HQY 一个和谐有爱的空间

问题描述

1.  组网描述:

网关:电信的2台NE40E作为用户接入网关,2台NE40E分别终结不同vlan id,用户的DHCP server部署在NE40E上。

防火墙:2台USG9560部署二层透明墙,并且部署双机为主备模式,

汇聚交换机:2台S12712配置CSS集群互联USG9560;

2.  问题描述:

用户接入在S12712下,DHCP报文穿越防火墙获取不到IP,如果将NE40E直接互联S12712,用户就可以正常获取IP地址,并且上网业务正常,防火墙USG9560配置缺省安全策略为permit;

3.  防火墙USG9560配置如下:

USG9560软件版本:V500R001C30SPC100补丁:无

#

 hrp enable                              

 hrp interface Eth-Trunk0 remote 192.168.1.2

 hrp mirror session enable

 hrp standby config enable

 hrp configuration auto-check 1440

 hrp track interface GigabitEthernet4/0/0

 hrp track interface GigabitEthernet4/0/1

 hrp track interface Eth-Trunk2

 hrp track vlan 200

 hrp track vlan 201

 hrp track vlan 202

 略......

 hrp track vlan 300

#

interface Eth-Trunk2

 portswitch

 description TO_ZH-XXZ-CSW-HW12712-01_ETH-TRUNK22

 port link-type trunk

 port trunk allow-pass vlan 200 to 300 3012

#

interface GigabitEthernet4/0/0

 portswitch

 description uT:ZH-XZ-MSE-1.MAN.NE40E_10GE2/1/4

 undo shutdown

 port link-type trunk                    

 port trunk allow-pass vlan 251 to 300

 anti-ddos flow-statistic enable

#

interface GigabitEthernet4/0/1

 portswitch

 description uT:ZH-XXZ-MSE-2.MAN.NE40E_10GE2/1/1

 undo shutdown

 port link-type trunk

 port trunk allow-pass vlan 200 to 250

 anti-ddos flow-statistic enable

#

security-policy

 default action permit

#

告警信息

无

处理过程

bserve-index 4

#

interface GigabitEthernet4/1/1

 Port-observing observe-index 4

#

interface Eth-Trunk2

 portswitch

 description TO_ZH-XXZ-CSW-HW12712-01_ETH-TRUNK22

 port link-type trunk

 port trunk allow-pass vlan 200 to 300 3012

port-mirroring inbound

 port-mirroring outbound

 

#

interface GigabitEthernet4/0/1

 portswitch

 description uT:ZH-XXZ-MSE-2.MAN.NE40E_10GE2/1/1

 undo shutdown

 port link-type trunk

 port trunk allow-pass vlan 200 to 250

 port-mirroring inbound

 port-mirroring outbound

#

抓取到用户和NE40E之间交互的DHCP报文截图如下:

1.  用户发送的DHCP discover报文流进防火墙USG9560,防火墙USG9560也正常转发给了NE40E;

2.  NE40E收到客户端的DHCP discover报文也正常回复了 DHCP offer报文,但是offer报文流进防火墙后,防火墙并未转发改报文;

3.  导致客户端没有收到offer报文,不能正常交互DHCP协议后续的request和ACK报文。

NE40E响应的DHCP offer报文,三层报文头部目的IP是广播地址,但是二层报文头部的目标mac缺是单播帧。

根因

经过研发定位分析,高端防火墙USG9500系列在部署二层透明模式的场景下,不支持这种三层广播,二层单播的报文转发,防火墙会直接丢弃该类报文。

解决方案

在NE40E上在接口下增加一条dhcp-broadcast命令,将dhcp协议报文改为全广播类型;

<ZH-XZ-MSE-1.MAN.NE40E>dis cur int g 2/1/4.2000

#

interface GigabitEthernet2/1/4.2000

 pppoe-server bind Virtual-Template 1

user-vlan 200 250

 bas

 #

  access-type layer2-subscriber default-domain pre-authentication gewifi-nat-pre

  dhcp-broadcast

  nas-port-type 802.11

  roam-domain gewifi-nat.gd

  authentication-method web

  multicast copy by-session

 #

#

此问题今天我也遇到了（2018-9-25）这里边的解决方法是在NE40上把单播报文改为了广播，可是我上出口路由器是AR2200，没有该命令，是大写的尴尬！！！打了400问了华为工程师，并且把此案例中的问题也说了，一开始工程师给我是答复是很肯定不是此问题。后来收集了诊断信息后发现配置也没有什么问题，分析不出来按套路就只有进一步抓包喽。然后测试时我同事重新方了一个any区域到any区域bootpc和bootps的策略，其实就是dhcp了（一开始他想放dhcp，没有找到dhcp服务）放通策略后再测也就正常了，也就没有接下来抓包分析的过程了，给用户处理故障尽快恢复为原则不管那么多了，此时400又回复了电话，说我的问题跟此案例中问题是一致的，然后解决方法是可以在防火墙上开启firewall packet-filter basic-protocol enable此功能，针对dhcp、ospf、bgp、bfd等协议的，可以不受策略限制。再有遇到此问题的可以尝试一下了。

推荐本站淘宝优惠价购买喜欢的宝贝:

本文链接：https://hqyman.cn/post/4557.html 非本站原创文章欢迎转载，原创文章需保留本站地址！

休息一下~~