謹慎使用安全設備透明橋

最近，筆者處理了一個安全設備透明橋引起的二層環路問題，雖然大部分安全設備支持二層透傳，而我們常常又將二層透傳看成一條二層鏈路，但這個環路問題使得我們不得不思考，透明橋與純二層鏈路到底有什么差別？

故障現象

筆者單位網絡結構如圖1所示，防火墻采用主備部署形式，造成備鏈路無法通信。核心交換機上聯鏈路采用VRRP方式進行冗余。為使單根鏈路實現VRRP功能，兩臺交換機互相冗余，在上網行為審計設備上做出了如下的LAN 劃分 ：1、2 對應 3；1、2對應4。

為了解新增上網行為審計設備對整個網絡流量的影響，使用360自帶軟件測速時，會造成1分鐘左右的互聯網中斷，隨后沒有任何外來干預網絡自行恢復。周期性重復斷網，每次觸發時間不固定。

圖1 網絡拓撲結構

故障排查

通過PC端Tracert命令進行分段排查，發現在斷網期間流量可以到達核心交換機，但是到達不了上網行為審計設備。

登錄核心交換機主備設備，查看生成樹狀態與VRRP狀態，發現VRRP主備狀態正常，但是用于和上網行為審計設備互聯的VLAN，主備交換機均處于Forwarding狀態，問題癥結找到了。

故障分析

透明網橋采用的算法是逆向學習法（backward learning），網橋按混雜的方式工作，故它能看見所連接的任一LAN上傳送的幀。

到達幀的路由選擇過程取決于發送方所在的LAN（源LAN）和目的地所在的LAN（目的LAN），如下所示：

1.如果源LAN和目的LAN相同，則丟棄該幀。

2.如果源LAN和目的LAN不同，則轉發該幀。

3.如果目的LAN未知，則進行擴散。

在本次實施中，為了提高可靠性，在LAN之間設置了并行的兩個或多個網橋，但是，這種配置在拓撲結構中造成了回路，引發了流量的無限循環。

同時由于上網行為審計設備透明橋模式不是真正意義上的二層鏈路，設備本身不支持生成樹，而透明橋又沒有將生成樹信息傳遞給對端，造成主備交換機VRRP同時工作，同時收發流量。但是，能夠處理流量的只有主交換機，有一部分流量產生環路：主交換機→透明橋→備交換機→主備交換機間Trunk鏈路→主交換機。環路觸發了上網行為審計設備的保護措施，或者到達上網行為審計設備的轉發性能極限，最終造成斷網。

圖2 重新規劃LAN后的網絡拓撲

故障解決

交換機上聯鏈路取消交換機VRRP冗余方式，上網行為審計設備LAN重新規劃為：1對應 3；2對應 4的兩兩互聯模式，并且在交換機上采用優先級不同的默認路由提供冗余。修改后的網絡結構如圖2所示。修改完成后，整個網絡恢復正常。