OSPF网络中防火墙主备切换后业务中断问题的处理过程

发布时间:  2014-09-11 浏览次数:  217 下载次数:  0
问题描述
组网图如下:


说明:
本组网是典型的口字型组网,全网运行OSPF动态路由协议,NE40E做为ABR,NE40E互联口的cost值被调高至50,当网络正常时,测试PC到测试服务器的路由如图中黄色箭头所示。当USG5530-01故障时,测试PC到测试服务器的路由如图中红色箭头所示。

故障现象:
当USG5530-01宕机后,测试PC到测试服务器业务不通。
告警信息
处理过程
在USG5530-02上添加配置:
1, ip route-static 10.20.1.0 255.255.255.0 NULL0
2, ospf 64 router-id X.X.X.X
import-route static type 1
根因
测试PC网段为192.168.1.0,在防火墙上需要做源NAT才能访问测试服务器,防火墙上联NE的接口地址网段是:10.10.1.0/24的段,而用户要求NAT后地址段为10.20.1.0/24,这时候必须有以下两条配置:
1,ip route-static 10.20.1.0 255.255.255.0 NULL0(配置目的地址为NAT后地址并指向NULL0,作用是:表明本防火墙有到NAT后网段的路由)
2,ospf 64 router-id X.X.X.X
import-route static type 1(把静态路由重发布到OSPF里,作用是:其他OSPF设备针对目的地址为10.20.1.0的回报会发回本防火墙。)
检查USG5530-01的配置中有这两条配置,而USG5530-02缺少这两台配置。当USG5530-01宕机后,业务会中断。
建议与总结
1, 在做主备设备配置时,要保证两台设备配置的一致性。
2, 主备设备的静态路由是无法通过心跳线进行同步的,所以要两台设备都去手动配置。

END