发布时间: 2016-12-15 | 浏览次数: 303 | 下载次数: 0 | 作者: weironghua | 文档编号: EKB1000416562
防火墙升级后,直连交换机端口进入disable状态
防火墙侧显示端口down,直连交换机侧显示端口进入disable。
某局点某晚对防火墙进行版本升级,完成升级后发现业务不通,排查时发现防火墙侧端口down,直连交换机侧端口进入disable状态,设备上除以上信息外,均无异常告警,无法定位到原因,最后对防火墙进行了回退操作,但是回退后,故障没有消除,申请研发到现场处理故障,最后定位出问题是防火墙与交换机使用Eth-trunk端口对接,防火墙Eth-trunk端口配置了trunk,但是成员端口却配置了access,导致防火墙从Eth-trunk端口收到交换机的报文后,又从成端端口的access端口发送回交换机,交换机收到了自己发送出去的BPDU,进而阻塞该端口。询问客户后得知,但是的配置是通过加载.cfg配置文件生成,逃过了设备的配置安全检查。最后将成员端口配置删除,设备恢复正常。
防火墙与交换机使用Eth-trunk端口对接,防火墙Eth-trunk端口配置了trunk,但是成员端口却配置了access,导致防火墙从Eth-trunk端口收到交换机的报文后,又从成端端口的access端口发送回交换机,交换机收到了自己发送出去的BPDU,进而阻塞该端口。
将Eth-trunk成员端口配置删除,设备恢复正常。
配置的导入要经过严格的审查
