pingは約30秒後にのみ機能します
今日私はこの問題に取り組んでいます、そして私はあなたのアイデアが大好きです。
このようなネットワークがあります
LAN 1-WANチャネル--- LAN 2
LAN1には2つのセグメントがあります。
LAN 1セグメント1からpingを実行すると、チャームのように機能します。
LAN 1セグメント2からpingを実行すると、pingが発生しませんが、約30秒間pingを続行すると(ping -t)、完全に機能し始めます。宛先ホストでアクティビティがない状態がしばらく続くと、問題が再び発生します。
ルートパケットのトレースは、ターゲットの前の最後のルーターで停止します。これは、WANチャネルの後のLAN2の最初のルーターです。
次のスクリーンショットでは、この問題を確認できます。最初のpingは継続的なpingの前であり、2番目のpingは継続的なpingの実行中です。
前もって感謝します
これは、pingがネットワークセキュリティデバイスを通過している場合に発生することがあります。場合によっては、DNS名でpingを実行すると、UTMデバイスでURLフィルターがトリガーされます。正または負の応答が得られるまでに数秒かかる場合があり、ICMPの遅延が発生します。肯定応答を受信すると、タイマーが期限切れになるまで、今後のpingが許可されます。そのロジックは、セキュリティポリシーの設定方法によって異なります。
では、なぜセグメント1ではなくセグメント2が影響を受けるのでしょうか。この理論では、セグメントごとにポリシーが異なるという単純な問題です。おそらく、意図しない結果をもたらしているある種のセキュリティコンテキストに意図的な違いがあります。
トラブルシューティング手順:
- ゲートウェイデバイス自体からLAN2にpingを実行します。セグメント2コンテキストを使用してデバイスからpingできるかどうかを確認します。
- ピンガーとピンジーの両方からトラフィックをキャプチャしてから、ダンプを比較します。ピンガーが送信してからピンジーが受信するまでの遅延の長さを確認してください。ほんの数ミリ秒の場合は、復路に問題があります。 30秒の場合、その間のデバイスがトラフィックを保持しています。
WANチャネルに透過ブリッジが含まれていますか?透過ブリッジがARPを通過できない場合にこの問題が発生します。その場合は、「学習」モードを確認してください。私の場合は、私はpfsenseを使用してサーバーとオフィスLANの残りの部分を接続するpfsense透過ブリッジを確立しており、学習モードを外部からサーバー側(またはその逆-かすんでいるメモリ)に切り替える必要がありました。
スパニングツリー?
可能であればチェックスパニングツリー、ネットワーク内のデバイスがスパニングツリーを実行している場合、ポートがブロッキング状態になっている可能性があります。スイッチまたはルーターは、トラフィックを転送する前に、ブロック、リスニング、状態の学習などのすべての手順を実行する必要があります。これは確かに約30秒です。
スパニングツリーを無効にするか、必要なポートでPortfastを構成すると、問題を解決できます。