AC网桥模式路由错误导致断网的一种可能

部署top示意：

电信===AF*2===AC*2===SW---内网

故障描述：

偶尔出现断网，断网后在内网ping外网丢包严重，几乎不通，ping核心交互正常。从核心交换ping AC网桥和AF LAN口都有严重丢包。由于端口都正常up，ping也偶尔可以通几个包，双机并未切换，直接手动干预切换后，网络可以恢复。

故障分析：

从现象看，故障出现在核心上联，因此要先定位具体问题出现在哪里。在故障存在的时候，通过单机接设备的方式，发现AF可以登录，AC无法登陆，在AF上ping外网和 AC网桥地址都正常，因此可以断定，故障出在AC和核心之间。
由于无法通过内外和dmz口登陆AC，就通过af ssh连接到ac，抓包进行分析。
Lan口数据包查看如下：

我们发现，有一个183的地址持续给一个192的地址发数据包，因此可以怀疑LAN口到核心被这些数据包阻塞导致断网、丢包严重。
刚刚已经知道出现问题的地方就是AC的lan口和核心之间，那么这个公网IP是哪里的，就不用去关注了，我们直接看下这个数据包是谁发出来的：

这个mac地址就是AC的网桥IP对应的MAC，那么可以断定，有大量重复的数据从AC的LAN口发给了核心，从而导致了网络故障的出现，再看一下这些包是什么内容：

很显然，是AC的拦截页面。也就是说，AC不断的在发送拦截页面给内网。为什么会出现这种情况呢？我们从AC拦截的原理来分析，首先，当内网用户A访问一个被AC拦截的URL时（例如www.baidu.com），AC会禁止这个访问，同时伪造用户A向外网www.baidu.com发送reset、伪造外网www.baidu.com向用户A发送reset。那么发送给外网www.baidu.com的数据包，要查去往www.baidu.com的路由，我们查看发现，路由是指向了前端AF的，不存在问题。去往用户A的路由，是指向了内网核心的，也不存在问题。
既然设备路由正常，那就考虑核心的路由是否正常了，经查，发现核心并没有用户A的路由，也就是说，发往A的数据交给核心后，会被发给AF，再次经过AC，再次被拦截，从而导致数据包一直被从AC发往核心。

解决办法：
1、在核心交换机上添加内网未使用的子网网段的黑洞路由。
2、修改AC的路由，添加去往内网网段的明细路由，暂时没有使用到的子网先不用添加。

结论：
在AC上写路由的时候，添加内网的明细路由，通常我们习惯直接添加一个大的网段，这种配置方法一般情况下没问题，但如果像该案例这种情况，或许内网有伪造一个未知的源地址的数据包，恰好又被拦截了。如果这个网段有路由指向核心，那么就会出现如上问题了。

感谢！

感谢！                                         

AC网桥默认设置路由有用吗？？？？？

学习到了

现在的社区真好，解决了很多问题