C114门户论坛百科APPEN| 举报 切换到宽版

亚星游戏官网

 找回密码
 注册

只需一步,快速开始

短信验证,便捷登录

搜索

军衔等级:

亚星游戏官网-yaxin222  上等兵

注册:2020-8-201
发表于 2020-11-6 17:11:09 |显示全部楼层
本帖最后由 公子大白和小白 于 2020-11-6 17:22 编辑

1、故障现象

PC1 和 PC2 通过 DPX 进行三层转发,FW-BLADE 为在线转发板,IPS-BLADE为透明串接板,gige2_0 流定义为在线转发+透明串接,gige2_1 为在线转发。IPS 板卡上开启了黑名单功能。只将PC1 的IP 1.1.1.2 加入到黑名单当中后,PC1 和PC2 不能互通,且PC1 无法访问 DPX;只将 PC2 的 IP 加入到黑名单当中后,PC1 和 PC2 不能互通,但 PC2 能访问DPX。为什么PC1 不能访问DPX 而PC2 可以访问DPX?
2、问题分析
1)gige2_0 是透明串接+在线转发模式流定义,所以 PC1 加入黑名单后访问DPX的时候icmp request 先过IPS 板卡再过FW 板卡,透明串接板的报文通过接口对转发,访问本机的报文只能由在线转发板送往主控。而黑名单的生效位置是在IPS 板卡上,所以报文直接在IPS 板卡被阻断,无法上送到主控,也就不能访问DPX。
2)gige2_1 是在线转发模式流定义,PC2 在加入黑名单后访问 DPX 的时候 icmp request 先经过 FW 板卡,查路由为本机报文,直接上送主控,不会经过IPS 板卡,所以不会被阻断。
3、解决方案
此为流定义机制导致的,且PC1 加入黑名单后即为不可信终端,不允许访问设备也属于正常情况。
4、总结
1)流定义到透明串接板和在线透明板的接口,设备会自动生成一对接口对,从该接口对的某个接口进入的报文会直接从另一个接口送出,对于访问设备本身的流量无法从透明板上直接送到主控。
2)在线转发板可以将访问本机的报文上送主控。因为查路由转发发现是访问本机的工作是由在线转发板完成的。
3)对于多板卡混插的情况需要搞清楚设备开启的功能是在哪个板卡上生效,根据流定义分析报文在设备的板卡之间如何转发,才能使大家更快的解决问题。
zw.jpg
zw.jpg

举报本楼

您需要登录后才可以回帖 登录 | 注册 |

手机版|C114 ( 沪ICP备12002291号-1 )|联系大家 |网站地图  

GMT+8, 2024-11-15 22:37 , Processed in 0.350610 second(s), 18 queries , Gzip On.

Copyright © 1999-2023 C114 All Rights Reserved

Discuz Licensed

回顶部
XML 地图 | Sitemap 地图