谁能帮我分析一下这个奇怪的问题（已解决）

时刻准备linux

不好意思，前面的回复有失误。重新看了下配置，更新如下：

四台86、两台1624，6台之间走的是OSPF动态路由协议。

86与各个防火墙之间走的是静态路由。

防火墙是主备模式的，一台坏掉，另一台会自动接管，两台之间有心跳线。

现在的问题是防火墙外边的交换机坏掉，防火墙感觉傻掉了，不停的来回切换。

关于北电的SMLT，简单说就是两根线捆绑成一根，86认为只有一根线到接入的5510。

SMLT开启之后，spanning tree会自动关闭。

满天星

二台接internet的防火墙都接在一个交换机上，交换机挂了以后不傻才怪呢！到外网的internet都检测不到可达了，肯定得切换……

时刻准备linux

是的，切换是没错

但是不应该影响我内网的通讯嘛

ssffzz1

也就是说防火墙来回倒换会影响到你内部的通讯？？？

1、86和防火墙之间的那个接口起了OSPF没有？？
2、86的OSPF要给其他的发布缺省路由的，这个缺省路由如何发布的？？
3、你看看FW出问题前后各设备的路由表还有内网访问的路由走向有变化没？

满天星

你的86与FW之间走的静态路由，是否也经重分发来引入至动态路由协议？默认路由在哪里配置？二台FW主备切换时对86的路由产生什么影响？

时刻准备linux

也就是说防火墙来回倒换会影响到你内部的通讯？？？
是的。

1、86和防火墙之间的那个接口起了OSPF没有？？
86和防火墙之间是静态路由，没有OSPF啊。而且86上面OSPF不是基于端口配置的。
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.228 cost 5  
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.230 cost 20  
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.238 cost 1

2、86的OSPF要给其他的发布缺省路由的，这个缺省路由如何发布的？？
这个我真心的不知道，86上面OSPF配置相当简单，就三条命令：
ip ospf admin-state enable
ip ospf as-boundary-router enable
ip ospf enable


3、你看看FW出问题前后各设备的路由表还有内网访问的路由走向有变化没？
出问题的时候是周末，我不在现场。周一上班已经看不到以上信息了。

时刻准备linux

你的86与FW之间走的静态路由，是否也经重分发来引入至动态路由协议？
没有，单纯的静态路由。

默认路由在哪里配置？
不知道你指的是哪到哪的路由。

二台FW主备切换时对86的路由产生什么影响？
从syslog里边看到，FW切换时，对应86端口的spanning tree发生过改变。
Dec 11 08:40:41 10.216.3.5 WH-CORE-1 [12/11/11 08:40:41] SNMP INFO Spanning Tree Topology Change(StgId=1, PortNum=1/7, MacAddr=00:18:b0:61:30:01)
Dec 11 08:40:41 10.216.3.13 WH-CORE-2 [12/11/11 08:40:41] SNMP INFO Spanning Tree Topology Change(StgId=1, PortNum=1/7, MacAddr=00:1c:9c:21:30:01)

SCO@WIN

对整个网络的描述还是不清楚，
1、那部分的服务器PING不通，从那PING不通
2、ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.228 cost 5  
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.230 cost 20  
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.238 cost 1
这三个默认路由可以理解为，一个从INTETNET出，另一个是到CMIC-SH当做备用外网出口，第三个呢，
3、FW后面的86当OSPF的边界路由了，而且OSPF应该要反映到端口的，或者说在某个端口上打开的，是不是（PortNum=1/7,）上也打开了，


总的认为是OSPF因为防火墙的动荡造成这样的，建议在方便的时候做以下测试
1、关掉ip ospf as-boundary-router enable ，然后在其它的上面加默认路由，进行测试。
2、用出现过PING不通服务器的机会，再对服务器的地址做下路由跟踪，保存下来。然后再出故障时再做路由跟踪看到底在那块出问题了，
3、能不能不用SMLT，
4、假如（PortNum=1/7,）是上联端口（与防火墙连接），关掉此端口的STP
其它的也想起来再说了

ssffzz1

建议看一下STP的生成树的主备根在那里。和FW之间的接口的STP可以关掉。我怀疑可能是STP的问题。

时刻准备linux

感谢各位的关注！！

对整个网络的描述还是不清楚，
1、那部分的服务器PING不通，从那PING不通
5510上接入的服务器ping不通，从任意地方ping都不通

2、ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.228 cost 5  
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.230 cost 20  
ip static-route create 0.0.0.0/0.0.0.0 next-hop 10.216.3.238 cost 1
这三个默认路由可以理解为，一个从INTETNET出，另一个是到CMIC-SH当做备用外网出口，第三个呢，

这个拓扑的下半部分有变化，无须关注静态路由的含义。这三条，有一条是去Internet的，两条是到其他地方的。
我列出来，只是想说明，86到防火墙之间跑的是静态路由。

3、FW后面的86当OSPF的边界路由了，而且OSPF应该要反映到端口的，或者说在某个端口上打开的，是不是（PortNum=1/7,）上也打开了，
端口1/7没有开启OSPF，但是开启了STP。

你的建议很有价值，我们会考虑测试，谢谢！