FAQ-组网问题Eudemon双机热备交叉ping丢包

发布时间:  2017-03-16 浏览次数:  71 下载次数:  0
问题描述


两台E1000E防火墙互为热备,AR设备属于untrust区域,NE40E路由器属于trust区域。AR、E1000E、NE40E之间运行OSPF协议。通过OSPF cost值使业务流量走AR1、E1000-1、NE40E-1
故障描述:
在NE40E侧的用户主机ping备用防火墙E1000E-2,有丢包现象。


告警信息
处理过程

1、怀疑配置有问题;

2、判断中间的连线有问题;
3、防火墙的session会话有问题。
根因

1、通过检查配置没有发现问题;

2、ping测试直连链路也没有发现丢包;
3、通过分析E1000E防火墙的session会话,当ping包从NE40E-1发出后经过E1000E-1、AR-1、AR-2到达E1000E-2后。这是E1000E-1防火墙对这个ping数据流的session设置为forward操作,E1000E-2由于数据包到达自身, 需要把该数据流上送cpu做回应操作,此时数据包是通的。当数据包到达E1000E_2时,E1000E_1的session备份到E1000E_2,由于看到session是做forward操作,数据包不再上送cpu处理,这时是不通的。 
4、以上分析可知,数据包是由于绕行两层防火墙导致session对同一数据流做不同置位产生的,故可以将访问备用防火墙的数据流直接走备用,不走主用即可。 
解决方案

解决办法:在NE40上做策略,通过bgp属性,访问备用防火墙的local值设高引导流量,或者在NE40_1上指一条静态明细路由下一跳指向备用防火墙即可。

建议与总结

无。

END