#原创分享#数据中心AF防护策略导致VMWARE虚拟机迁移报错失败排查

问题现象：

数据中心AF部署前客户网络环境为双机房，每个机房各有一台核心交换机，分别下连本地一台汇器汇聚交换机和另一个机房的一台汇聚交换机。数据中心AF虚拟网线模式部署到核心交换机与两台汇聚交换机之间。

当时实施部署完成之后，测试业务均正常。近期反映自从实施数据中心AF以后，虚拟机迁移报错并且失败，

具体迁移失败现象为

1、同机房同网段迁移成功。

2、同机房不同网段迁移失败。

3、不同机房同网段迁移失败。

4、不同机房不同网段迁移失败。

排查过程：

关系到vmware虚拟化，登录到vcenter，迁移虚拟机，故障现象与客户描述相同。由于处理此类问题比较少，因此一步步尝试。首先在AF故障排查中定向数据流分析，源地址与目的地址针对vcenter地址排查，均没有数据包被拦截到。再次针对源地址和目的地址为物理服务器地址排查，同时迁移虚拟机，看到失败现象，同时也能看到阻断的数据包，确认为数据中心AF阻断的原因。

处置方法：

与400工程师描述现象，提出两个处置方案。简单方案，直接把物理主机IP添加到白名单。设备中配置的方案为，在安全防护策略-高级设置-漏洞攻击防护排查设置中新增针对源地址、目的地址和端口允许的排除规则。从安全配置角度考虑，采用第二种配置方案。排除规则中，源IP可以编辑网须，目的IP需要将每一个物理服务器IP写入，无法编辑网段。因此vcenter中有多少台物理服务器，就需要新增多少排除规则。

最终结果：

新增排除规则后，测试虚拟机同网段、不同网段，不同机房迁移均恢复正常。由于数据中心AF部署在核心交换机与服务器汇聚交换机之间，配置防护策略后，除了vcenter虚拟化以外，也可能影响它各类业务，都可以采用此种方法排查。

感谢楼主分享，增加白名单是比较方便快捷的临时放通一些策略拦截的方法，后续遇到此类问题如果确认是正常业务建议可以临时增加白名单来恢复业务，或者直接联系400排查一下看看是否是规则误判。期待楼主有更加精彩的分享~

感谢分享