首页帮助文档按产品找软件故障案例按场景找工具工具全景图兼容性查询在线实验平台服务信息查询产品安全中心订单验收材料下载
下一代防火墙AF
下一代防火墙AF 【AF】防火墙处理同一个IP地址的MAC地址变化问题

【AF】防火墙处理同一个IP地址的MAC地址变化问题

更新时间:2023-06-13 23:18:02
客户反馈华为视频会议客户端和视频会议服务器SC之间注册交互数据穿过防火墙出现注册不成功问题,
视频会议SC服务器有两台主机组集群。两个主机的IP地址和MAC地址分别为172.16.76.5(cc:bb:fe:68:2e:e0)和172.16.76.6(60:08:10:03:1e:60),SC的集群IP为172.16.76.7,集群MAC地址为两个主机其中一个主机为active状态的MAC地址,视频会议客户端地址为172.16.19.121与视频会议SC服务器集群172.16.76.7进行数据通信的,现在现象问题是SC服务器172.16.76.5切换为主机时,客户端可以正常注册成功,但是SC服务器172.16.76.6切换主机时,客户端一直注册不成功,
当华为视频会议SC集群主机切换时,发现客户端无法注册到SC服务器,影响视频会议不能正常连接。
经过确认视频会议客户端和视频会议SC服务器交互数据的拓扑如下
在防火墙和客户端连接那个接口抓包与防火墙和SC服务器连接那个接口抓包对比两个数据包情况,发现H323请求包穿过防火墙时,经过抓包发现防火墙将H323请求包的目的MAC为cc:bb:fe:68:2e:e0,此时SC服务器集群MAC地址应该是60:08:10:03:1e:60,出现该H323请求包到SC服务器端不回包现象,导致客户端一直注册不成功。
以下抓包可以看出防火墙已经学习到真实MAC地址60:08:10:03:1e:60
此时防火墙将H323请求包丢给MAC为cc:bb:fe:68:2e:e0,出现不回包现象


因为华为视频会议SC服务器是集群模式,客户端访问SC服务器IP是集群IP(172.16.76.7),这种情况会出现集群IP的MAC地址不断变化,由于防火墙没有启用“与其他双机对接”功能选项,导致防火墙针对H323请求包转发异常。
需要启用防火墙的“与其他双机对接”功能,它是针对解决这个同一个IP mac变化的问题的一个功能选项
当防火墙部署遇到类似这样客户业务出现双机集群部署并且有同一个IP的mac不断变化的问题,可以启用防火墙网路参数的“与其他双机对接”功能解决。