二层组网防火墙丢包问题分析 USG6600-网工与H3C兰彻
PC的网关在S9700-A与S9700-B的VRRP IP上,S5700、USG6300-A、USG6300-B都工作在二层状态单连波。从PC上ping交换机S9700-D,无法ping通。
分析Ping不通的原因可能有:
1.二层vlan不通
2.防火墙安全策略阻断
3.MAC学习异常
4.其他未知原因
排查过程:
1.在USG6300-B上查询会话宫锁玉心 ,发现存在单向会话:
会话存在,说明安全策略没有问题,重点排查回包是否到达防火墙枣强政府网,于是开始做流量统计
2.从流统情况来看,报文有回应,但是被防火墙丢弃,从丢弃原因来看,是找不到会话丢包:
3.但是从端口情况来看爱在华师大,报文的五元组是一致的,理论上应该可以命中。
4.于是从debug来进一步确认报文的转发情况:
从debug的情况来看,会话无法命中,但是五元组情况又一致,由于ICMP报文会进行链路状态检测,所以回应报文如果没有命中会话的话,会对报文进行丢弃极品掌门。
5. 将设备的链路状态检测关闭,ping就可以通了,从会话来看,设备新建了两条会话黄晟晟 ,并且两条会话的VLAN不一致.
6. 从两条会话可以看到,请求报文和回应报文的VLAN不一致溪水湾。冷雨萱V5版本VLAN与会话做了关联台山侨中,默认如果vlan不一致的话,无法匹配会话陈靖文,这种场景,需要开启vlan无关联:
如上绝代天狐,将vlan无关联开启之后,会话就可以命中了精装鬼打鬼 。
请求报文和回应报文的vlan不一致反骨绯歌 ,需要开启防火墙的vlan无关联功能,全局开启 vlan obsoue enable 解决.
