防火墙升级后,直连交换机端口进入disable状态

发布时间:  2016-12-15 浏览次数:  108 下载次数:  0
问题描述

防火墙升级后,直连交换机端口进入disable状态

告警信息

防火墙侧显示端口down,直连交换机侧显示端口进入disable。

处理过程

某局点某晚对防火墙进行版本升级,完成升级后发现业务不通,排查时发现防火墙侧端口down,直连交换机侧端口进入disable状态,设备上除以上信息外,均无异常告警,无法定位到原因,最后对防火墙进行了回退操作,但是回退后,故障没有消除,申请研发到现场处理故障,最后定位出问题是防火墙与交换机使用Eth-trunk端口对接,防火墙Eth-trunk端口配置了trunk,但是成员端口却配置了access,导致防火墙从Eth-trunk端口收到交换机的报文后,又从成端端口的access端口发送回交换机,交换机收到了自己发送出去的BPDU,进而阻塞该端口。询问客户后得知,但是的配置是通过加载.cfg配置文件生成,逃过了设备的配置安全检查。最后将成员端口配置删除,设备恢复正常。

根因

防火墙与交换机使用Eth-trunk端口对接,防火墙Eth-trunk端口配置了trunk,但是成员端口却配置了access,导致防火墙从Eth-trunk端口收到交换机的报文后,又从成端端口的access端口发送回交换机,交换机收到了自己发送出去的BPDU,进而阻塞该端口。

解决方案

将Eth-trunk成员端口配置删除,设备恢复正常。

建议与总结

配置的导入要经过严格的审查

END