交换机与防火墙直连无法Ping通

发布时间:  2016-10-12 浏览次数:  375 下载次数:  0
问题描述

故障拓扑

1、版本:

USG5530  V300R001C10

2、组网概述:

两台USG5530防火墙主备部署,与S9306交换机口字形部署。

S9306交换机配置接口互联IP地址10.175.3.1/30。

防火墙配置子接口G0/0/1.1,配置互联IP地址10.175.3.2/30。

interface GigabitEthernet0/0/1.1
 vlan-type dot1q 998
 ip address 10.175.3.2 255.255.255.252

3、故障现象

USG5530与S9300直连无法Ping通。

告警信息

故障现象为两台设备直连无法Ping通,无告警信息。



处理过程

1、  在交换机上查看ARP信息。

通过在S9306上查看ARP信息表,发现S9306上没有10.175.3.2ARP表项信息,查看MAC地址表项,对应接口没有学习到MAC地址。

2、  在防火墙上查看ARP信息。

通过在防火墙上查看ARP信息表,发现USG5530防火墙上有10.175.3.1ARP表项信息。

此故障初步推断为防火墙没有回复ARP请求,或者交换机没有收到防火墙的ARP应答报文。为进一步验证,通过在交换机和防火墙上进行抓包分析。

3、  在防火墙和交换机进行镜像抓包分析。

    通过防火墙的接口双向抓包,10.175.3.2(防火墙IP地址) 有向交换机发送ICMP报文,有收到交换机发出的ARP请求报文,但是防火墙没有发出ARP应答报文。


    通过在交换机上进行接口抓包,发现有发ARP请求报文和ICMP报文。没有ARP应答报文。

经过以上分析确认,防火墙没有发送ARP应答报文,交换机没有学习到防火墙接口MAC地址,造成交换机与防火墙直连无法Ping通。

4、  排查防火墙无法进行ARP应答的原因

    在防火墙上进行配置排查,使用display curr | in 10.175.3.2查看配置,发现存在如下配置命令:

    nat server 39 protocol tcp global 10.175.3.2 6666 inside 192.168.0.24 6666 vrrp 15

进一步查看接口配置,互联接口发现没有配置vrrp 15vrrp 15为其他接口配置的vrid

    此时,问题根因已经确认,由于此互联IP地址配置NAT ServerNAT Server 应用VRRP参数,配置VRRP 15VRRP 15为其他接口配置的VRID,此时接口无法使用VRRP 15的虚拟MAC地址应答回复,进而造成直连无法Ping通。



根因

    由于此互联IP地址配置NAT ServerNAT Server 应用VRRP参数,配置VRRP 15VRRP 15为其他接口配置的VRID,此时接口无法使用VRRP 15的虚拟MAC地址应答回复,进而造成直连无法Ping通。

    使用nat server命令配置内部服务器映射时,如果配置了vrrp参数,则客户端在请求NAT Server外部地址ARP信息时,设备将返回该VRRP组的虚拟MAC地址,如果没有配置vrrp参数则返回对应接口的实际MAC地址。



解决方案

修改NAT Server配置如下:

 nat server 39 protocol tcp global 10.175.3.2 6666 inside 192.168.0.24 6666

建议与总结

使用nat server命令配置内部服务器映射时,如果配置了vrrp参数,则客户端在请求NAT Server外部地址ARP信息时,设备将返回该VRRP组的虚拟MAC地址,如果没有配置vrrp参数则返回对应接口的实际MAC地址。

因此在配置NAT Server时,若配置VRRP参数,必须配置相对应的接口的VRID参数,不能配置其他接口的VRID,否则接口无法回复收到的ARP请求报文。

END