防火墙旁挂核心双机场景,pc无法telnet防火墙

发布时间:  2016-12-18 浏览次数:  148 下载次数:  0
问题描述

版本信息:USG9520 V500R001C00SPC500

组网概述:两台防火墙9520旁挂在核心交换机上,做的hrp双机,防火墙作为pc的网关(主备防火墙做vrrp,虚地址为10.100.X.254),下行口在虚墙中,上行口与核心交换机三层互联,上行口在根墙中。

pc网关为防火墙虚vrrp地址10.100.X.254

组网拓扑图:

 

故障现象:

接入交换机下挂的pc无法通过备墙的上行口地址10.100.0.19来访问(如:telnet)备墙

 

 

处理过程

1、查看会话表,看到pc(10.100.2.240)ping防火墙的会话只有来没有回

icmp  VPN:public --> public  ID: a58f69b68d62046e0a581b6a9a
  Zone: untrust--> local  TTL: 00:00:20  Left: 00:00:05 
  Output-interface: GigabitEthernet1/0/1  NextHop: 127.0.0.1  MAC: 00-00-00-00-00-00
  <--packets:0 bytes:0   -->packets:25 bytes:2100
  10.100.2.240:43983-->10.100.0.19:2048 PolicyName: default

2、在备墙上看路由信息(去往pc:10.100.2.240的路由),看到下一跳是Virtual-if1,回包回到了虚墙上

根因

梳理整个发包流程:

pc访问备墙上行口时,pc流量先到网关上(主墙下行口),主墙查路由通过下行口(虚墙)转到上行口(根墙)上,数据包再经过核心交换机转发到备墙的上行口上,备墙的回包应该是个逆向的过程。

但是从会话表和路由表来看,回包从备墙的下行口回过去了,来回路径不一致导致回包丢失。

解决方案

备墙加上多条浮动静态路由,回程路由下一跳是主墙上行口ip rou 10.100.X.0 24 10.100.0.18 pre 50

同时保留路由ip rou 10.100.X.0 24 Virtual-if1
确保正常情况下,来回路径一致,主墙down掉后,备墙切换为主,上行流量从虚墙到根墙,下行流量从根墙到虚墙再到用户网段

建议与总结
主备墙旁挂核心交换机,用户网关在墙上的时候,注意访问备墙流量来回路径不一致这种情况,通过浮动路由来解决问题!

END