所选语种没有对应资源,请选择:

本站点使用Cookies,继续浏览表示您同意我们使用Cookies。Cookies和隐私政策>

提示

尊敬的用户,您的IE浏览器版本过低,为获取更好的浏览体验,请升级您的IE浏览器。

升级
案例库

NGFW(V100R001)下挂交换机不能ping通VRRP虚拟地址

发布时间:  2018-10-19  |   浏览次数:  138  |   下载次数:  0  |   作者:  yWX466273  |   文档编号: EKB1001930846

目录

问题描述

NGFW(V100R001)下挂交换机不能ping通VRRP虚拟地址

在交换机上ping防火墙的物理地址都能正常ping通但是不能ping通vrrp虚拟地址,通过防火墙ping交换机都不能正常ping通。


处理过程

1、检查防火墙上策略是否放开,接口上访问策略是否开启ping功能。查看配置都是正常的。

interface Eth-Trunk0.2
 vlan-type dot1q 2
 description TO B_GZA00_TES_DS01 vlanif2
 ip address x.x.17.250 255.255.255.248
 vrrp vrid 2 virtual-ip x.x.17.249 active
 service-manage https permit
 service-manage ping permit
 service-manage ssh permit
#

security-policy
 default action permit

2、检查防火墙上是否有学习到交换机的arp,确认后能正常学习到对端交换机的arp

HRP_A[B_GZA00_TES_AF01]disp arp
12:55:21  2018/10/19
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE  
                                          VLAN/PVC                       
------------------------------------------------------------------------------

x.x.17.250   d0ef-c1eb-e2ae            I           Eth-T0.2
x.x.118.109  d0ef-c1eb-e2ae            I           Eth-T0.1
x.x.17.251   d0ef-c1eb-e2b6  16        D           Eth-T0.2
                                             2/-
x.x.17.253   340a-982d-9fc3  19        D           Eth-T0.2
                                             2/-
x.x.17.252   0000-5e00-0102  20        D           Eth-T0.2
                                             2/-

3、在防火墙上ping交换机的地址,查看会话,是否有会话生成。查看报文已经发出,但是对端交换机没有回包。

HRP_A[B_GZA00_TES_AF01]display firewall session table verbose destination inside x.x.17.253
12:56:15  2018/10/19
 Current Total Sessions : 1
  icmp  VPN:public --> public  ID: a68f47ba79990158bf05bc9d461
  Zone: local--> outside  TTL: 00:00:20  Left: 00:00:15 
  Output-interface: Eth-Trunk0.2  NextHop: x.x.17.253  MAC: 34-0a-98-2d-9f-c3
  <--packets:0 bytes:0   -->packets:5 bytes:420
  x.x.17.249:44010-->x.x.17.253:2048 PolicyName: loc to out

4、检查交换机上的arp和mac地址,确认是否有学习到x.x.17.249的arp。对端只能学习到物理接口的arp,不能学习到虚拟地址的arp和mac

[B_GZA00_TES_DS01-Vlanif2]dis arp
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE
                                          VLAN/CEVLAN
------------------------------------------------------------------------------    
21.108.17.253   340a-982d-9fc3            I -         Vlanif2       
21.108.17.254   340a-982d-a5f3  15        D-0         GE1/0/23      
                                             2/-     
21.108.17.251   d0ef-c1eb-e2b6  15        D-0         GE1/0/23      
                                             2/-     
21.108.17.250   d0ef-c1eb-e2ae  15        D-0         Eth-Trunk1    

[B_GZA00_TES_DS01]disp mac-address 0000-5e00-0102
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI                          Learned-From        Type     
-------------------------------------------------------------------------------

-------------------------------------------------------------------------------

5、确认交换机上的vrrp信息,确认交换机上的虚拟地址和防火墙的虚拟地址mac相同,导致交换机不能正常学习到防火墙的虚地址arp。

[B_GZA00_TES_DS01]disp vrrp
  Vlanif2 | Virtual Router 2
    State : Master
    Virtual IP : 21.108.17.252
    Master IP : 21.108.17.253
    PriorityRun : 120
    PriorityConfig : 120
    MasterPriority : 120
    Preempt : YES   Delay Time : 20 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0102
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Create time : 2018-10-18 11:13:53
    Last change time : 2018-10-18 14:48:21

6、修改交换机上的vrid后解决,修改后可以ping通,并能正常学习到arp

[B_GZA00_TES_DS01]ping 21.108.17.249
  PING 21.108.17.249: 56  data bytes, press CTRL_C to break
    Reply from 21.108.17.249: bytes=56 Sequence=1 ttl=255 time=1 ms
    Reply from 21.108.17.249: bytes=56 Sequence=2 ttl=255 time=1 ms
    Reply from 21.108.17.249: bytes=56 Sequence=3 ttl=255 time=1 ms
    Reply from 21.108.17.249: bytes=56 Sequence=4 ttl=255 time=1 ms
    Reply from 21.108.17.249: bytes=56 Sequence=5 ttl=255 time=1 ms


[B_GZA00_TES_DS01]display mac-address
-------------------------------------------------------------------------------
MAC Address    VLAN/VSI                          Learned-From        Type     
-------------------------------------------------------------------------------
0000-5e00-0102 2/-                               Eth-Trunk1          dynamic  
340a-982d-a5f3 2/-                               GE1/0/23            dynamic  
d0ef-c1eb-e2ae 2/-                               Eth-Trunk1          dynamic  
d0ef-c1eb-e2b6 2/-                               GE1/0/23            dynamic  
0000-5e00-0146 970/-                             Eth-Trunk1          dynamic  

-------------------------------------------------------------------------------


根因

交换机虚地址的mac和防火墙的虚mac冲突导致的。

建议与总结

虚拟路由器根据虚拟路由器ID生成的MAC地址。当虚拟路由器回应ARP请求时,使用虚拟MAC地址,而不是接口的真实MAC地址。建议在两端都是vrrp虚拟地址对接情况下避免mac地址冲突。