参见图11-1，对OP_DS(CE12800设备)与防火墙的下联端口（绿色圈标志，结果对应图11-2）和上联端口（蓝色圈标志，结果对应图11-3）分别获取报文头，结果如下。

图11-2 OP_DS与防火墙的下联端口获取报文头结果

图11-3 OP_DS与防火墙的上联联端口获取报文头结果

可以看到OP_DS(CE12800设备)发送到防火墙的报文都是正序的，每个ICMP请求报文都是长包在前，短包在后；而防火墙回应给OP_DS(CE12800设备)的报文都是逆序的，每个ICMP请求报文都是短包在前，长包在后。可以证明分片报文发生了乱序。

当OP服务器发起大包ping，ICMP报文分片在经过OP_DS旁挂的防火墙处理后，报文分片乱序，之后ICMP报文转发经过WN_DS的S9700设备时，由于NAT转换业务无法处理乱序的分片报文，导致ICMP报文被丢弃，没有被送到总行服务器。

为了进一步证明是防火墙造成的乱序，之后测试将防火墙Eth-trunk出口的4根联线拔掉3根，变为单链路，则大包可以ping通。

综上所述，造成此问题的原因，是由于防火墙Eth-trunk口Hash处理乱序导致。

以CO_CS(CE12800设备)为例，对其与WN_DS相连的上行口获取报文头，结果如图11-4。

图11-4 CO_CS与WN_DS相连的上行口获取报文头结果

可以看到，CO_CS(CE12800设备)发送的ICMP请求报文已经收到了总行服务器的ICMP应答，但应答报文的分片中，存在don't fragment（DF）和more fragments（MF）标记同时置位为1。

如果DF标志被设置但路由要求必须分片报文，此报文会被丢弃。这个标志可被用于发往没有能力组装分片的主机。这两个标记位同时置位为1时含义相互矛盾，所以CE12800收到这个ICMP应答后，认为这是一个非法报文，从而将报文丢弃，导致ping不通。

对于收到此分片标记位有误的报文，因为无法获取总行服务器及途径路由器的具体信息，分析推测原因如下：

服务器对 ICMP应答报文置DF位的目的，是希望获取回程路径上最小MTU（被称作路径MTU，也被写作PMTU）。基本思想就是服务器开始假定一条路径的PMTU值，并将在这条路径上发送的长度小于此PMTU值的报文，都置上DF位。如果有的数据报文太大，不被路径中的某些路由器分片就无法转发，那么路由器将丢弃这些数据报文，然后返回一个意思为“需要分片但DF比特已置为1”的ICMP差错报文。在服务器收到这样一条ICMP差错报文后，则减小这条路径的PMTU值。当主机对PMTU的估计值小到它的数据报不需要分片也能转发的时候，即不再收到ICMP差错报文，PMTU发现过程结束。以上是标准实现，是假定途径的路由器收到“需要分片但DF置位为1的报文”可以回应ICMP差错报文。但实际有的路由器上，收到这种报文的处理有误，将报文强行分片了，DF却仍然置位1。导致CE12800收到了分片标记位错误的报文。

综上所述，造成此问题的原因，是由于总行服务器或者到总行服务器途径的网络设备，对于报文的分片标记位处理不正确导致。