一次蹊跷的网络故障排查

       F5和CheckPoint组网中，一次蹊跷的网络故障排查。

故障描述

        客户网络拓扑图如下图所示，整体架构采用典型的口字型连接方式。问题出在F5和CheckPoint Open Server软件防火墙之间，当CheckPoint进行主备切换，从CheckPoint上ping公网IP地址时，往返路径不一致。

故障分析

        在此网络中，能够改变数据包走向的设备，只能是F5，因此将目光聚焦在F5的配置上。F5设备既包含内网应用发布的功能，又充当Outbound方向的链路负载均衡角色。

        经过梳理，最终定位到F5上的“Auto Last Hop”功能：

        开启此功能，F5会记录防火墙第一次请求的MAC地址，这样就意味着数据包从哪个MAC地址过来后，会再从这个MAC回去，并不会走路由表，即使防火墙发生主备切换，F5还是会找之前防火墙的MAC，比如说ping包从A防火墙转发到F5，此时防火墙发生主备切换，B防火墙变为主墙，理论上来讲数据包会回到B，但由于auto last hop特性，ping包此时会回到A，即从哪个MAC过来，就从哪个MAC回去，源进源出机制。

解决方案

关闭该功能即可，有两种方法：

一、针对某个VS关闭该功能

二、针对全局关闭该功能

建议针对某个VS关闭该功能，避免影响其他业务。

一点心得

    透过现象看本质，一切异常皆有据可查。