F5和CheckPoint組網(wǎng)中，一次蹊蹺的網(wǎng)絡故障排查。

故障描述

        客戶網(wǎng)絡拓撲圖如下圖所示，整體架構采用典型的口字型連接方式。問題出在F5和CheckPoint Open Server軟件防火墻之間，當CheckPoint進行主備切換，從CheckPoint上ping公網(wǎng)IP地址時，往返路徑不一致。

故障分析

        在此網(wǎng)絡中，能夠改變數(shù)據(jù)包走向的設備，只能是F5，因此將目光聚焦在F5的配置上。F5設備既包含內(nèi)網(wǎng)應用發(fā)布的功能，又充當Outbound方向的鏈路負載均衡角色。

        經(jīng)過梳理，最終定位到F5上的“Auto Last Hop”功能：

        開啟此功能，F(xiàn)5會記錄防火墻第一次請求的MAC地址，這樣就意味著數(shù)據(jù)包從哪個MAC地址過來后，會再從這個MAC回去，并不會走路由表，即使防火墻發(fā)生主備切換，F(xiàn)5還是會找之前防火墻的MAC，比如說ping包從A防火墻轉(zhuǎn)發(fā)到F5，此時防火墻發(fā)生主備切換，B防火墻變?yōu)橹鲏?，理論上來講數(shù)據(jù)包會回到B，但由于auto last hop特性，ping包此時會回到A，即從哪個MAC過來，就從哪個MAC回去，源進源出機制。

解決方案

關閉該功能即可，有兩種方法：

一、針對某個VS關閉該功能

二、針對全局關閉該功能

建議針對某個VS關閉該功能，避免影響其他業(yè)務。

一點心得

    透過現(xiàn)象看本質(zhì)，一切異常皆有據(jù)可查。