F5和CheckPoint組網(wǎng)中，一次蹊蹺的網(wǎng)絡(luò)故障排查。

故障描述

        客戶網(wǎng)絡(luò)拓?fù)鋱D如下圖所示，整體架構(gòu)采用典型的口字型連接方式。問(wèn)題出在F5和CheckPoint Open Server軟件防火墻之間，當(dāng)CheckPoint進(jìn)行主備切換，從CheckPoint上ping公網(wǎng)IP地址時(shí)，往返路徑不一致。

故障分析

        在此網(wǎng)絡(luò)中，能夠改變數(shù)據(jù)包走向的設(shè)備，只能是F5，因此將目光聚焦在F5的配置上。F5設(shè)備既包含內(nèi)網(wǎng)應(yīng)用發(fā)布的功能，又充當(dāng)Outbound方向的鏈路負(fù)載均衡角色。

        經(jīng)過(guò)梳理，最終定位到F5上的“Auto Last Hop”功能：

        開啟此功能，F(xiàn)5會(huì)記錄防火墻第一次請(qǐng)求的MAC地址，這樣就意味著數(shù)據(jù)包從哪個(gè)MAC地址過(guò)來(lái)后，會(huì)再?gòu)倪@個(gè)MAC回去，并不會(huì)走路由表，即使防火墻發(fā)生主備切換，F(xiàn)5還是會(huì)找之前防火墻的MAC，比如說(shuō)ping包從A防火墻轉(zhuǎn)發(fā)到F5，此時(shí)防火墻發(fā)生主備切換，B防火墻變?yōu)橹鲏?，理論上?lái)講數(shù)據(jù)包會(huì)回到B，但由于auto last hop特性，ping包此時(shí)會(huì)回到A，即從哪個(gè)MAC過(guò)來(lái)，就從哪個(gè)MAC回去，源進(jìn)源出機(jī)制。

解決方案

關(guān)閉該功能即可，有兩種方法：

一、針對(duì)某個(gè)VS關(guān)閉該功能

二、針對(duì)全局關(guān)閉該功能

建議針對(duì)某個(gè)VS關(guān)閉該功能，避免影響其他業(yè)務(wù)。

一點(diǎn)心得

    透過(guò)現(xiàn)象看本質(zhì)，一切異常皆有據(jù)可查。