防火墙双机因ARP解析引起的问题两例

　　案例一

　　一、【拓扑与方案简要描述】

　　1、2台5800对服务器起VRRP，5800-1为Master，服务器网关为VRRP虚地址;

　　2、FW和5800之间互起VRRP，5800-1为Master，FW-1为Master，配置静态路由;

　　3、FW和局方设备互起VRRP，FW-1为Master，局方-1为Master，配置静态路由;

　　4、2台FW之间双机热备，上下行接口配置接口组联动;

　　5、FW对服务器的私网地址进行一对一NAT转换;

　　二、【相关配置】

　　FW-1

　　interface GigabitEthernet0/1

　　port link-mode route

　　description to_LS-5800-56C-H3-1

　　ip address 10.48.101.5 255.255.255.248

　　vrrp vrid 110 virtual-ip 10.48.101.4

　　vrrp vrid 110 priority 110

　　vrrp vrid 110 track interface GigabitEthernet0/3.154 reduced 30

　　vrrp vrid 110 track interface GigabitEthernet0/4 reduced 30

　　#

　　interface GigabitEthernet0/3.154

　　description to_cmnet

　　vlan-type dot1q vid 154

　　nat outbound static

　　ip address 112.5.163.5 255.255.255.224

　　vrrp vrid 155 virtual-ip 112.5.163.4

　　vrrp vrid 155 priority 110

　　vrrp vrid 155 track interface GigabitEthernet0/1 reduced 30

　　#

　　nat static 10.48.101.134 112.5.163.7

　　nat static 10.48.101.135 112.5.163.8

　　nat static 10.48.101.136 112.5.163.9

　　nat static 10.48.101.137 112.5.163.10

　　nat static 10.48.101.138 112.5.163.11

　　nat static 10.48.101.139 112.5.163.12

　　三、【问题现象描述】

　　倒换测试时发现服务器经FW转换的公网地址在5800交换机重启时出现不可达现象。

　　四、【测试与分析】

　　抽一个服务器经FW转换的公网地址进行测试，长ping 112.5.163.12，

　　FW-1会话截图如下：

　　FW-2会话截图如下：

　　由此分析FW-1对ping包进行了回应，此时重启5800-1，观察发现FW-1上行口恢复后服务器IP可达(112.5.163.5为FW-1上行口地址，112.5.163.6为FW-2上行口地址)，ping包截图如下：

　　测试是否全部服务器经FW转换的公网地址都出现此现象，从公网长PING所有服务器公网地址，发现一半服务器在5800-1重启时出现不可达现象，另外一半服务器则在5800-2重启时出现不可达现象。

　　五、【问题原因与解决方法】

　　为什么会出现此种现象，分析和ARP解析有关，此配置情况下两台FW都以实MAC回应对NAT公网地址的ARP请求，谁后响应，局方设备就学谁的MAC，此时如果重启这面的5800，因接口组联动FW的上行口down，回包就会出现丢包，解决方法是nat outbound static后面增加track vrrp 155配置，配了track后就用虚MAC回应，两台UTM的回应就是一样的，FW-1上行口down后，流量及时切到FW-2上，不会出现上述现象，问题得以解决。

　　案例二

　　一、【拓扑与方案简要描述】

　　拓扑图和案例一相同，

　　1、交换机启二层，FW对服务器起VRRP，服务器网关是FW的VRRP虚地址。

　　2、FW和移动S8505之间互起VRRP，使用静态路由。

　　3、内部服务器在FW上通过easyip使用接口地址NAT的方式与公网通讯。

　　二、【相关配置】

　　FW-1

　　acl number 3100

　　rule 5 permit ip source 192.168.10.0 0.0.0.127

　　rule 10 deny ip

　　#

　　interface GigabitEthernet0/1

　　port link-mode route

　　description to-CMNET-SW01-gi4/1/3

　　nat outbound 3100 track vrrp 1

　　ip address 211.138.156.241 255.255.255.248

　　vrrp vrid 1 virtual-ip 211.138.156.243

　　vrrp vrid 1 priority 120

　　vrrp vrid 1 preempt-mode timer delay 5

　　vrrp vrid 1 track interface GigabitEthernet0/3 reduced 30

　　#

　　interface GigabitEthernet0/3

　　port link-mode route

　　description to-FJXM-UAR-SW01-GE1/3

　　ip address 192.168.10.51 255.255.255.128

　　vrrp vrid 10 virtual-ip 192.168.10.50

　　vrrp vrid 10 priority 120

　　vrrp vrid 10 preempt-mode timer delay 5

　　vrrp vrid 10 track interface GigabitEthernet0/1 reduced 30

　　#

　　三、【问题现象描述】

　　倒换测试有问题，当拔掉FW-1上行口网线时，服务器到公网地址不可达，从服务器重新进行长ping，公网地址可达，这时拔掉FW-2上行口网线，服务器到公网地址又不可达。

　　四、【问题分析与解决方法】

　　又是防火墙双机的情况，显然和FW做NAT配置相关，从ARP解析分析，当全网线路正常时，服务器访问公网流量从FW-1出去也从FW-1回程，局方设备的ARP请求由FW-1回应，此时拔掉FW-1上行口，回包仍然往FW-1走，造成不通，此时从服务器重新进行长ping，则由FW-2做NAT出去，公网地址可达，问题出在直接使用防火墙的接口地址作为NAT后的地址，两台防火墙上行口地址不同，由谁NAT则局方设备就回包给谁，解决方法是修改NAT配置，把VRRP虚地址作为NAT转换后的地址，增加配置nat address-group 1 211.138.156.243 211.138.156.243 level 1，nat outbound 3100 address-group 1 track vrrp 1，两台FW修改配置后倒换测试正常。

　　【结束语】

　　该拓扑为运营商项目的典型拓扑，案例也是项目实施中的实例，请大家注意防火墙双机情况下ARP协议所引起的问题，倒换测试出现问题时注意从ARP解析角度分析，找到问题根源并解决问题。当然，最好是在设计方案时就注意此问题，考虑周全，防止出现倒换测试不通现象。

2016年01月