問題描述:
雙出口,一主一備,備的公網口ping不通,接口也開啟了源進源出
排查步驟:
(1)接口是否開啟了通路管理
看配置,開啟了ping的
(2)采集會話
沒有會話
(3)流量統計
流量統計發現丢包了,ip欺騙丢包
(4)檢視攻擊防範,發現勾選了ip欺騙攻擊防範,取消勾選後,可以正常ping通了
根因
當裝置工作在透明模式或者多出口場景下,或應用了政策路由時,不能配置IP欺騙攻擊防範功能。
此問題不同于源進源出,是由于裝置機制導緻,配置防IP欺騙功能後,加上營運商選路功能,裝置會認為封包的入接口和反向回包(營運商選路決定)應該走的出口不同的話,即認為是攻擊封包,予以丢棄不回包。
開啟源進源出亦可以解決問題,人為決定了比如移動使用者的通路回包再從移動出口出去,即保證了入包和回包接口一緻,而不被裝置丢棄。
預設情況下,IP Spoofing攻擊防範功能處于關閉狀态。裝置對封包的源IP位址進行路由表反查,如果反查下一跳最佳出口和封包的入接口不相等,則視為IP欺騙攻擊,丢棄該資料包。 說明: 由于這種防範機制基于裝置與源IP位址之間是否路由可達,可能會存在誤報可能。當裝置工作在透明模式或者多出口場景下,或應用了政策路由時,不能配置IP欺騙攻擊防範功能。
而客戶場景,比對多出口,且開啟了攻擊防範。懷疑是此影響。嘗試關閉IP欺騙攻擊防範功能,觀察測試問題解決。
解決方案
關閉防ip 欺騙攻擊功能測試:undo firewall defend ip-spoofing enable。
解決。
建議與總結
當裝置工作在透明模式或者多出口場景下,或應用了政策路由時,不能配置IP欺騙攻擊防範功能。