防火墙双机热备心跳线必须直连

发布时间:  2012-12-20 浏览次数:  353 下载次数:  0
问题描述
多个项目中,防火墙双机热备组网,且心跳线没有直连,而是经过了交换机等二层设备。心跳线经过交换机等二层设备,交换机的CPU利用率高,防火墙主备不稳定,业务异常。
告警信息
处理过程
心跳口不使用交换机,规避以上的风险。
根因
防火墙发送的备份报文使用VRRP协议封装,交换机对于该类型的组播报文会上送自身处理,占用其自身的协议封装,而防火墙上备份报文是随着业务的增加而增大,备份报文增多就导致交换机CPU利用率高,同时对交换机处理其它组播报文(如OSPF)产生冲击,导致交换机自身以及业务的不稳定,交换机对)VRRP报文的限制,也会引起防火墙心跳报文被丢弃,导致防火墙状态的不稳定。
建议与总结
双机热备防火墙之间使用独立的直连接口,专门用来同步主备间的数据。同时接口配置要带上transfer-only的标志。
Hrp inferface G x/x/x transfer-only

END