事件:
由于业务的发展需求需要利用到更大的背板带宽等网络资源,某法院将原来的250网段的网关地址(x.x.250.1位于7600系列路由器)做了调整改动,现放在原来使用的思科6800系列交换机(带有万兆宽带板卡)的vlan1接口上,并将7600路由器的相连端口设置成同网段地址。
改动后,本地内网网络无误,并且可以访问到其他的分支机构服务器。但却访问不了远端分支机构访问内网的250刀片服务器网段地址。
故障解决方案:
(客户网络拓扑图)
抓包分析:
在思科6800交换机上抓包分析,这里是直连刀片服务器上连设备,远程登录其他分支机构向内网发起ping包请求,我们通过给交换机做镜像口抓包分析得知,ping包只有Echo reply回应的数据包,并没有Echo request ping请求包。
在留意到6800交换机直连了飞塔防火墙(具有自带一个状态检查机制,阻挡外网风险数据包,有效保护内网的安全)后,防火墙会检测到数据包是单向的,所以防火墙发挥了其作用,把所有的ping请求包丢弃。
(图)
交换机上ARP地址表的检查:
分析过程一:检查MAC地址表学习是否正常;
分析远端地市可以访问的机器,在6800上查看对应的arp和mac地址表学习情况,正常情况下一个MAC地址是从一个端口上学习来的,如果发现一个MAC地址从两个端口学习上来,可以分析是内部可能有环路导致路径学习有误,直接导致数据包转发不稳定。
正常情况下的学习情况
环路的最终确定
测试结果
1. 在有环路的情况下大部分地址都是访问不到的。
针对客户的环路现象,我司工程师建议客户把天融信7000INT1网口拔出,消除环路的现象,等待交换机正常收敛学习,环路消除后,6807上的地址学习情况恢复正常。
2. 环路消除后,访问正常。
