[Todos acerca de switches] El reenvío de servicios falla debido a la corrección de entrada ARP en un conmutador después de una actualización de Fi

122 0 0 0

Productos y versiones involucrados


Todos los productos y versiones.


Redes


Como se muestra en la Figura 1-1, un grupo VRRP está configurado en SwitchA y SwitchB. SwitchA es el dispositivo maestro VRRP y SwitchB es el dispositivo de respaldo VRRP. FWA y FWB funcionan en modo activo / en espera. FWA es el dispositivo maestro y FWB es el dispositivo de respaldo.


Figura 1-1 Diagrama de red para el fallo de reenvío del servicio debido a la fijación de la entrada ARP en un conmutador después de una actualización del firewall


20180309092425038001.png

Síntoma de falla


El reenvío de servicios falla después de actualizar FWA.


Análisis de causa


1. Durante la actualización y reinicio de FWA, FWA se convierte en el dispositivo de respaldo y FWB se convierte en el dispositivo maestro. Los servicios se cambian a FWB y la interfaz de interconexión Eth-Trunk3 entre SwitchA y FWA se desactiva. La interfaz de interconexión Eth-Trunk1 entre SwitchA y SwitchB aprende la dirección IP virtual del firewall.


2. Una vez que FWA se reinicia con éxito, FWA se convierte nuevamente en el dispositivo maestro y FWB se convierte en el dispositivo de respaldo. La interfaz de interconexión Eth-Trunk1 entre SwitchA y SwitchB está activada. Debido a que la corrección de la entrada ARP está configurada en el SwitchA, SwitchA determina que los paquetes ARP gratuitos enviados desde FWA a SwitchA son paquetes de ataque, y corrige la dirección ARP del firewall a la interfaz conectada a FWB. Como resultado, las entradas de ARP no pueden actualizarse a la interfaz Eth-Trunk3 conectada a SwitchA.


Procedimiento de resolución de problemas


Paso 1 Verifique las entradas ARP aprendidas por SwitchA. Se encontró que las entradas ARP aprendidas por la interfaz de interconexión Eth-Trunk1 no se actualizan a la interfaz de interconexión Eth-Trunk3 entre SwitchA y FWA.


<SwitchA> display arp interface Vlanif 814 
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE  
                                          VLAN/CEVLAN  
------------------------------------------------------------------------------ 
11.139.69.217   cc53-b5f3-4895            I -         Vlanif814 
11.139.69.221   0009-0b29-3e59  13        D-0         Eth-Trunk1 
                                           814/- 
11.139.69.222  0000-5e00-01fa  20      D-0      Eth-Trunk1 
                                           814/- 
------------------------------------------------------------------------------ 
Total:3         Dynamic:2       Static:0     Interface:1 


Paso 2 Recopilar estadísticas sobre los paquetes ARP. Se encontró que las estadísticas se pueden recopilar en los paquetes ARP enviados desde FWA.


<SwitchA> display traffic policy statistics interface eth-trunk3 ibound verbose rule-base  
 
 Interface: Eth-Trunk3 
 Traffic policy inbound: test-in 
 Rule number: 2 
 Current status: OK! 
--------------------------------------------------------------------- 
 Classifier: test-in operator or 
 Behavior: test-in 
 Board : 8 
 rule 5 permit l2-protocol arp destination-mac ffff-ffff-ffff source-mac 0000-5e00-01fa vlan-id 814 
 Passed Packet                        26,Passed Bytes                     1,664 
 Dropped Packet                        0,Dropped Bytes                        0 
 rule 10 permit l2-protocol arp destination-mac cc53-b5f3-4895 source-mac 0000-5e00-01fa vlan-id 814 
 Passed Packet                         0,Passed Bytes                         0 
 Dropped Packet                        0,Dropped Bytes                        0 
 Board : 9 
 rule 5 permit l2-protocol arp destination-mac ffff-ffff-ffff source-mac 0000-5e00-01fa vlan-id 814 
 Passed Packet                        36,Passed Bytes                     2,304 
 Dropped Packet                        0,Dropped Bytes                        0 
 rule 10 permit l2-protocol arp destination-mac cc53-b5f3-4895 source-mac 0000-5e00-01fa vlan-id 814 
 Passed Packet                         0,Passed Bytes                         0 
 Dropped Packet                        0,Dropped Bytes                       0                      0


Paso 3 Ejecute el comando debug arp para verificar que las entradas de ARP gratuitas se reciben de FWA. A continuación, compruebe los paquetes ARP. El sistema muestra una alarma de ataque.


Jul 10 2017 19:10:45.790.1+08:00 NM1_LU_DS_01 ARP/7/arp_rcv:Receive an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-01fa, sender_ip_addr : 11.139.69.222, target_eth_addr : 0000-0000-0000, target_ip_addr : 11.139.69.219 
Jul 10 2017 19:10:45.790.2+08:00 NM1_LU_DS_01 ARP/7/arp_send:Send an ARP Packet, operation : 2, sender_eth_addr : 0000-5e00-01c9,sender_ip_addr : 11.139.69.219, target_eth_addr : 0000-5e00-01fa, target_ip_addr : 11.139.69.222 
Jul 10 2017 19:10:46+08:00 NM1_LU_DS_01 SECE/4/ARP_ENTRY_CHECK:OID 1.3.6.1.4.1.2011.5.25.165.2.2.2.2 Arp entry attack.(SourceInterface=Eth-Trunk3, SourceIP=11.139.69.222, SourceMAC=0000-5e00-01fa, PVLAN=814, CVLAN=0)


Paso 4 Verifique que la fijación de la entrada ARP esté configurada en el SwitchA. Este comando se aplica a los escenarios donde se configuran direcciones IP estáticas, no existe un enlace redundante en la red y los usuarios con la misma dirección IP no acceden a la red a través de diferentes interfaces.



arp anti-attack entry-check fixed-all enable 
#


Paso 5 Ejecute el comando undo arp anti-attack entry-check enable para deshabilitar la corrección de la entrada ARP, y luego realice un cambio de firewall activo / en espera. El resultado de la prueba es normal. Las entradas de ARP se pueden actualizar en la interfaz de interconexión Eth-Trunk3 entre SwitchA y FWA, y los servicios son normales.


<SwitchA>  display arp interface Vlanif 814 
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE  
                                          VLAN/CEVLAN  
------------------------------------------------------------------------------ 
11.139.69.217   cc53-b5f3-4895            I -         Vlanif814 
11.139.69.221   0009-0b29-3e59  4         D-0         Eth-Trunk1 
                                           814/- 
11.139.69.220   0009-0b29-3d2d  9         D-0         Eth-Trunk3 
                                           814/- 
11.139.69.222  0000-5e00-01fa  13       D-0      Eth-Trunk3 
                                           814/- 
------------------------------------------------------------------------------ 
Total:4         Dynamic:3       Static:0     Interface:1  


Fin

  • x
  • convención:

Responder

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente
¡Ingresa y disfruta de todos los beneficios para los miembros!

¡Ingresa y disfruta de todos los beneficios para los miembros!

Aterrizaje