙板卡配置HRP+VRRP双机热备,内网部分重要服务器网段访问其它区域或其它区域访问这些服务器需要通过策略路由引流到NGFW处理,全网运行OSPF。内部网段访问外联区配置trust----untrust策略,内部网段互访配置trust-----trust策略。

S12700与NGFW板卡逻辑拓扑如下:




告警信息

处理过程

110.190.122.79   tracert  10.190.142.77,有匹配到S12708交换机的ACL 3923 重定向引流,中间经过NGFW防火墙板卡的跳数是10.190.0.51——>10.190.0.59 ping测试或者传输文件在NGFW防火墙板卡上查看会话都是trust——>untrust区域,传输文件速度很慢。

210.190.122.79  tracert  10.190.142.250 ,有匹配到S12708交换机的ACL 3923 重定向引流,中间经过NGFW防火墙板卡的跳数是10.190.0.51——>10.190.0.50(交换机对接trust的地址),ping测试看到的会话就是trust——>trust,传输文件速度很快。

3、在NGFW上查看IP 10.190.142.77、10.190.142.250的路由表,发现存在2条等价路由,下一跳分别指向untrusttrust接口对端接口IP

4、查看trust----trust trust----untrust安全策略,带宽策略,发现trust-----untrust配置带宽限制策略,最大带宽8Mb/s,源地址为any。


根因

1、等价路由根据hash计算下一跳,可能会通过trustuntrust对应接口出NGFW板卡防火墙,故出现tracert 同网段不同IP,经过不同路径。

2、数据包经过不同下一跳,匹配不同的域间规则,不同的带宽策略,表现出不同的访问速度。


解决方案

NGFW防火墙板卡配置默认路由指向untrust区域,明细静态路由指向trust,内部网段访问外联区配置trust----untrust策略,内部网段互访配置trust-----trust策略,取消掉OSPF配置。取消带宽限制策略,故障消失,问题解决。

建议与总结

END