CE12800启用URPF功能,导致第三方网管告警

发布时间:  2016-08-19 浏览次数:  102 下载次数:  0
问题描述

某局点CE12800交换机与友商C设备进行Smart-link实现链路冗余,第三方网管系统是下挂在CISCO 6513上服务器接入交换机上的,网关落在友商6513A的vlan 15上。CE12812通过两个vlanif 501,vlanif 502分别于友商6513A,6513B进行三层OSPF对接。实现网络互通,第三方网管系统19.104.11.195无法监控CE12812管理地址19.104.0.16,一直显示设备离线。



处理过程

1、登录CE12800交换机以及友商C设备查询设备直接的OSPF邻居信息,以及网管网关信息,分别使用命令show standby vlan 15 ,dis ospf peer bri,show ip ospf nei。





2、现网对CE12812设备的VLANif 502上使能ip urpf enable后,分析数据流量得知网管地址19.104.11.195监控数据去往CE12812管理地址19.104.0.16流量经过友商C设备的6315A,通过vlanif 501走到CE12812。查询路由表如下:


3.数据包到了CE12812管理地址19.104.0.16,由于CE12812在vlanif 502配置了URPF严格检查,数据包的源地址必须存在FIB表和接口匹配。该数据包的FIB出接口是vlanif 502,与收到该报文(源地址19.104.11.195)对应的入接口(vlan 501)不一致,URPF检查不通过,故报文会被丢弃,所以第三方网管显示告警。


根因

现网路由不对称导致网管告警,CE12812交换机Vlanif 接口启用URPF检查严格模式,要求报文的源地址在FIB表中存在相应表项,还要求接口匹配才能通过URPF检查。


解决方案

在CE12812设备Vlanif 501接口启用URPF 松散模式,是设备不检查接口是否匹配,只要FIB表中存在该报文源地址的路由,报文就可以通过。

全局模式执行  ip urpf loose 


建议与总结

现网主备设备双机部署情况下,特别需要关注数据包的来回路径问题


END