简言之,未知单播会从非入接口的所有该vlan的接口发出,而只有二层
安全插卡会把报文从内联口发回,所以只要二层安全插卡超过两个时,就会出现未知单播导致的环路。
所以[75E(三层)---IPS*2---FW(三层)---SR66(三层)]、[75E(三
层)---ACG*2---FW(三层)---SR66(三层)]都会出现未知单播导致的环路。
而[75E(三层)---IPS---FW(三层)---ACG---SR66(三层)]、[75E(三
层)---IPS/ACG---FW(三层)---SR66(三层)]都是可以的。
4, 为什么案例中[75E(三层)—FW(三层)—ACG—IPS—75E_vpn(三层)—SR66]的方式又不会出现未知单播导致呢??
因为FW(三层)和75E_vpn(三层)之间只起了互联地址,未知单播出现的可能性非常小。
5,为什么不能使用“mac-address max-mac-count 0 ”
在75E上配置95E的“去使能mac地址学习功能”的“mac-address max-mac-count 0 ”命令,会导致acsei 客户端学习不成功。
6,该方案是否有缺陷?
目前有缺陷,当75E上备用防火墙的mac地址老化后,此时又有报文访问备用防火墙的上行口vrrp实地址,会在二层安全插卡之间形成广播风暴,规避办法是在75E下联汇聚的端口上开启ACL过滤目的地址为备用防火墙的实地址的报文。