NGFW与友商S12508对接,由于PBR引流配置不当导致网关不可达案例

发布时间:  2016-05-19 浏览次数:  364 下载次数:  0
问题描述

拓扑说明:

 

现网友商S12508通过配置PBR,匹配内网/24位网段地址,下一跳为我司防火墙SACG_1防火墙的G2/0/0IP,以实现引流;友商S12508配置PBR策略后,客户发现现网业务均正常,但内网终端无法和自己的网关互ping,内网网段为:128.128.176.0/24,网关IP为:128.128.176.254;

处理过程

首先,建议客户检查友商S12508的配置是否存在问题,PBR配置如下:

acl number 3000

 rule 1 permit ip source 128.128.164.0 0.0.1.255

 rule 2 permit ip source 128.128.166.0 0.0.1.255

 rule 3 permit ip source 128.128.177.0 0.0.0.255

 rule 4 permit ip source 128.128.176.0 0.0.0.255

 rule 5 permit ip source 128.128.178.0 0.0.0.255

 rule 6 permit ip source 128.128.186.0 0.0.1.255

 rule 7 permit ip source 128.128.188.0 0.0.1.255

 

policy-based-route sacg permit node 10

   if-match acl 3000

   apply ip-address next-hop 128.128.226.124 track 1

 

1、测试PCIP地址是128.128.176.45,VLAN260是网关,VRRP主是在KFGZ_S1上,从KFGZ_S1上的ARP学习情况来看是学习在两台12508的互联口上,所以终端PCping网关,流量过KFGZ_S2,然后送到KFGZ_S1上去做三层处理:

    <KFGZ_S1>dis arp 128.128.176.45

      Type: S-Static    D-Dynamic     A-Authorized    M-Multiport

     IP Address        MAC Address     VLAN ID    Interface            Aging Type

     128.128.176.45   2c41-389e-3377    260          BAGG1             16    D

 

    Interface Vlan-interface260

     VRID           : 33              Adver Timer : 3

     Admin Status   : Up              State       : Master

     Config Pri     : 20              Running Pri : 20

     Preempt Mode   : Yes             Delay Time  : 0

     Auth Type      : None

     Virtual IP     : 128.128.176.254

     Virtual MAC    : 0000-5e00-0121

     Master IP      : 128.128.176.252

 

2、因为PC的源地址是128.128.176.45,会匹配ACL3000rule4PBR动作,

PBR的下一跳是128.128.226.124,即报文会从GE3/0/19送给FW:

        128.128.226.124  0000-5e00-0102  726      GE3/0/19               N/A   D

        

        interface Vlan-interface726

         ip address 128.128.226.122 255.255.255.248

         vrrp vrid 6 virtual-ip 128.128.226.121

         vrrp vrid 6 priority 10

         vrrp vrid 6 timer advertise 5

        

acl number 3000

rule 4 permit ip source 128.128.176.0 0.0.0.255

 

policy-based-route sacg permit node 10

   if-match acl 3000

   apply ip-address next-hop 128.128.226.124 track 1

 

3、按照12508上的抓包,以及FW的抓包分析,ICMP的报文会从3/0/20送回给KFGZ_S1这台12508,

VLAN727:

         #

         interface GigabitEthernet3/0/20

         port link-mode bridge

         description connect_SACG1_G2/0/1

         port access vlan 727

 

4、但是VLAN726727VRRP主是在KFGZ_S2上,而不是在KFGZ_S1上,FW回应过来的报文在KFGZ_S1只是做二层转发,匹配目的MAC 0000-5e00-0107送给KFGZ_S2做三层转发:

0000-5e00-0107   727      Learned          Bridge-Aggregation1          AGING

128.128.226.129  0000-5e00-0107  727      BAGG1                  15    D

 

 

    

Interface Vlan-interface726

     VRID           : 6               Adver Timer : 5

     Admin Status   : Up              State       : Backup

     Config Pri     : 10              Running Pri : 10

     Preempt Mode   : Yes             Delay Time  : 0

     Become Master  : 13400ms left

     Auth Type      : None

     Virtual IP     : 128.128.226.121

     Master IP      : 128.128.226.123

  

Interface Vlan-interface727

     VRID           : 7               Adver Timer : 5

     Admin Status   : Up              State       : Backup

     Config Pri     : 10              Running Pri : 10

     Preempt Mode   : Yes             Delay Time  : 0

     Become Master  : 11500ms left

     Auth Type      : None

     Virtual IP     : 128.128.226.129

     Master IP      : 128.128.226.131

 

5PC回应的报文的目的地址是KFGZ_S1VLAN260的是地址 128.128.176.252;KFGZ_S2上到128.128.176.252直连,即会从VLAN727三层转发到VLAN260又送回给KFGZ_S1;但是KFGZ_S1上的VLAN260是做了PBR,又回到了PC应报文的处理流程:

         #

         interface Vlan-interface260

         ip address 128.128.176.252 255.255.255.0

         vrrp vrid 33 virtual-ip 128.128.176.254

         ......

         ip policy-based-route sacg

 

这样报文TTLKFGZ_S1KFGZ_S2、和FW各减1,抓取到的报文的TTL差值是3;

直至减完丢弃: 

 

根因
经定位,此问题与我司防火墙没有关系,是友商S12508配置存在问题。友商S12508在部署PBR时,必须要将送给12508自己的报文,执行PERMIT通过,否则全部报告都会执行PBR,导致ping直连网关不通的问题。
建议与总结
遇到与友商S12508对接时,需要特别注意友商的PBR部署,由于友商自身原因,必须执行PERMIT通过,否则全部报告都会执行PBR问题。

END