鸿鹄论坛 › HCIE学习资料 › 求助，割接2次都失败了，求解决办法

renma19th 发表于 2021-12-28 14:10:55

求助，割接2次都失败了，求解决办法

本帖最后由 renma19th 于 2021-12-29 08:37 编辑

当前网络结构如图所示
6720堆叠后，使用eth-trunk连接到2台7706交换机。7706交换机互联但没有堆叠，配的vrrp，以7706-2为主，7706-1为备。6720交换机配置为2层模式，eth-trunk模式为access vlan 120.6720交换机下联的数据库服务器，服务器配置了rack，配置192.168.120.1,120.2为服务器实地址，192.168.120.3为虚地址。
交换机配置如下：
7706-2
#
stp instance 0 root primary

stp instance 1 root secondary
#
stp region-configuration
region-name abc
revision-level 10
instance 1 vlan 8
active region-configuration

#
vlan 100
name server_group
vlan 111
name to-shujuku
vlan 120
name liuliang-server
#

interface Vlanif100
ip address 192.168.110.102 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.110.1
vrrp vrid 100 priority 120
vrrp vrid 100 preempt-mode timer delay 20
arp-proxy enable
#
interface Vlanif111
description to-shujuke
ip address 192.168.111.1 255.255.255.0vrrp vrid 111 virtual-ip 192.168.111.2
vrrp vrid 111 priority 120
vrrp vrid 111 preempt-mode timer delay 20
arp-proxy enable
#
interface Vlanif120
ip address 192.168.120.252 255.255.255.0
vrrp vrid 120 virtual-ip 192.168.120.254
vrrp vrid 120 priority 120
vrrp vrid 120 preempt-mode timer delay 20
arp-proxy enable

#
interface Eth-Trunk0
description channel-to-7706-1
port link-type trunk
port trunk allow-pass vlan 2 to 4094
undo ntdp enable
undo ndp enable
#
interface Eth-Trunk5
description to-6720
port link-type access
port default vlan 120
stp root-protection
#


7706-1
#
stp instance 0 root secondary
stp instance 1 root primary

#
stp region-configuration
region-name adcc
revision-level 10
instance 1 vlan 8
active region-configuration
#

interface Vlanif100
ip address 192.168.110.101 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.110.1
ospf cost 65534
arp-proxy enable
#
interface Vlanif111
ip address 192.168.111.3 255.255.255.0
vrrp vrid 111 virtual-ip 192.168.111.2
ospf cost 65534
arp-proxy enable
#
interface Vlanif120
ip address 192.168.120.253 255.255.255.0
vrrp vrid 120 virtual-ip 192.168.120.254
ospf cost 65534
arp-proxy enable

#
#
interface Eth-Trunk0
description channel-to-7706-2
port link-type trunk
port trunk allow-pass vlan 2 to 4094
undo ntdp enable
undo ndp enable
#
interface Eth-Trunk6
description to-6720
port link-type access
port default vlan 120
stp instance 0 cost 20000
#


6720配置
stp region-configuration
region-name adcc
revision-level 10
instance 1 vlan 8
active region-configuration

#
#
interface Eth-Trunk5
description to-7706-2                  
port link-type access
port default vlan 120
#
interface Eth-Trunk6
description to-7706-1
port link-type access
port default vlan 120
stp instance 0 cost 20000
#

interface XGigabitEthernet0/0/21
description to-7706-2
eth-trunk 5
#
interface XGigabitEthernet0/0/22
description to-7706-1
eth-trunk 6
#

interface XGigabitEthernet1/0/21
description to-7706-2
eth-trunk 5
#
interface XGigabitEthernet1/0/22
description to-7706-1
eth-trunk 6


本次想在7706和6720之间加上防火墙。防火墙为天融信的，防火墙配置成虚拟线模式，透传。

第一次想直接将线路连接到防火墙上，
但是还未开始接防火墙，只是将eth-trunk5里面的其中一根线拔掉后，从7706下联的192.168.120.0网段的服务器就ping不通6720下联的同网段数据库服务器了。将线缆插回去，换另一根线，故障依旧。割接失败。

第二次总结经验后，更换网络结构，将原有的eth-trunk5,eth-trunk6都shutdown,重新布了2条线，配置为access vlan 120模式，直接连接6720和2台7706，如下图所示：
连接后，从7706下联的192.168.120.0网段的服务器，能正常访问到6720下联的192.168.120.3数据库，并且业务也正常。但是77706下联的其他网段服务器，例如192.168.110.0和192.168.111.0网段的服务器，只能ping通6720下联192.168.120.0网段数据库的实地址，即192.168.120.1和2，不能ping通数据库的虚地址192.168.120.3，检查mac发现192.168.120.3虚地址的mac与120.1的mac一致，但是只能ping通实地址，不能ping通虚地址。只能回退，回退后，故障现象消失，跨网段能正常访问。

求教，故障原因是什么，如何处理。

PS，不一定非要用eth-trunk连接7706和6720.最终目标是将防火墙加到7706和6720之间就行。防火墙都是单独的，2台防火墙都是独立运行。

renma19th 发表于 2021-12-28 14:14:08

求助，哪位老大能帮忙看看呀。

michaelchina 发表于 2021-12-28 21:09:06

目前发现7706-2的VRRP配置有问题，还有你防火墙不做双机热备？
interface Vlanif111
description to-shujuke
ip address 192.168.111.1 255.255.255.0
arp-proxy enable

michaelchina 发表于 2021-12-28 21:11:13

还有OSPF什么情况，看配置怎么乱糟糟的
nterface Vlanif100
ip address 192.168.110.101 255.255.255.0
vrrp vrid 100 virtual-ip 192.168.110.1
ospf cost 65534
arp-proxy enable
#
interface Vlanif111
ip address 192.168.111.3 255.255.255.0
vrrp vrid 111 virtual-ip 192.168.111.2
ospf cost 65534
arp-proxy enable
#
interface Vlanif120
ip address 192.168.120.253 255.255.255.0
vrrp vrid 120 virtual-ip 192.168.120.254
ospf cost 65534
arp-proxy enable

renma19th 发表于 2021-12-29 08:08:51

michaelchina 发表于 2021-12-28 21:11
还有OSPF什么情况，看配置怎么乱糟糟的
nterface Vlanif100
ip address 192.168.110.101 255.255.255.0


ospf 是跟外网的通信，跟这次的结构无关。这次割接的结构 7706与6720之间是纯2层access 连接。2台防火墙是独立的，上面只是配了虚拟线，和允许any to any的放行策略。

renma19th 发表于 2021-12-29 08:13:08

michaelchina 发表于 2021-12-28 21:11
还有OSPF什么情况，看配置怎么乱糟糟的
nterface Vlanif100
ip address 192.168.110.101 255.255.255.0


另外，7706-2上的 vlan 111 的vrrp配置是我贴错了，正确的是
interface Vlanif111
description to-shujuke
ip address 192.168.111.1 255.255.255.0
vrrp vrid 111 virtual-ip 192.168.111.2
vrrp vrid 111 priority 120
vrrp vrid 111 preempt-mode timer delay 20
arp-proxy enable

光腚大弟 发表于 2022-12-15 14:12:56

好好好

oyjtbfs 发表于 2022-12-19 17:54:52

感谢分享

175002346 发表于 2023-1-7 21:47:23

这个架构设计的就是有问题的，两台防火墙需要做双机，主备或是主主都可以，当你访问异常的时候，应该去墙上看下日志你就明白了。
问题在于你两边都有相同VLAN，是在同一个广播域，那你二层的流量如何保证源进源出？
防火墙都是基于状态信息的，你TCP 首包在A墙，回包就必须也给A，如果转给了B，由于B墙上没有会话表，会认为是一次攻击而拒绝掉。
正确的做法是两台做双机，双主时，两台的ARP，会话状态表会同步，就不会出这个问题了，如果是主备，那备墙只接收不发送数据 ，你的VRRP做一个track 和FW联动就行。

查看完整版本: 求助，割接2次都失败了，求解决办法