S12700插防火墙板卡局域网出现丢包

发布时间:  2016-07-05 浏览次数:  217 下载次数:  0
问题描述

1、S12712交换机11槽位安装防火墙板卡,交换机与防火墙内部互联接口配置为eth-trunk聚合端口,并配置为trunk模式透传所有vlan

2、防火墙部署为二层透明模式,交换机对接互联接口配置为eth-trunk聚合端口,并配置为同时同出接口,保证从交换机发过来的流量经过防火墙处理后从相同接口返回给交换机

3、如上图所示S12712下连S5700交换机作为接入交换机连接局终端和服务器,网关落在S12712上

4、S12712未对vlan14业务流量做策略引流,通过在与防火墙对接接口透传所有vlan将vlan14所有流量引入到防火墙

5、客户现网存在大量arp请求报文,S5700下连局域网PC和服务器间进行二层互ping出现大量丢包



告警信息

在S12712和S5700交换机上通过display logbuffer查看日志信息发现存在大量arp miss攻击信息。

处理过程

通过查看交换机log日志发现存在大量arp miss攻击信息并且攻击源地址为10.24.13.12和10.24.13.25都为vlan14下主机地址。

因arp请求报文为广播报文在vlan14任意一台主机上通过wireshark进行抓包发现局域网里面存在大量arp请求报文。

在S5700交换机上查看display mac-address flapping发现存在mac漂移信息。

在S12712交换机上修改与防火墙对接接口配置将vlan14从该接口称出,测试业务正常无丢包现象。

根因
在S12712交换机上向防火墙进行引流时未进行配置策略限制,仅在与防火墙互联接口放行vlan,导致vlan14所有流量全部送到防火墙,arp广播请求报文从防火墙返回到交换机后导致接入交换机mac地址漂移。
解决方案
配置traffic-policy过滤出需要引入防火墙的正常业务流量重定向到防火墙。
建议与总结

S12700交换机插防火墙引流时要通过traffic-policy进行限制,交换机与防火墙互连接口仅放行需要vlan。

END