SSL VPN集群所遇到的奇葩问题
  

justgonnab 4201

{{ttag.title}}
最近项目上两台7150SSL VPN集群出了问题,具体现象如下:

出现问题时集群的两台VPN(IP最后一段分别为185和186,集群IP187),185上的所有用户无法访问发布的资源,而186上的用户可以正常访问没有问题,并且基本会每天持续5~10分钟左右,现象很短,这给问题排查带来了不少难度。

当然了,在第二次出现问题的时候首先想到的就是拨打咱们的强大400售后,和后台工程师大致说明情况后,等到第二次出现问题时粗略看了下,二话不说拉了咱们的TD研发技术支持……

看来问题不简单啊,然后三人拉到一个群,天天有情况就群里吼一声赶紧到VPN后台ping一ping抓抓包什么的。

前几次排查由于问题时间短,操作也比较慌忙,TD在后台ping内网服务器地址——不通,ping网关(190)——不通(第一次ping错了……),好吧那可能是设备到网关链路出了问题。

VPN这边的拓扑很简单,两台VPN分别连接到两台二层交换上,两台二层交换堆叠,也就是说逻辑上两台VPN实际连接到同一台交换机上。到机房检查线路、指示灯发现没什么问题。然后telnet到交换机上查看arp吧……


也没有发现一个IP地址对应多个MAC地址啊,应该是没有IP地址冲突的问题,而且这里IP地址管理严格并且只给VPN划分了/29的掩码为一个VLAN基本上不会出现IP地址冲突的问题,所以这个原因排除。

那是不是交换机端口报错?


看了下errors和collisions数量都为0,这里也没有什么问题。

然后恰巧此时VPN又出现访问不了资源的问题了,而且这次我发现我的VPN在186上,貌似是分配到两台VPN上的用户都无法访问资源。赶紧联系工程师后台排查。

后台ping了一下内部的服务器IP不通……返回来再ping服务器网关结果通了!!再返回去ping内网服务器IP也通了……现象消失了……
这真是难为我们这TD了,到最后也不知道问题出现时网关通不通。


太费劲了,不过后台工程师大致感觉应该是出现问题时VPN与网关之间是无法互通的,那么结合我之前的排查结果应该是VPN这边的问题了,究竟什么问题?后台工程师推测:结合刚才排查的现象,如果ping服务器不通而ping网关才彻底通,则可能是二层ARP没有发包获取网关的MAC地址……从而VPN ping不通网关,也就产生了资源无法访问的故障。(其实也不准确,如果ping不同网段的地址设备不是会先找网关吗,那肯定会找网关的MAC地址然后通信)随后工程师做了个free arp脚本在后台进行观察。

等正式结果出来后我也会在这里跟大家分享!

捎带科普:
免费ARP:主要用于检测网络中IP地址是否冲突,它是一种功能而非协议。当设备重启或代理ARP功能开启时就会向本地网络主动发免费ARP以检测IP地址是否冲突。免费ARP是以源、目的IP都是自己,源MAC也是自己,目标MAC是广播,即向自己所在网络请求自己的MAC地址,当网络中如果有其他主机使用了与自己相同的IP地址,他就会给主机一个ARP回复,此时如果发免费ARP的主机收到了回复就证明自己所用的IP地址有冲突,如果没有收到回复则说明没有IP地址冲突。

打赏鼓励作者,期待更多好文!

打赏
2人已打赏

阿威十八式 发表于 2024-7-14 09:58
  
每天坚持打卡学习签到!!
西红柿煮番茄的猫 发表于 2024-6-22 10:15
  
打卡学习,感谢大佬分享!
玉米 发表于 2021-6-18 23:05
  
很好很强啊!                  
新手486484 发表于 2021-6-18 22:58
  
很好很强啊!                  
这不科学啊 发表于 2018-11-21 09:46
  
没看懂,也没有拓扑图,听描述好像是内网故障?
猫线 发表于 2018-6-5 10:32
  
谢谢分享,后面的科普也是棒棒哒~(。≧3≦)ノ⌒☆
慈行普度 发表于 2018-1-16 17:12
  
很好很强啊!
陈氹 发表于 2017-11-28 21:16
  
我都不怎么看得懂
Sangfor_闪电回_朱丽 发表于 2017-11-27 09:05
  
期待最后的结果
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
干货满满
每日一问
技术笔记
新版本体验
【 社区to talk】
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版版主

3
0
3

发帖

粉丝

关注

27
77
84

发帖

粉丝

关注

本版达人

新手24268...

本周建议达人

阿凯

本周分享达人

新手39341...

本周提问达人