请选择 进入手机版 | 继续访问电脑版

迪普科技技术论坛

 找回密码
 立即注册

关注我们 扫描二维码关注迪普官方微信 迪普新浪微博  迪普官网

最新动态 新闻动态  安全研究 最佳实践  加入迪普

DP 自安全园区网解决方案 DP 自安全分支机构解决方案 DP 自安全物联感知网解决方案

查看: 369|回复: 1

【ADX】掩码错误导致虚服务业务异常

[复制链接]

27

主题

35

帖子

1569

积分

版主

Rank: 7Rank: 7Rank: 7

积分
1569
发表于 2019-6-28 17:52:18 | 显示全部楼层 |阅读模式
掩码错误导致某虚服务业务异常
1. 问题现象

组网及说明:我司负载做静默双机旁挂在核心交换机上,四层负载
ADX要点配置如下:
真实服务地址192.168.37.2,端口8080;
虚服务192.168.37.2:100,开启四层负载,采用源nat借用出接口地址引流;
问题描述:上线时运行一段时间后,客户访问虚服务失败,客户自行禁用再启用虚服务后,访问虚服务业务正常;过一段时间后客户反馈访问虚服务业务又发生异常,需要再次重启虚服务恢复;
2. 问题分析和排查
(1)根据前方反馈的异常,在业务异常时,对端fw设备对虚服务地址进行ping测试失败;
(2)并查看arp表项,发现我司设备未学习到fw设备的arp,我司设备ping不通fw接口地址,对端fw可以ping通adx接口;
(3)推测是网络问题,查看fw设备的arp表项,未学习到虚服务的arp;
(4)将虚服务禁用再启用,在adx上和对端设备同时抓取arp报文,在重启后虚服务会发出免费arp,如下图,并且对端fw设备学习到了虚服务的arp;
分析:
正常情况下,虚服务地址是继承接口的掩码,当虚服务状态up后,不会定时发送免费arp;当虚服务发生重启时会发送免费arp,由于掩码配置错误,当fw的记录adx的虚服务arp表项老化后,fw则无法ping通虚服务的问题,adx发送免费arp时,对端fw设备可以学习到免费arp;


(5)核对设备配置时,发现adx接口地址192.168.37.2/24,而fw接口地址192.168.33.1/21;发现ADX设备接口掩码配置错误,修改掩码后问题解决;
3. 总结
在遇到类似直连不通问题时,通过需要根据arp表项进行判断;
1.我司设备是否学习到对端设备的arp;
2.若未学习到,判断设备是否发出arp请求,对端是否收到;
3.对端收到arp请求后是否进行回复;


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

1

主题

68

帖子

2526

积分

金牌会员

Rank: 6Rank: 6

积分
2526
发表于 2019-7-1 11:29:45 | 显示全部楼层
非常好的总结
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|迪普科技

GMT+8, 2019-8-22 20:31 , Processed in 0.156134 second(s), 22 queries .

Powered by Discuz! X3.1

© 2001-2014 Comsenz Inc.

快速回复 返回顶部 返回列表