在使用中華電信的光世代線路時
MAC Address重複導致無法上網的機率很高嗎....
我們這裡防火牆是使用Active-Active的機制,對外的會有一個CVI MAC
而這MAC是由系統自動自動產生,當下的MAC為02-03-04-05-06-XX
外部連線要進來建立TCP時接收到SYN後,設備有送出SYN/ACK
但從TCPDump看起來是對方好像一直沒收到SYN/ACK
所以設備一直重複送SYN/ACK出去,此時MAC是用02-03-04-05-06-XX與對方建立連線
但如果我從防火牆Node去測試Ping 168.95.1.1,此時出去的MAC為Interface真實的MAC,這時候會通的
在設備出現異常時只要針對故障節點ReOnline就會恢復正常
原廠有提到我做了ReOnline時,防火牆的A-A機制會對線路送出Gratuitous ARP
問題時間線
2021年7月 ->啟用新防火牆
2022年10月中 ->中華電信光世代改接通知,更換局網BRAS,同時更換數據機
2022年11月初 -> Firewall初次發生連線無法建立
目前懷疑
1.MAC Table塞爆
2.MAC 重複
圖為TCP Dump
各位能想的道還有可能是什麼問題嗎...
已邀請的邦友 {{ invite_list.length }}/5
打去客服, 問你們的線路有沒有打開資安艦隊服務?
有的話, 請他先關掉....
我們只有單純使用線路,中華電信綁定的服務都沒開
原廠是有這一份KB,所以才會讓我懷疑是不是MAC衝突
https://support.forcepoint.com/s/article/CVI-mac-addresses-avoid-duplicates
那就請原廠工程師來解決問題.
解決完了再去問他原理, 會比自己亂猜白走冤枉路要快.
每一種防火牆的 A-A 備援方法都不相同, 只有原廠自己知道. 除非你用的是開源軟體, 大家都可以看到原始碼, 否則, 沒有人知道某個品牌裡面藏了甚麼超乎意料之外的設計.
有的,這件問題發生的時候 就有開CASE請原廠分析了
分析了半年,原廠是偏向線路異常
因我在設備出現異常時只要針對故障節點ReOnline就會恢復正常
原廠有提到我做了ReOnline時,防火牆的A-A機制會對線路送出Gratuitous ARP
以前有這種現象的時候
通常是要請ISP業者局端重啟一下那個port
不是重啟小烏龜
這應該是ISP局端設備判斷MAC有變動
所以不讓新MAC在網路IP層通過
如果你的防火牆會在某情況下變動MAC
即使他變動回來原MAC也會造成局端不通
此時只有我說的上述辦法了
(你很難讓原廠改他既定運作模式)
不過這只是我個人的經驗
提供您參考
NCIC的運作確實是這樣 他會鎖定第一次上來的MAC
中華的話我測試,如果是新的MAC,他會記錄之後可正常上網,但你有說對,局端有說如果我有這種狀況發生,可以與他們聯絡測試一下重啟Port讓系統重新學習
就是因為這點所以我才會認為是局端MAC相關問題
其實照這樣來說局端比較站得住腳
因為一般情況客戶端不會隨便換設備(換MAC)
而你防火牆的機制是虛擬MAC又會變動
所以我才說你很難讓這些原廠改模式了
如果一直會造成公司的困擾
就去取買台SD-WAN設備嘍
較佳的SLA對公司比較有正當的說法
又可以解決問題
(小弟個人淺見,大大隨意參考)
防火牆的機制是虛擬MAC 但不會跳動
其實這台本身就有SD-WAN的功能了 只是涵蓋了LoadBalance
加上Active-Active的特性
請中華電信換別的型號,比較舊型的數據機試試,很大的機會可能就莫名奇妙好了哦
最近的心得XD
iThome鐵人賽
看影片追技術