华为防火墙故障案例:FW未接收到正向报文
现象描述
单机场景下,如果FW上未查看到会话,且流量统计未统计到报文,基本可判定FW未接收到正向报文。
<sysname> display firewall session table source inside x.x.x.x destination inside y.y.y.y 2018-04-19 20:21:31.990 +08:00 Current Total Sessions :0 //未查看到会话 <sysname> system-view [sysname] diagnose [sysname-diagnose] display firewall statistic acl //查看流统结果,做流统的方法,详见“流量统计”章节。 10:53:32 2018/04/08 Current Show sessions count: 0 //未统计到流量
双机场景下,如果备机上能看到会话,但会话中正反向报文数均为0,则表示该会话是由主机备份过来的,流量并未到达备机。
相关告警与日志
无
原因分析
- 上游设备路由缺失。
- 上游设备未指定网关或网关错误。
- 上游设备可能未学到下一跳的ARP。
- 双机热备主备备份场景下,上游设备将连接主机和备机的接口加入到了同一个Eth-trunk口,导致流量未到达主机。
- 二层转发时,上游设备VLAN隔离了流量。
- 二层转发时,上游设备未学到对端下一跳MAC地址。
操作步骤
FW未接收到正向报文的可能原因和对应的操作步骤如下表所示。
|
可能原因 |
处理方法 |
|---|---|
|
上游设备路由缺失 |
请逐个设备排查路由配置是否正确完整。 |
|
上游设备未指定网关或网关错误 |
|
|
上游设备可能未学到下一跳的ARP |
|
|
双机热备主备备份场景下,上游设备将连接主机和备机的接口加入到了同一个Eth-trunk口,导致流量未到达主机 |
|
|
二层转发时,上游设备VLAN隔离了流量 |
检查流量经过的设备接口所属VLAN,确保接口属于同一VLAN。 |
|
二层转发时,上游设备未学到对端下一跳MAC地址 |
|
阅读剩余
版权声明:
作者:SE_YT
链接:https://www.cnesa.cn/3389.html
文章版权归作者所有,未经允许请勿转载。
THE END
