USG5530的VRRP模式配置错误,导致HRP无法启动故障

发布时间:  2013-06-14 浏览次数:  228 下载次数:  0
问题描述
背景:
某客户内网防火墙USG5530两台做负载分担,除了一条心跳线之外,把两条10GE分别跟两台CE12808相连,并配置成LAG。通过配置负载分担方式的VRRP备份组,实现备份组中各台设备既相互备份,又分担网络流量。具体需求如下:


USG_A作为备份组1的Master,兼任备份组2的Backup。
USG_B作为备份组2的Master,兼任备份组1的Backup。


问题描述:内部网络中的一部分主机使用备份组1作网关,另外一部分主机使用备份组2作为网关,达到分担数据流而又相互备份的目的。客户测其中一台防火墙发生故障时候,链路切换非常慢,未能进行链路快速切换,保证数据会话连通性。
告警信息
处理过程
通过直接在两台墙上通过设置master和slave的方式进行链路负载分担,并通过心跳线设置HRP进行会话快速备份,保证链路down或防火墙故障时,能够进行链路快速切换,不影响业务
interface Eth-Trunk1.1
vlan-type dot1q 1105
ip address 172.16.1.35 255.255.255.248
vrrp vrid 1 virtual-ip 172.16.1.33 slave
hrp track master
hrp track slave
#
interface Eth-Trunk1.2
vlan-type dot1q 1104
ip address 172.16.1.27 255.255.255.248
vrrp vrid 2 virtual-ip 172.16.1.25 master
hrp track master
hrp track slave

hrp mirror session enable
hrp enable
hrp interface GigabitEthernet0/0/7
另外一台墙的类似配置,区别为优先级,和ip地址区别。

根因
通过查询配置发现,起初客户测可能从防火墙的开销考虑,是通过vrrp mode模式进行双机负载分担配置,这样可以实现设备既相互备份,又分担网络流量,但是该模式下无法配置HRP命令,固无法进行会话快速备份,当一台防火墙故障或链路中断后,网络切换时间较长。
Vrrp mode
interface Eth-Trunk1.1
vlan-type dot1q 1105
ip address 192.16.1.34 255.255.255.248
vrrp vrid 1 virtual-ip 172.16.1.33 255.255.255.248
vrrp vrid 1 priority 105
#
Vrrp mode
interface Eth-Trunk1.2
vlan-type dot1q 1104
ip address 172.16.1.26 255.255.255.248
vrrp vrid 2 virtual-ip 172.16.1.25
另外一台墙的区别,优先级,和ip地址区别。
建议与总结

END