Đây thực sự là một vấn đề kỳ lạ .
Tôi đang cố gắng cài đặt Juniper SRX 220H làm cổng để thay thế bộ định tuyến Cisco cũ trong môi trường mạng thử nghiệm của mình. Cấu trúc liên kết đơn giản được liệt kê dưới đây:
ISP ----- ONT ----- SRX ----- Other devices (Routers, switches, client computers...)
Liên kết từ ISP đến SRX là liên kết trung kế 802.1Q chứa hai Vlan (Vlan 35 để truy cập Internet, địa chỉ IP được gán bởi DHCP, cho thuê trong 20 phút. Vlan 34 cho IPTV không được sử dụng ở đây).
SRX có thể có được địa chỉ IP từ ISP lúc đầu. Sau 12 đến 17 phút (sau lần gia hạn thuê DHCP đầu tiên và trước lần gia hạn thứ hai), SRX bị mất quyền truy cập Internet (không thể ping cổng). Không có gì đặc biệt hoặc thậm chí là một thông báo trong nhật ký hệ thống hoặc trạng thái hệ thống. "Giao diện hiển thị" cho biết mọi thứ hoạt động tốt. Nhưng không có lưu lượng truy cập nào trong ge-0/0/0. Nếu tôi rút cáp hoặc khởi động lại SRX, nó sẽ hoạt động thêm 12 đến 17 phút nữa và sau đó tất cả lưu lượng truy cập sẽ bị dừng lại.
Trước khi tôi cài đặt SRX này, bộ định tuyến cũ của Cisco có cùng cấu hình hoạt động mà không gặp sự cố nào.
Bất kì manh mối nào?
Cấu hình một phần của SRX được liệt kê dưới đây:
interfaces {
ge-0/0/0 {
unit 0 {
family ethernet-switching {
port-mode trunk;
vlan {
members vlan-internet;
}
}
}
}
ge-0/0/1 {
unit 0 {
family ethernet-switching {
vlan {
members vlan-trust;
}
}
}
vlan {
mac xx:xx:xx:xx:xx:xx;
unit 0 {
family inet {
address 192.168.99.254/24;
}
}
unit 35 {
family inet {
dhcp;
}
}
}
}
vlans {
vlan-internet {
vlan-id 35;
l3-interface vlan.35;
}
vlan-trust {
vlan-id 3;
l3-interface vlan.0;
}
}
Cấu hình tương ứng của Cisco:
interface GigabitEthernet0/0
description WAN
mac-address xxxx.xxxx.xxxx
no ip address
duplex auto
speed auto
media-type rj45
no negotiation auto
!
interface GigabitEthernet0/0.35
description FibreOP-Internet
encapsulation dot1Q 35
ip address dhcp
ip nat outside
ip virtual-reassembly in
!
BIÊN TẬP:
Tôi đã thay thế cáp kết nối ISP và SRX ge-0/0/0. Không có gì tốt đẹp cả.
EDIT2:
Tôi đã cấu hình một bộ chuyển mạch dự phòng của Cisco để mô phỏng môi trường ISP của tôi. Thân Vlan và thời hạn thuê DHCP tương tự được đặt. Sau đó, tôi kết nối ge-0/0/0 của SRX với công tắc đó. Cấu hình của SRX được giữ nguyên. Trong thí nghiệm này, SRX hoạt động bình thường. Điều này khiến tôi thực sự bối rối.
EDIT3:
Đầu ra được yêu cầu bởi @ryanklein
root@Firewall> show dhcp client statistics
warning: dhcp-service subsystem not running - not needed by configuration.
root@Firewall> show dhcp client binding
warning: dhcp-service subsystem not running - not needed by configuration.
EDIT4:
Đầu ra được yêu cầu bởi @ryanklein
root@Firewall> show system services dhcp statistics
Packets dropped:
Total 0
Messages received:
BOOTREQUEST 0
DHCPDECLINE 0
DHCPDISCOVER 0
DHCPINFORM 0
DHCPRELEASE 0
DHCPREQUEST 0
Messages sent:
BOOTREPLY 0
DHCPOFFER 0
DHCPACK 0
DHCPNAK 0
root@Firewall> show system services dhcp client
Logical Interface name vlan.35
Hardware address xx:xx:xx:xx:xx:xx
Client status bound
Address obtained 142.xxx.xxx.xxx
Update server disabled
Lease obtained at 2015-01-18 03:35:47 NST
Lease expires at 2015-01-18 03:55:47 NST
DHCP options:
Code: 1, Type: ip-address, Value: 255.255.252.0
Name: server-identifier, Value: 142.yyy.yyy.yyy
Name: router, Value: [ 142.xxx.xxx.1 ]
Name: name-server, Value: [ 47.55.55.55, 142.166.166.166 ]
root@Firewall>
EDIT5:
Tôi đã thu thập dữ liệu giữa SRX và ISP và thấy một cái gì đó có thể hữu ích.
Sơ đồ cấu trúc liên kết được cập nhật (thêm thiết bị ONT bị thiếu giữa SRX và ISP).
Khi Internet không còn, giao tiếp lớp 2 giữa ONT và SRX vẫn hoạt động. Dường như ONT tiếp tục gửi yêu cầu truy vấn ARP đến địa chỉ IP mà ISP của tôi được gán cho SRX. Sau khi hết Internet, tôi vẫn có thể thấy những yêu cầu và phản hồi ARP đó. Tôi nghĩ rằng hành vi này chỉ ra rằng ONT không phải là gốc rễ của vấn đề này.
Khi Internet không còn, các gói yêu cầu DHCP sẽ không nhận được phản hồi như các lưu lượng khác. Tôi đã cố gắng gia hạn địa chỉ IP của mình trên SRX sau khi Internet không còn nhưng không thành công. Các dữ liệu được chụp cho thấy rằng không có phản hồi từ phía xa.
Gia hạn DHCP thành công khi Internet bình thường. Khi tôi phát hành "yêu cầu dịch vụ hệ thống dhcp client gia hạn vlan.35", tôi có thể thấy yêu cầu DHCP và DHCP ACK tương ứng.
(INCORRECT. Xem mục tiếp theo) Khi Internet không còn, hãy giải phóng hợp đồng thuê DHCP hiện tại và yêu cầu một cái mới sẽ khôi phục kết nối. Tôi đã cố gắng phát hành hợp đồng thuê DHCP hiện tại và gia hạn nó, sau đó SRX có một địa chỉ IP mới và Internet đã hoạt động trở lại. Dữ liệu thu được cho thấy mặc dù một gói yêu cầu DHCP không nhận được phản hồi (xem bên trên), gói phát hành DHCP dẫn đến phản hồi DHCP NAK . Sau đó, một khám phá DHCP được phát hành và nhận được ưu đãi DHCP chính xác. Sau đó, Internet đã trở lại. Tuy nhiên, khi tôi cố gắng lặp lại kết quả này, không có gì tốt: cả phát hành DHCP và DHCP phát hiện đều không nhận được phản hồi. Tôi đã ban hành lệnh phát hành và gia hạn chỉ sau một lệnh gia hạn. Tôi không chắc hành vi không phản hồi là do gửi các gói đó quá nhanh hay không.
Sau khi hết Internet, hãy đưa ra yêu cầu khám phá DHCP và xử lý như yêu cầu lần đầu sẽ khôi phục kết nối Internet. Dữ liệu thu được cho thấy rằng khi hết Internet, việc phát hành gói yêu cầu DHCP sẽ dẫn đến phản hồi DHCP NAK. Kết hợp với kết quả từ mục trước, phát hành cả yêu cầu DHCP và phát hành DHCP sẽ dẫn đến DHCP NAK. Tuy nhiên, xử lý như thể đây là lần đầu tiên yêu cầu địa chỉ IP từ máy chủ DHCP (gửi DHCP khám phá sau đó yêu cầu DHCP) sẽ nhận được kết quả tích cực và khôi phục quyền truy cập Internet. CẬP NHẬT: Có vẻ như NAK không phải lúc nào cũng được gửi ... đôi khi yêu cầu / phát hành DHCP được trả lại bằng DHCP NAK, đôi khi chỉ im lặng ...