今天我正在研究这个问题,我很想听听您的想法。
有一个网络有类似的东西
LAN 1 -- WAN 通道--- LAN 2
LAN 1 有两个段。
当我从 LAN 1 段 1 进行 ping 时,它运行正常。
当我从 LAN 1 段 2 执行 ping 操作时,没有 ping 成功,但大约 30 秒后继续 ping(ping -t),它开始正常工作。在目标主机没有活动一段时间后,问题再次出现。
跟踪路由数据包在到达目标前的最后一个路由器处停止。这是 WAN 通道之后 LAN 2 中的第一个路由器。
在下一个屏幕截图中,您可以看到这个问题,第一次 ping 是在连续 ping 之前,第二次 ping 是在连续 ping 运行期间。
先感谢您
答案1
如果 ping 穿过网络安全设备,有时会发生这种情况。在某些情况下,通过 DNS 名称进行 ping 将触发 UTM 设备中的 URL 过滤器。可能需要几秒钟才能获得肯定或否定的响应,这会导致 ICMP 延迟。一旦收到肯定的响应,则允许未来的 ping,直到计时器到期。该逻辑取决于安全策略的设置方式。
那么,为什么受影响的是段 2,而不是段 1?从这个理论来看,这很简单,即针对不同段采用不同的策略。也许某种安全环境中存在故意的差异,从而产生了意想不到的后果。
故障排除步骤:
- 从网关设备本身 ping LAN 2。查看是否可以使用 Segment 2 上下文从设备 ping。
- 捕获来自 ping 发送方和 ping 接收方的流量,然后比较转储。查看 ping 发送方和 ping 接收方之间有多长时间的延迟。如果只有几毫秒,那么回程肯定有问题。如果是 30 秒,那么中间的某个设备正在拦截流量。
答案2
您的 WAN 通道是否包含透明桥?当透明桥无法传递 ARP 时,我见过此问题。如果是这种情况,请查看“学习”模式。就我而言,我正在建立一个 pfSense 透明桥,使用 pfSense 将服务器与办公室 LAN 的其余部分连接起来,并且必须将学习模式从外部切换到服务器端(反之亦然 - 记忆模糊)。
答案3
生成树?
如果可能的话检查生成树,如果网络中的设备正在执行生成树,则可能导致端口处于阻塞状态。您的交换机或路由器必须遵循所有步骤:阻塞、侦听、学习状态,然后才能转发流量。这确实需要大约 30 秒。
禁用生成树或在需要的端口上配置Portfast可以解决问题。