一次奇怪的网络故障―――浅谈IP路由重定向问题

摘　要：ip redirect用于数据包的重定向并向源发送一个ICMP信息：假设一个局域网中有两台路由器，R1和R2，同时该LAN中有一台PC，该PC的缺省网关为为R1,当PC要访问A网段时，将数据包转发到R1，R1检测到到达A网段将路由到R2，所以将数据从以太口返回，并转发到R2出去，同时向PC发送ICMP信息，告诉它以后将到达A网段的数据发往R2出去。

关键词：icmp ；redirect； ip redict

我单位在一次网络改造完成后，网络运行一小段时间，出现一个故障，困扰我们很久，经过各种方法测试，最后故障得以排除，现将自己解决问题过程和心得与大家分享。
　　我单位网络结构：
　　
    网络情况简要介绍：中心交换机为avaya p882，转发能力为108Mbpps，与互联网相隔离使用东软防火墙Neteye4032，局域网根据部门和业务划分成不同的VLAN。其中服务器群组使用vlan15，ip段为173..128.15.0/24,interface为173.128.15.1/24，DNS服务器为173.128.15.15/24,防火墙内口地址为173.128.15.6/24,p882默认路由为0.0.0.0 0.0.0.0  173.128.15.6，其余的vlan见上图表格所示。
   故障现象：网络改造刚完成，所有访问均正常，过2个星期后，出现所有内网机子均不能访问互联网，内网不同vlan相互之间可以访问，但变慢，最后内网不同valn之间访问中断，相同vlan之间访问正常。检查P882日志无任何异样记录，重启P882，所有网络恢复正常，大约过3－4天又出现相同网络故障。
   解决过程：先声明一点，未进行网络改造前，我单位使用1个B类网地址，173.128.0.0/16，DNS服务器为 173.128.15.15/16，防火墙内口地址为173.128.15.6/16。
　　请厂家来进行诊断和调试：
① 怀疑电信网络有问题，出现故障问题后，将一台笔记本直接挂在外网，能正常访问互联网；
② 怀疑内网有对交换机和防火墙进行攻击导致，对内网所有vlan进行抓包，是有几台机子有发广播现象，清除这些微机，故障发生时间会间隔长一些，还是不能根本解决问题；
③ 怀疑防火墙有问题，故障出现时，防火墙内网口单独接笔记本，能正常访问互联网；
④ 怀疑防火墙处理能力有限，更换一台cisco PIX515，进行测试，故障现象照样存在；
⑤ 当时怀疑可能核心交换机avaya p882有问题，要求厂家更换，几经交涉未果。
　　请厂家来进行诊断和调试，先后进行3次，均未解决，最长时间坚持2星期，同样故障出现，厂家也没有解决手段。
　　经过一段时间网络运行情况，大家几乎对这次改造否定时，我们做了最后一次努力，如果不成功，将恢复到原来B类网，网络改造失败，工作量大，影响极坏。
⑥ 当时分析，可能是防火墙和核心交换机之间访问出现环状，导致网络故障发生。将防火墙内口地址改为173.128.82.6/24，在p882上单独建一个vlan 82，interface为 173.128.82.1/24,，默认路由改为0.0.0.0  0.0.0.0  173.128.82.6/24，在vlan82这个段中不允许有客户端存在。
 故障彻底消除，再也未发生这种网络故障。
处理后网络概图：

   原因分析：经过这次网路故障处理，查找相关资料，冷静思考和推敲，发现这是IP地址重定向的问题。
　　 
　　173.128.15.6/24为防火墙内口地址
　　P882故障处理前大致配置如下：
　　　　　… …   … …
　　Vlan1
　　… …   … …
　　 Vlan15
　　… …   … …
     Interface vlan1
　　　Ip address 173.128.1.1 255.255.255.0
　　　!
　　… …   … …
     Interface vlan15
      Ip address 173.128.15.1 255.255.255.0
     !
     … …   … …
     Ip classless
     Ip route 0.0.0.0  0.0.0.0  173.128.15.6
     no ip http server
     !
     … …   … …
     客户端网关指向核心交换机，上网速度奇慢，甚至中断故障，而防火墙速度正常。
     Ip redirect 是ICMP协议中规定的一种状态，在此次网络故障中所有上互联网数据包都通过173.128.15.1再转发防火墙173.128.15.6, 173.128.15.6发现173.128.15.1以及所有客户机都在一个网段，173.128.15.6就会给客户机发送icmp redirect报文，告诉客户机往外访问的下一跳地址指向173,128.15.1,而DNS服务器又是173.128.15.15。如果客户机是UNIX操作系统，操作系统会自动在主机路由表中加入这个信息，这样客户机就不必通过173.128.15.6来转发数据包，但windows主机无此功能。所以造成核心交换机不断给用户发送ICMP redirect报文，导致整个网络故障。以后配置三层交换机或路由器接口时，均加入no ip redirect ,防止ip重定向。