防火墙子接口发包不带标签
问题描述:
1.防火墙有一三层子接口,做了vlan终结,业务正常时,该子接口收发的数据包均携带对应的标签。
2.业务异常时,抓包发现该子接口发出的数据包均未携带对应的标签。
3.用模拟器复现不出来问题,请问什么情况下会导致防火墙三层子接口发出的数据包不携带标签呢?
4.最后定位问题是上联的waf透明代理底层路由表项有问题,修复后正常,还是不明白waf到底给防火墙发了什么数据包(当时没抓到waf发出的数据包),能让防火墙回的包不带标签。
组网及组网描述:
按你子接口的配置,流量如果真是从你子接口出的,天塌了他也得给带上tag。
即使聚合主接口有配置ip,如果聚合主接口没有配置源进源出,那也是要查路由表从子接口出包的才对。
如果主接口有配置ip,又有ip last-hop hold 那当我没说
7小时前回答 (4)老师看下我的,截图我放下面了。主接口都有的,目的不是指向主接口的,是指向防火墙下联的业务地址。
不完美克星看你补充的截图,那就是waf给墙时就是没带tag的了,被墙的聚合主接口接收后处理,回包因为源进源出所以从主接口出去了,所以没带tag。
burong懂了懂了,谢谢老师!
不完美克星老师,我这边又检查了一下,主接口没有地址,没有配置源进源出,但是子接口有地址和源进源出,而且子接口对应的业务地址是做了nat的,也就是说全局路由表该业务地址是指向null0的,子接口的地址做了vrrp,而抓到的回包也是vrrp的mac地址回应的,所以可以确定是从子接口出去的,系统版本M9010-9153P3901,很奇怪为什么不带标签……
不完美克星这个还得看具体现场,具体路由表项是什么问题导致的,是通过什么手段修复的,来判断具体是什么原因
7小时前回答老师看下我的,截图我放下面了。
不完美克星如果防火墙接口收到的是打标签的会不会就剥离标签了呢?
你说最终定位到waf路由表项有问题
可能是waf 的路由表象指向了你的接口的主地址7小时前回答
老师看下我的,截图我放下面了。
不完美克星目的不是指向主接口的,waf是串联透传对应的vlan。
不完美克星1.老师们看下,web界面配置的是br2.175,而底层看到的是br2。
2.后来在web界面重新设置透明代理规则接口,把br2.175改成br2.174,保存后再把br2.174改为br2.175,底层就恢复了。
3.有源进源出,题设我用模拟器没加,实际环境有的。
4.waf是透传vlan 175的。
你正在内容来源:知了社区,防火墙子接口发包不带标签
