약 3개월 전부터 우리 네트워크에서 이상한 현상이 일어나기 시작했습니다.
먼저 네트워크 레이아웃을 설명하겠습니다(공개할 수 있는 세부 정보만 설명).
- 우리는 인터넷을 통해 클라이언트 네트워크에 VPN 연결을 설정하는 라우터를 가지고 있습니다.
- VPN 연결을 위한 체크포인트
- 라우터의 특정 모델을 모릅니다. 하지만 우리 IT 관리자는 이를 "Nokia 방화벽"이라고 부릅니다.
- 워크스테이션에는 인터넷과 VPN에 액세스할 수 있도록 게이트웨이가 라우터의 IP 주소로 설정되어 있습니다.
그래서 여기에 질문이 옵니다:
약 4개월 전, Linux 워크스테이션의 인터넷과 VPN 연결이 간헐적으로 끊어졌습니다. Windows 워크스테이션에서는 이런 일이 발생하지 않습니다. 이 문제는 Linux에서 실행되는 시스템에만 영향을 미치는 것 같습니다.
패킷이 게이트웨이로 전송되었지만 응답이 수신되지 않는 것을 볼 수 있습니다. 이는 약 3~5분 동안 지속된 후 인터넷과 VPN 연결이 다시 설정됩니다. 우리는 이 사건에 어떤 패턴도 보이지 않습니다. 위의 문제는 몇 초에서 몇 시간마다 반복됩니다.
Linux 워크스테이션의 문제를 해결하기 위해 우리는 그 중 몇몇을 다른 게이트웨이로 전환해 보았습니다. 일반 라우터(GateWay-B라고 부르겠습니다). 다른 게이트웨이를 사용할 때는 이 문제가 발생하지 않습니다.
내가 한 일 중 하나는 다음과 같이 IP 테이블을 설정하는 것이었습니다.
- VPN을 통해 워크스테이션에 바인딩된 모든 패킷은 "Nokia/checkpoint" 게이트웨이를 사용합니다.
- 다른 모든 패킷은 다른 게이트웨이-B를 사용합니다.
이를 통해 더 이상 인터넷 연결이 끊어지지 않습니다. 그러나 VPN 연결은 여전히 불안정했습니다.
질문:
문제가 무엇인지 아시는 분 계신가요? 게이트웨이는 수신 패킷이 들어오는 운영 체제를 확인할 수 있습니까?
답변1
이것은 잠재적으로 arp 캐시 혼란처럼 들립니다.
한 가지 가능성은 Nokia Firewall이 고가용성(HA) 쌍의 일부인 경우 일부 장애 조치 또는 로드 밸런싱 이벤트가 발생할 수 있다는 것입니다. HA 쌍이 존재하고 그 중 하나가 활성 방화벽이 되는 경우 Linux 워크스테이션은 잘못된 arp 캐시 항목으로 인해 계속해서 잘못된 방화벽에 요청을 보낼 수 있습니다.
다음에 VPN 사이트 연결이 끊어지면 쉽게 테스트할 수 있습니다. Linux 워크스테이션에 iproute패키지가 설치되어 있는지 확인하십시오. 실행합니다 ip neigh flush dev eth0(올바른 인터페이스 교체). 이렇게 하면 트래픽을 올바르게 전달하는 방화벽의 하드웨어 주소를 사용하여 다시 채워질 때까지 arp 캐시가 일시적으로 지워집니다.
어떤 하드웨어 주소가 트래픽을 올바르게 전달하고 있는지 알 수 있는 경우 이를 정적 arp 매핑으로 추가할 수 있습니다(이로 인해 방화벽에서 수행되는 HA 또는 로드 밸런싱이 중단될 수 있음).
궁극적으로 이 문제는 방화벽 유지 관리 및 구성을 담당하는 그룹에 지적되어 문제가 해결될 수 있도록 해야 합니다.