说明
防火墙与交换机直连 ping 有问题,每次只通前两个包,有时完全 ping 不通,但正常业务未受影响,通过使用流量统计的方法找到了问题,是中间串了一台深信服的行为管理的原因。
如果事先知道中间有台行为管理,那么排查起来就比较简单了,但是流量统计功能对本次问题或其他相关的问题是一个很好排错手段。
拓扑介绍
公网 ----- 防火墙(HUAWEI USG 6350) ---- 行为管理(SANGFOR) ----- 核心交换机(HUAWEI S5720)
防火墙:地址直接配置在接口
行为管理:透明部署在中间
核心交换机:使用 vlanif 与其防火墙对接
现象描述
从核心 ping 防火墙直连口,前两个包能通,后续报文不通,从防火墙 ping 核心现象同样现象
上网正常,其他业务也未受影响
排查过程
确认核心交换机没有 ACL 限制 ping
确认防火墙与核心对接的端口允许 ping
display cu int g0/0/0interface GigabitEthernet0/0/0 service-manage ping permit # 确认允许 ping
确认防火墙安全策略没有阻挡
注意查看 trust ---> local 的策略,如果没有放行,可以加一条放行的策略
配置核心交换机的流量统计
# 配置流分类traffic classifier test_c if-match acl 3000# 配置流行为traffic behavior test_b statistic enable # 配置流策略traffic policy test_p match-order config classifier test_c behavior test_b# 与防火墙连接端口调用策略interface GigabitEthernet0/0/1 traffic-policy test_p inbound
配置 USG防火墙的五元组丢包统计
注:防火墙配置不是像核心交换机那样使用流分类、流行做统计,而是使用基于五元组丢包的统计方法
配置如下
# 注意不要和现有的 ACL 冲突acl 3002rule permit ip source 10.10.10.254 0 destination 10.10.10.1 0# 进入诊断模式diag# 将报文统计功能与 acl 绑定firewall statistics acl 3002 enable
ping 测试
从防火墙 ping 核心交换机的直连口
# 查看报文的统计信息display firewall statistics acl2020-05-08 21:52:59.550 +08:00 Protocol(icmp) SourceIp(10.10.10.254) DestinationIp(10.10.10.1) SourcePort(43989) DestinationPort(2048) VpnIndex(public) RcvnFrag RcvFrag Forward DisnFrag DisFrag Obverse(pkts) : 5 0 2 0