平仅约30秒后才能工作
今天我正在处理这个问题,我会喜欢你的想法。
有一个像这样的networking
局域网1 – 广域网 – 局域网2
LAN 1有两个段。
- 我无法ping通我的网关,但我可以ssh到远程服务器。 为什么?
- 无法ping通我的Ubuntu AWS实例
- 哪些IP地址用于监视Internet连接的可用性?
- 是否可以ping通NAT?
- 网站无法访问,而ping的作品?
当我从局域网1段1进行ping时,它就像一个魅力。
当我从局域网1段2 ping我没有ping,但约30秒后继续ping(ping -t)它开始工作完美。 经过一段时间没有与目标主机活动的问题再次发生。
跟踪路由数据包在目标之前的最后一个路由器中停止。 这是广域网通道之后LAN 2中的第一台路由器。
在下一个屏幕截图中,您可以看到thie问题,第一个ping在连续ping之前,第二个ping在连续ping运行。
先谢谢你
如果ping通过networking安全设备,有时会发生这种情况。 在某些情况下,通过DNS名称进行ping操作将触发UTM设备中的URLfilter。 得到正面或负面的反应可能需要几秒钟,这会导致ICMP延迟。 一旦收到了积极的回应,那么未来的ping将被允许,直到定时器到期。 这个逻辑取决于安全策略是如何build立的。
那么为什么第2部分会受到影响而不是第1部分呢? 在这个理论中,对于不同的细分市场来说,这是一个相当简单的政策。 也许在某种安全环境中有意想不到的后果是有意想不到的后果。
故障排除步骤
- 从您的网关设备本身Ping LAN 2。 查看是否可以使用段2上下文从设备进行ping。
- 捕获pinger和pingee的stream量,然后比较转储。 查看当Pinger发送和Pingee收到之间有多长时间的延迟。 如果仅仅是几毫秒,那么回程是有问题的。 如果是30秒,那么中间的一些设备正在保持stream量。
您的广域网通道是否包含透明网桥? 当透明网桥无法通过ARP时,我看到了这个问题。 如果是这种情况,请检查“学习”模式。 在我的情况下,我正在build立一个pfsense透明网桥,用pfsense连接服务器和办公室局域网的其余部分,不得不将学习模式从外部切换到服务器端(反之亦然 – 朦胧的内存)。
生成树?
如果可能的话检查生成树 ,如果networking中的设备正在生成树,则可能导致端口进入阻塞状态。 您的交换机或路由器必须遵循所有步骤:阻止,监听,学习状态,然后转发stream量。 这确实是大约30秒。
禁用生成树或在需要的端口上configurationPortfast可以解决问题。