客户HCI平台标准部署完毕已有多日,最近在对其一台虚拟机打完高危补丁重启后,发现业务不通,首先排查地址配置就发现问题,检查网卡上的地址配置,未发现问题,但是死活就是Ping不通网关,后在ipconfig /all发现异常。 地址死活写不上,获取的是169.25开关的地址,真实IP后面有个复制的字样 不生效,自己Ping自己都不通,然后尝试到平台里增加了一个新的网卡,也是同样的情况,写段内的其他任何地址都不生效。 又怀疑是sangfor_hcitool工具的问题,把tool卸载再试,并期间重启多次,发现还是相同情况。而且同在HCI中的虚拟机都有此问题,一开始地址是正常的,一但重新更换地址,或者重启,所写的地址就不生效了。 这里我要说一下客户的网络环境: 外网出口SANGFOR_AF,网关模式部署,三个区域WAN、LAN、DMZ,LAN口用的互联地址连接的核心交换机,网关在核心上;DMZ口串联的傻瓜交换机,网关在防火墙上;
然后在DMZ区所有交换机上进行排查均未发现异常, 一顿无效折腾,开始在虚拟机上抓包。 发现有arp回包提示地址冲突,可是DMZ段服务器就几台,所用IP屈指可数,不可能真正IP冲突。然后再去防火墙上检查,因为AF做的DMZ区的网关,本人实在没看出来是什么问题,后来请教400小哥,在400小可一段时间的排查下,找到了问题所在: 在防火墙上发现有条DNS代理的地址转换策略,防火墙这边的目的地址转换,如果目的地址选全部的话,他会代理之前的那个免费arp,因为目的地址选全部,防火墙机制的话会把ARP也一起代理。
果然,在目的地址对象中,排除了内网地址后,不用全部这个对象后,地址就可以正常写上了。 |