USG6680防火墙备机loopback管理地址偶尔不通

发布时间:  2016-12-06 浏览次数:  118 下载次数:  2
问题描述

1、 主备双机,与NE40E也是起的vrrp,防火墙主备的管理地址都是起的loopback地址,master A10.162.0.8,standby B10.162.0.9,公司大网偶尔ping不通备机的管理地址.

2、 备机管理地址不通的时候,ping备机的其余地址正常

告警信息
 

处理过程

1.现象复现时跟踪路由,流量走向.

 

2.通过与正常现象路由对比,确认问题出现在主备防火墙之间的互通

 

3.确认流量走向为主用防火墙-NE40-备用防火墙

4.在防火墙上查看设备arp表项,确认学习不到对端arp地址

 

5.   

流量走向分析:

主防火墙--- ----NE40E--- eth0 ----NE40E-------备防火墙

 

通过抓包定位备用防火墙应答报文在NE40上终结,确认arp应答报文的目的mac地址为为防火墙对接NE40接口vrrp vrid 4的虚拟mac:0000-5e00-0104,对比NE40和防火墙配置:

NE40配置

interface Vlanif4

description To_ECS_R5-5_USG6680(C)_CE12812(C)_mgt&Bypass

ip binding vpn-instance g-sv

ip address 10.162.128.21 255.255.255.240

vrrp vrid 4 virtual-ip 10.162.128.20

vrrp vrid 4 priority 200

vrrp vrid 4 preempt-mode timer delay 1200

#

interface Eth-Trunk0

portswitch

port link-type trunk

port trunk allow-pass vlan 4 to 5 10 to 12 18 20 to 21 1023

#

防火墙配置:

interface GigabitEthernet6/0/8

description To_szvdcb_3E-01-01/7U_NE40E(A)_10.79.244.5_6/0/2

ip address 10.162.0.18 255.255.255.240

vrrp vrid 4 virtual-ip 10.162.0.17 active  

service-manage ping permit

service-manage ssh permit

service-manage telnet permit

因为 NE40上存在vrrp vrid 4 ,虚拟mac地址一致,vlan 4透传到Eth-Trunk0,导致备用防火墙arp 应答报文命中vlanif 4接口下的vrrp vrid 4,报文提前终结,导致arp mac 学习出现问题,备用管理防火墙不通。

根因
 

备机管理地址流量走向是公司大网到主用防火墙,E1000-A E1000-B 之间的流量走二层经 NE40E-A NE40E-B之间互通,长期观察,备机地址.9周期性不通.现象产生时,定位为从主用防火墙地址到备用防火墙.9之间不通,排查定位防火墙学习不到对端的arp表项,联系NE40和防火墙研发定位,USG6680NE40之间起vrrp,因为NE40其他端口上配置的vrrp vrid和防火墙上配置vrid存在冲突,导致arp表项更新学习出现问题.从而导致.9 loopback管理地址不通.

解决方案

修改防火墙对接NE40的端口vrid配置.

 

interface GigabitEthernet6/0/8

description To_szvdcb_3E-01-01/7U_NE40E(A)_10.79.244.5_6/0/2

ip address 10.162.0.18 255.255.255.240

vrrp vrid 4 virtual-ip 10.162.0.17 active   ----修改为vrrp vrid 57 virtual-ip 10.162.0.17 active,备防火墙修改类似

service-manage ping permit

service-manage ssh permit

service-manage telnet permit

建议与总结
 

在配置NE40和防火墙设备对接时,需要查看NE40全局配置,清楚所有vrrp vrid配置,不只是对接接口之间的vrid不能存在冲突,防火墙vridNE40上其他已经配置的vrid也不能重复,需要在做网络规划时明确.

END