笔记-解决网络环境中数据转发路径不一致问题

不做菜鸟的网工
194 阅读1分钟

网络拓扑

图片.png

  1. FWA FWB同时OSPF宣告172.16.10.0与172.16.20.0网段 且FWA FWB静态路由172.16.10.0 172.16.20.0指向172.16.100.3(M-LAG组)
  2. SW3 SW4缺省路由指向172.16.100.253 172.16.100.254做负载冗余
  3. 172.16.10.0与172.16.20.0网段网关在M-LAG上

路径转发不一致原因

图片.png

  1. SW3与SW4在缺省路由上负载冗余 导致出口方向导致可能172.16.100.253起作用 或者172.16.100.254起作用 经过排查 数据通过172.16.100.253转发
  2. FWA通过OSPF学习到CE2的路由并且转发
  3. CE2通过OSPF学习到去往172.16.10.1具有两个方向 且前往CE1转发开销较大 故数据回复报文指向FWB
  4. FWB发现该流量属于半连接状态,然后进行阻断

解决办法

  1. SW3与SW4应用策略路由 在172.16.10.0网段转发下一跳指向172.16.100.253 172.16.20.0网段转发下一跳指向172.16.100.254
  2. FWA不宣告172.16.20.0网段 FWB不宣告172.16.10.0网段

最终效果

图片.png

改进与不足

  • 当FWA或者FWB设备故障时 另一端设备因为没有在OSPF宣告172.16.20.0或者172.16.10.0导致没有起到备份的功能
  • 解决办法 防火墙之间双机热备
avatar
文章
阅读
粉丝