ME60双机热备场景下保护隧道配置问题倒是主备倒换失败

发布时间:  2014-09-15 浏览次数:  499 下载次数:  0
问题描述
版本信息:ME60 V600R002C02SPC700
网络拓扑如下:

S9306是汇聚层设备,通过Eth-trunk口做级联,上联到ME60上,上行口和互联口透传业务vlan、ME60VRRP的管理vlan。
ME60作双机热备,下行链路通过管理vlan在子接口下起VRRP,上行链路起普通的VRRP,ME60之间建立保护隧道。
防火墙也作双机热备,下行口和互联口起VRRP。
ME60和Eudemon作静态路由互指,互指的地址为VRRP虚拟地址。
关键配置:VRRP报文为组播报文,不能进行三层转发,为了使VRRP报文能成功的传播到EudemonB上,必须使ME60能够透传VRRP报文,所以将ME60的上行口和互联口改为二层接口,
interface Eth-Trunk3
portswitch
description to_E1000EA
port link-type access
port default vlan 32
interface Eth-Trunk0
portswitch
description to_ME60B
port link-type trunk
port trunk allow-pass vlan 32
另外,由于ME60采用的共享地址池模式,所以ME60之间要建立保护隧道,必须要有一个互联地址,所以我们创建了一个新的vlan,起vlanif,并让ME60的互联链路透传此vlan。
Vlan38
interface Vlanif38
description to ME60B
ip address ×.×.×.× 255.255.255.252
interface Eth-Trunk0
port trunk allow-pass vlan 32  38
故障描述:我们在S9306A上接一台PC机,通过PC机能否通过Spes认证来判断ME60倒换是否成功,没有倒换前,PC机可以通过认证;将ME60A的下行端口down掉,PC机认证失败。PC机可以获取到IP地址(×.×.×.× ),但是通过不了Spes认证,在PC上ping网关地址也是不通的。

告警信息
处理过程
1、查看RBS的配置,发现保护隧道绑定端口有问题,互联地址并不属于Eth-Trunk0这个二层端口,我们试图将端口绑定为vlanif38,发现并不支持vlanid端口。
remote-backup-service rbs1
protect redirect ip-nexthop ×.×.×.×  interface Eth-Trunk0
2、如何使这个端口既能透传vlan,又能具有一个三层的接口?可以在Eth-Trunk0下起一个子接口作为rbs绑定的接口,于是我们将原先vlanif38的配置取消掉,完成如下配置:

interface Eth-Trunk0.1
vlan-type dot1q 38
ip address ×.×.×.× 255.255.255.252
remote-backup-service rbs1
protect redirect ip-nexthop ×.×.×.×  interface Eth-Trunk0.1
3、备机上也做相应的修改。修改完成后,PC机成功通过认证。
根因
1、ME60A的下行链路切断后,PC机应该通过ME60B上线,ME60B上应该有用户上线的信息,我们通过display access-user查看备机有用户上线信息,但是用户处在认证前域,查看主机发现有同样的用户上线信息,说明并不是备份信息有问题;


2、Spec认证通过不了,说明Spec的流量走向有问题。分析流量走向,发现主备倒换后上下行流量都要走保护隧道,于是我们确定为保护隧道配置问题。
建议与总结
ME60之间既要起二层端口透传vlan又要起保护隧道时,由于绑定端口不支持vlanif,必须要将保护隧道起在子接口下;另外,不同的系统版本所支持的绑定端口不同,比如V600R002C02SPC600之前的版本并不支持trunk口,所以在配置之前要查看系统版本。

END