网络路径不一致产生的背景： 在实际的网络规划和建设中，一般不应该存在网络路径来回不一致的情况。但在网络的运维过程中，为了应对紧急的情况，可能得把单方向的流量分流和切换，这时候网络环境中就不可避免存在来回路径不一致的情况。 下面从我个人的运维经验中分析一下网络路径来回不一致可能导致的问题： 1.路由问题 如下面的图1，ar1到ar4的访问，来回路由不一致。如果由于前期的路由规划不合理，可能会由于ar2或者ar3缺少路由，导致ar1到ar4的单通问题。这种故障现象比较容易定位，如果网络环境中没有安全策略，可以通过ping测和两边分别traceroute路由路径发现故障节点。 2.安全策略问题 如下面的图2，ar1经过ar4，来回路径不一致，分别经过fw1和fw2。存在的问题有： **2.1.半会话：**由于来回路径不一致，所以存在半会话的情况，防火墙默认不允许半会话数据包通过，这个可以通过打开防火墙半会话功能解决，具体的命令可以查各个网络设备品牌的文档，这里给出h3c,huawei和juniper的命令： h3c v7:session state-machine mode loose huawei:undo firewall session link-state check juniper:set security flow tcp-session no-syn-check和set security flow tcp-sesson no-sequence-check **2.2 安全策略：**由于防火墙的安全策略机制是会话优先，所以防火墙开策略一般只开主动发起会话方向的安全策略，但由于回程路由方向的安全策略没有会话，匹配策略不通过，导致回程数据包被防火墙阻断。这种情况一般通过ping或者traceroute等方法无法具体定位，特别大部企业网icmp都放通，会出现可以ping通，但应用无法正常访问的故障现象。需要通过telnet应用端口，抓包和查看防火墙会话定位故障，解决方法一般是临时放开策略回程方向的安全策略解决问题。 3.tcp应用问题 如下图3，左边是一个机构，右边是另外一个机构，两个机构之间互访分别通过MSTP专线和IPSEC VPN形成冗余。机构之间互访来回路径不一致，我们假设上面路由问题和安全策略问题都不存在，但还是存在ping测正常，telnet应用端口也正常，但就是存在应用访问非常缓慢或者异常故障现象。 在分析问题之前，先说介绍一下IPSEC VPN，IPSEC VPN是一种加密封装数据包的虚拟隧道技术，加密后的数据包不支持拆分，拆分后的数据包到达对端后，重组解密存在异常。所以在IPSEC VPN防火墙上，我们一般都指定了tcp-mss（对tcp-mss不了解的，另外去查相关tcp文档），以避免tcp报文ipsec封装后报文长度大于接口MTU需要分片，那我们ipsec vpn墙一般应当设置tcp-mss不大于多少呢？要看ipsec封装包来看，如下图，tcp-mss不应该大于1380bytes。 那么问题来了，ipsec vpn防火墙设置tcp-mss为什么会导致异常呢？先来看tcp-mss如何协商的。 tcp-mss协商：tcp-mss协商是在tcp syn包和syn+ack包中分别协商两个方向的tcp-mss，tcp-mss协商并无确认机制，如下图（这个图引用了网上的图片，如有冒犯，请联系修改）： 从tcp-mss的协商过程看，图3中左边的用户访问右边机构的服务器，syn包通过路由器mstp专线到达，协商tcp报文长度默认是1460bytes,右边服务器会以1460bytes封装TCP报文，TCP报文经过防火墙IPSEC VPN时进行封装，报文过大（1460+20+20+60+20=1580bytes），IPSEC VPN报文封装后分片导致异常。 解决方法：在mstp专线的路由器上，任何一个流量途径的网络接口指定tcp-mss跟IPSEC VPN防火墙一致即可（路由器和防火墙的tcp mss配置一般各个主流品牌的网络设备都支持）。 注：这篇文章适合有经验的IT运维阅读，没有网络基础的同学可能理解起来比较吃力。