如何解決網(wǎng)絡(luò)環(huán)路導(dǎo)致系統(tǒng)數(shù)據(jù)掉包
日期:2018-04-27 10:20:50
投稿人:鄭志彬
事件:
由于業(yè)務(wù)的發(fā)展需求需要利用到更大的背板帶寬等網(wǎng)絡(luò)資源�,某法院將原來(lái)的250網(wǎng)段的網(wǎng)關(guān)地址(x.x.250.1位于7600系列路由器)做了調(diào)整改動(dòng)��,現(xiàn)放在原來(lái)使用的思科6800系列交換機(jī)(帶有萬(wàn)兆寬帶板卡)的vlan1接口上�,并將7600路由器的相連端口設(shè)置成同網(wǎng)段地址。
改動(dòng)后����,本地內(nèi)網(wǎng)網(wǎng)絡(luò)無(wú)誤�����,并且可以訪問(wèn)到其他的分支機(jī)構(gòu)服務(wù)器���。但卻訪問(wèn)不了遠(yuǎn)端分支機(jī)構(gòu)訪問(wèn)內(nèi)網(wǎng)的250刀片服務(wù)器網(wǎng)段地址。
故障解決方案:
(客戶網(wǎng)絡(luò)拓?fù)鋱D)
抓包分析:
在思科6800交換機(jī)上抓包分析���,這里是直連刀片服務(wù)器上連設(shè)備����,遠(yuǎn)程登錄其他分支機(jī)構(gòu)向內(nèi)網(wǎng)發(fā)起ping包請(qǐng)求����,我們通過(guò)給交換機(jī)做鏡像口抓包分析得知����,ping包只有Echo reply回應(yīng)的數(shù)據(jù)包,并沒(méi)有Echo request ping請(qǐng)求包��。
在留意到6800交換機(jī)直連了飛塔防火墻(具有自帶一個(gè)狀態(tài)檢查機(jī)制���,阻擋外網(wǎng)風(fēng)險(xiǎn)數(shù)據(jù)包,有效保護(hù)內(nèi)網(wǎng)的安全)后����,防火墻會(huì)檢測(cè)到數(shù)據(jù)包是單向的���,所以防火墻發(fā)揮了其作用�����,把所有的ping請(qǐng)求包丟棄����。
(圖)
交換機(jī)上ARP地址表的檢查:
分析過(guò)程一:檢查MAC地址表學(xué)習(xí)是否正常���;
分析遠(yuǎn)端地市可以訪問(wèn)的機(jī)器,在6800上查看對(duì)應(yīng)的arp和mac地址表學(xué)習(xí)情況,正常情況下一個(gè)MAC地址是從一個(gè)端口上學(xué)習(xí)來(lái)的���,如果發(fā)現(xiàn)一個(gè)MAC地址從兩個(gè)端口學(xué)習(xí)上來(lái)�,可以分析是內(nèi)部可能有環(huán)路導(dǎo)致路徑學(xué)習(xí)有誤����,直接導(dǎo)致數(shù)據(jù)包轉(zhuǎn)發(fā)不穩(wěn)定��。
正常情況下的學(xué)習(xí)情況
環(huán)路的最終確定
測(cè)試結(jié)果
1. 在有環(huán)路的情況下大部分地址都是訪問(wèn)不到的。
針對(duì)客戶的環(huán)路現(xiàn)象�,我司工程師建議客戶把天融信7000INT1網(wǎng)口拔出,消除環(huán)路的現(xiàn)象�����,等待交換機(jī)正常收斂學(xué)習(xí)�����,環(huán)路消除后���,6807上的地址學(xué)習(xí)情況恢復(fù)正常���。
2. 環(huán)路消除后�,訪問(wèn)正常�����。
