孔凡安,防火墙RBM对接交换机M-LAG IS-IS邻居震荡典型案例分析
组网及说明
组网如下图,交叉连线。FW单框三层聚合,SW跨框二层聚合。
FW1聚合口对接SW的DR口。
告警信息
不涉及
问题描述
HA系统和M-LAG系统跑IS-IS协议,FW1通过子接口RAGG11.11和RAGG11.12与 核心的vlan 11和vlan 12口使能IS-IS进程1和IS-IS进程2,FW2通过子接口RAGG13.13和RAGG13.14 与 核心vlan 13和 vlan 14接口使能 IS-IS 进程1和IS-IS进程2。
配置完成后,发现邻居状态一直震荡:
FW1日志:
%Apr 14 22:12:35:808 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to DOWN.%Apr 14 22:12:37:948 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0010 (Route-Aggregation11.12), state changed to DOWN.
%Apr 14 22:12:41:415 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0010 (Route-Aggregation11.12), state changed to UP.
%Apr 14 22:12:42:692 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to UP.
%Apr 14 22:12:44:117 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to DOWN.
%Apr 14 22:12:45:797 2023 BJDS-DS202-1-4-popFW1-H3CF5000M-2U25 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0010 (Route-Aggregation11.12), state changed to DOWN.
SW1日志:
%Apr 14 03:02:30:062 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_FALLBACK: IS-IS 2, Level-2 adjacency 0000.0000.0011 (Vlan-interface12), IfMTU: 1497, CpuUsage: 4%, AddressFamily: IPv4, Last3HelloSentAt: 03:02:07:395, 03:02:16:845, 03:02:25:705, Last3HelloRecvAt: 03:02:25:720, 03:02:29:051, 03:02:30:061, LocalAddress: 192.168.100.49, LocalIpv6Address: N/A, PeerAddress: 192.168.100.50, PeerIpv6Address: N/A, changed from UP to INIT at 03:02:30:062, Reason: IIHNoSNPA.%Apr 14 03:02:30:062 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_CHG: IS-IS 2, Level-2 adjacency 0000.0000.0011 (Vlan-interface12), state changed to INIT, Reason: 2way-fail.
%Apr 14 03:02:30:553 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_CHG: IS-IS 1, Level-2 adjacency 0000.0000.0011 (Vlan-interface11), state changed to UP, Reason: 2way-pass.
%Apr 14 03:02:33:589 2023 BJDS-DS202-1-4-TOR&POP1-H3CS7603-6U17 ISIS/5/ISIS_NBR_CHG: IS-IS 2, Level-2 adjacency 0000.0000.0011 (Vlan-interface12), state changed to UP, Reason: 2way-pass.
过程分析
从SW的日志信息来看,IS-IS邻居震荡的原因是SW收到的hello包不携带SNPA。因此进一步在FW上抓包进行确认,发现确实在IS-IS三次握手之后,防火墙又通过子接口11和12向组播地址0180-C200-0015发送了hello报文,该报文并未携带SNPA信息。
报文信息如下:
基于抓包判断问题可能出在FW上,因此在FW上收集IS-IS的调试信息:
RBM_P<FW1>*Apr 17 09:45:17:240 2023 FW1 ISIS/7/ISISDBG: -COntext=1;ISIS-1-ADJ: Receive a Lan L2 Hello packet from(0000.0000.0006) on circuit(Route-Aggregation11.11)
*Apr 17 09:45:17:240 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Level-2 NBR(0000.0000.0006) two way pass.
*Apr 17 09:45:17:629 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Receive a Lan L2 Hello packet from(0000.0000.0010) on circuit(Route-Aggregation1.12)
*Apr 17 09:45:17:630 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Level-2 NBR(0000.0000.0010) two way pass.
*Apr 17 09:45:18:571 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: Receive a Lan L2 Hello packet from(0000.0000.0005) on circuit(Route-Aggregation11.11)
%Apr 17 09:45:18:572 2023 FW1 ISIS/5/ISIS_NBR_CHG: -COntext=1; IS-IS 1, Level-2 adjacency 0000.0000.0006 (Route-Aggregation11.11), state changed to DOWN.
*Apr 17 09:45:18:571 2023 FW1 ISIS/7/ISISDBG: -COntext=1;
ISIS-1-ADJ: IIH has the same SNPA with a NBR,but different SystemId. The NBR will be down.
抓包:
通过调试信息以及抓包可以看出,FW1上从Route-Aggregation11.11同时收到SW侧DR口的携带不同的LSP-id的报文,导致邻居刷新。
因此,判断IS-IS邻居震荡和组网强相关。
解决方法
M-LAG使用限制如下:
配置VLAN 接口的M-LAG 虚拟IPv4/IPv6 地址时,对于同一虚拟MAC 地址,虚拟IPv4 地址和虚拟IPv6 地址在M-LAG 设备上的状态必须一致,同为active 或同为standby 。在用户侧设备通过M-LAG 双归接入网关的场景中,M-LAG 设备作为网关进行三层转发。由于 不同M-LAG 设备上的网关接口(例如VLAN 接口、VSI 虚接口)需要具有相同的IP 地址和MAC 地址,M-LAG 设备与用户侧设备之间无法建立路由邻居关系。为了解决上述问题,可以在M-LAG 设备上配置本功能,并配置路由协议(例如BGP 和OSPF )使用虚拟IP 地址与其他设备建立邻居关系。
M-LAG 设备与其他设备建立 BGP 邻居关系时,需要在M-LAG 设备上进行以下配置:
· 配置port m-lag virtual-ip ipv4-address { mask-length | mask } [ active | standby ] [ virtual-mac mac-address ] 命令。
· 配置peer source-address 命令并将虚拟IPv4 地址作为源IPv4 地址。
M-LAG 设备与其他设备建立 OSPF 邻居关系时,需要在M-LAG 设备上进行以下配置:
· 配置port m-lag virtual-ip ipv4-address { mask-length | mask } [ active | standby ] [ virtual-mac mac-address ] 命令。
· 配置ospf peer sub-address enable 命令并将虚拟IPv4 地址作为从IPv4 地址。
在双活网关场景下,配置本命令时,需要在两台M-LAG 设备上配置不同的虚拟IPv4 地址,且均配置为active 状态。在VLAN 接口下配置本命令时,如果配置虚拟MAC 地址,则指定的虚拟MAC 地址需要和VLAN 接口下通过mac-address 命令配置的MAC 地址保持一致。
针对OSPF以及BGP协议来说,有对应的命令可以使用虚拟IPv4地址和防火墙建立邻居关系。但是ISIS没有。
解决方案:使用OSPF 协议或者BGP协议。
CRM论坛(CRMbbs.com)——一个让用户更懂CRM的垂直性行业内容平台,CRM论坛致力于互联网、客户管理、销售管理、SCRM私域流量内容输出5年。 如果您有好的内容,欢迎向我们投稿,共建CRM多元化生态体系,创建CRM客户管理一体化生态解决方案。,防火墙RBM对接交换机M-LAG IS-IS邻居震荡典型案例分析
版权声明:本文由CRM小助手整理收集与网络,仅供学习交流使用,不代表CRM论坛观点。如有侵权,请联系我们,我们将及时删除处理。
CRM论坛投稿:投稿地址
CRM论坛(CRMBBS.COM)始办于2019年,是致力于CRM实施方案、免费CRM软件、SCRM系统、客户管理系统的垂直内容社区网站,CRM论坛持续专注于CRM领域,在不断深化理解CRM系统的同时,进一步利用新型互联网技术,为用户实现企业、客户、合作伙伴与产品之间的无缝连接与交互。