謹(jǐn)慎使用安全設(shè)備透明橋

最近，筆者處理了一個(gè)安全設(shè)備透明橋引起的二層環(huán)路問題，雖然大部分安全設(shè)備支持二層透傳，而我們常常又將二層透傳看成一條二層鏈路，但這個(gè)環(huán)路問題使得我們不得不思考，透明橋與純二層鏈路到底有什么差別？

故障現(xiàn)象

筆者單位網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示，防火墻采用主備部署形式，造成備鏈路無法通信。核心交換機(jī)上聯(lián)鏈路采用VRRP方式進(jìn)行冗余。為使單根鏈路實(shí)現(xiàn)VRRP功能，兩臺交換機(jī)互相冗余，在上網(wǎng)行為審計(jì)設(shè)備上做出了如下的LAN 劃分 ：1、2 對應(yīng) 3；1、2對應(yīng)4。

為了解新增上網(wǎng)行為審計(jì)設(shè)備對整個(gè)網(wǎng)絡(luò)流量的影響，使用360自帶軟件測速時(shí)，會(huì)造成1分鐘左右的互聯(lián)網(wǎng)中斷，隨后沒有任何外來干預(yù)網(wǎng)絡(luò)自行恢復(fù)。周期性重復(fù)斷網(wǎng)，每次觸發(fā)時(shí)間不固定。

圖1 網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)

故障排查

通過PC端Tracert命令進(jìn)行分段排查，發(fā)現(xiàn)在斷網(wǎng)期間流量可以到達(dá)核心交換機(jī)，但是到達(dá)不了上網(wǎng)行為審計(jì)設(shè)備。

登錄核心交換機(jī)主備設(shè)備，查看生成樹狀態(tài)與VRRP狀態(tài)，發(fā)現(xiàn)VRRP主備狀態(tài)正常，但是用于和上網(wǎng)行為審計(jì)設(shè)備互聯(lián)的VLAN，主備交換機(jī)均處于Forwarding狀態(tài)，問題癥結(jié)找到了。

故障分析

透明網(wǎng)橋采用的算法是逆向?qū)W習(xí)法（backward learning），網(wǎng)橋按混雜的方式工作，故它能看見所連接的任一LAN上傳送的幀。

到達(dá)幀的路由選擇過程取決于發(fā)送方所在的LAN（源LAN）和目的地所在的LAN（目的LAN），如下所示：

1.如果源LAN和目的LAN相同，則丟棄該幀。

2.如果源LAN和目的LAN不同，則轉(zhuǎn)發(fā)該幀。

3.如果目的LAN未知，則進(jìn)行擴(kuò)散。

在本次實(shí)施中，為了提高可靠性，在LAN之間設(shè)置了并行的兩個(gè)或多個(gè)網(wǎng)橋，但是，這種配置在拓?fù)浣Y(jié)構(gòu)中造成了回路，引發(fā)了流量的無限循環(huán)。

同時(shí)由于上網(wǎng)行為審計(jì)設(shè)備透明橋模式不是真正意義上的二層鏈路，設(shè)備本身不支持生成樹，而透明橋又沒有將生成樹信息傳遞給對端，造成主備交換機(jī)VRRP同時(shí)工作，同時(shí)收發(fā)流量。但是，能夠處理流量的只有主交換機(jī)，有一部分流量產(chǎn)生環(huán)路：主交換機(jī)→透明橋→備交換機(jī)→主備交換機(jī)間Trunk鏈路→主交換機(jī)。環(huán)路觸發(fā)了上網(wǎng)行為審計(jì)設(shè)備的保護(hù)措施，或者到達(dá)上網(wǎng)行為審計(jì)設(shè)備的轉(zhuǎn)發(fā)性能極限，最終造成斷網(wǎng)。

圖2 重新規(guī)劃LAN后的網(wǎng)絡(luò)拓?fù)?/p>

故障解決

交換機(jī)上聯(lián)鏈路取消交換機(jī)VRRP冗余方式，上網(wǎng)行為審計(jì)設(shè)備LAN重新規(guī)劃為：1對應(yīng) 3；2對應(yīng) 4的兩兩互聯(lián)模式，并且在交換機(jī)上采用優(yōu)先級不同的默認(rèn)路由提供冗余。修改后的網(wǎng)絡(luò)結(jié)構(gòu)如圖2所示。修改完成后，整個(gè)網(wǎng)絡(luò)恢復(fù)正常。