USG6620防火墙部署VRRP虚拟公网地址ping不通网关

发布时间:  2016-08-16 浏览次数:  171 下载次数:  2
问题描述

题组网拓扑如下,农商行USG6620防火墙做的双机热备,对外与连接的华三二层交换机,部署VRRP,防火墙物理接口起私网地址,VRRP的虚拟地址起联通分配的公网地址,之前移动和电信运营商均是如此部署的。

拓扑图,防火墙以上都是二层部署,联通与电信线路接出口右边的H3C交换机,流量走向如图。

 

从防火墙无法ping通联通网关,防火墙出接口抓包来看,从防火墙ping网关,报文有发出,源地址124.162.217.189公网地址,源mac为物理接口实际mac地址e4c2-d1eb-be0d,目的地址124.162.217.1,目的macME60接口GE2/1/0.2519mac地址9404-9cd1-cf92 ,没有收到回包,在沿途路径上做流量统计,看到在接internet的交换机出口有发出但没有回包,从ME60ping防火墙虚地址124.162.217.189,也无法ping通,但是在防火墙上接口抓包,看到有接收和回去的报文,过来的报文源地址124.162.217.1 MACME60接口GE2/1/0.2519mac地址9404-9cd1-cf92,目的地址124.162.217.189,目的MACVRRP的虚MAC 0000-005e-00d6,回包源地址124.162.217.189,源MAC为实际接口物理MAC地址e4c2-d1eb-be0d,目的地址124.162.127.1,目的MACME60接口GE2/1/0.2519mac地址9404-9cd1-cf92,可以看到收包的目的MAC地址和回包的源MAC地址不一致,但是从移动和电信那边也如此测试,防火墙上的抓包内容和联通的情况一模一样,但是电信和移动是能ping通的。

处理过程

在公网电脑上ping防火墙上的联通虚拟公网地址进行防火墙上抓包,此时ping不通,看到防火墙正常有收包和回包,收包中目的mac为虚拟mac地址,回去的报文源mac带的是接口实际物理mac,ping电信和移动防火墙上的虚拟公网地址没有问题能通,而且防火墙上的抓包看到,收包和回包与联通情况一致,但就是联通有问题ping不通,于是将问题点锁定在联通网关 我们的ME60设备,发现该地址段的子接口下配置了bas功能,默认检查来回报文的mac地址,因此报文被丢弃,重新选择另一个子接口的地址段,没有源目mac地址检查,然后测试就ok了。

根因

此类部署,因为防护墙VRRP 网关学到的是虚拟mac地址,而防火墙发出又是带的实际接口物理mac,因此中间设备不能有源目mac检查的配置,否则会导致报文丢弃,另外一个问题就是,如果在接口下配置了多条vrid,然后启用VRRP virtual-mac enable 那么默认带的源mac只会带VRID值小的那个。

建议与总结

处理问题此类问题要逐段排查和对比分析,之前电信和移动是配置ok的,但是联通同样的配置就有问题,防火墙抓包看也是一样的,说明应该是中间联通运营商某环节出现的问题,检查中经常会遇到第三方设备,可以配置流统等简单配置,查找出现问题的地方。

END