发布时间: 2019-07-27 | 浏览次数: 1023 | 下载次数: 2 | 作者: sh-yxf | 文档编号: EKB1000083642
1、 出口链路不通
将运营商链路连接至一台5700交换机,配置为trunk模式,下行端口配置为access模式连接PC,配置运营商分配的地址,可以正常上网,排除出口链路不通问题。
此时NGFW接口配置为:
interface Eth-Trunk1.1
vlan-type dot1q
2031
ip address
192.168.206.2 255.255.255.248
vrrp vrid 1
virtual-ip X.X.229.24 255.255.255.240 active
2、 配置问题
将出口接一台S5700交换机,配置为trunk模式,S5700下行端口配置为access模式连接PC,将PC配置为运营商端地址,用NGFW单板pingPC,正常ping通,排除配置问题。
此时NGFW接口配置为:
interface Eth-Trunk1.1
vlan-type dot1q
2031
ip address
192.168.206.2 255.255.255.248
vrrp vrid 1
virtual-ip X.X.229.24 255.255.255.240 active
3、 请求包和应答包MAC地址不一致
启用VRRP后,NGFW在发送VRRP报文和免费ARP报文时,将会使用虚拟MAC地址对报文进行封装。当NGFW对用户业务报文进行三层转发时,将会使用接口的实际MAC地址对报文进行封装。
未使能虚MAC时,由于发送的ARP是虚拟MAC地址(TETF-VRRP-VRID_01 X:X:X:X:01:01),实际发送数据使用的是实际的MAC地址(X:X:X:X:87:87),这就使对端回应数据包时目的为虚拟MAC,而本端发包源是实际MAC.
本端发送:S: X:X:a3:42:87:87 D:X:X:82:53;a4;c6
对端回应:S: X:X:82:53;a4;c6 D:X:X:5e:00:01:01
由于两次MAC地址不同,因此ping不通。
使能虚MAC后,使得发送ARP和实际数据包封装时将MAC地址都修改为虚拟MAC地址,这就使本端发包源MAC和对端回包的目的MAC相同。
本端发送:S: X:X:5e:00:01:01 D:X:X:82:53;a4;c6
对端回应:S: X:X:82:53;a4;c6 D:X:X:5e:00:01:01
两次MAC地址相同,因此ping通,正常通信。
此时NGFW接口配置为:
interface Eth-Trunk1.1
vlan-type dot1q
2031
ip address
192.168.206.2 255.255.255.248
vrrp vrid 1
virtual-ip X.X.229.24 255.255.255.240 active
vrrp virtual-mac enable
下载附件
