USG5120双机热备出现丢包

发布时间:  2014-11-07 浏览次数:  309 下载次数:  0
问题描述
某客户网络:S7706做核心设备,两台S7706做VRRP,交叉上连USG5120,5120也是两台做VRRP与hrp热备。出现访问网络时慢、卡、有丢包的情况。ping运营商网关时丢包有规律,5个包丢一个。PC直连S7706做测试,网关配置在S77设备上。
网络拓扑图:


当不开启FW-B和S7706-B时,所有业务从主防火墙和主的S7706去往运营商网络,不会出现丢包。当启用右方的两台备用设备时,问题就会出现。客户的实际拓扑是两个防火墙连的同一运营商。


告警信息
处理过程
1.PC直接连在主的S77上,网关是VRRP地址,PCping网关不丢包,PCping运营商网关丢包,ping防火墙不丢包

2.对路径做跟踪,电脑侧用用trace 运营商网关,查看下一跳信息,数据是走的主交换机和主墙的地址183.224.100.74去转发的

5.查看STP是否存在转发状态震荡,display stp tc-bpdu statistics命令用来查看端口TC/TCN报文收发正常,排除由于STP震荡导致丢包

6.防火墙做hrp双机热备后,主备切换后,有可能没有同步会话表,查看会话信息,是已经同步了的

7.经客户联系运营商测试链路,链路无问题。电脑直连运营商网线,ping不丢包,能正常上网,排除运营商链路的问题


8.确认是否存在路由环路,查看客户的配置信息路由信息发布确实有问题,
客户采用的OSPF动态路由协议,防火墙和S7700的动态路由发布有问题
客户的初衷是在S7706上发布路由,通过OSPF动态选路。
由于客户疏忽,把本该在S7706上发布的OSPF路由信息放在防火墙上去发布了。
导致路由选路出现问题,即问题的根因
根因
根因有2:
1.客户的两台FW的出口地址配置相同。当数据从USG5120发送到运营商网络时,从主墙出去;但是运营商处到USG5120时,流量就不知道去往哪个防火墙。有可能从备墙回来,备墙发现来回路径不一致,出现丢包。

2.另,客户的网络规划还存在一定的问题。客户的OSPF配置错误。客户想在S7706上配置OSPF并把路由发布出去,根据不同的cost值选路,客户却在防火墙上配置了OSPF的cost值,让回内网的数据包在防火墙侧来选路,当到达S7706时,会发现来回路径不一致而丢包


客户S7706-A上配置的OSPF:
ospf 1
area 0.0.0.0
  network 172.18.2.0 0.0.0.255
  network 172.19.1.0 0.0.0.255
  network 192.168.10.0 0.0.0.255
S7706-B上配置的OSPF:
ospf 1
area 0.0.0.0
  network 172.18.3.0 0.0.0.255
  network 172.19.1.0 0.0.0.255
  network 192.168.10.0 0.0.0.255
防火墙-A上的OSPF:
interface GigabitEthernet0/0/1
ip address 172.18.2.3 255.255.255.0
vrrp vrid 2 virtual-ip 172.18.2.1 master
vrrp virtual-mac enable
ospf cost 10

interface GigabitEthernet0/0/3
ip address 172.18.3.2 255.255.255.0
vrrp vrid 3 virtual-ip 172.18.3.1 master
vrrp virtual-mac enable
ospf cost 20

ospf 1
default-route-advertise always
area 0.0.0.0
  network 172.18.2.0 0.0.0.255
  network 172.18.3.0 0.0.0.255
防火墙-B上为对称配置:
interface GigabitEthernet0/0/1
ip address 172.18.2.2 255.255.255.0
vrrp vrid 2 virtual-ip 172.18.2.1 slave
vrrp virtual-mac enable
ospf cost 30

interface GigabitEthernet0/0/3
ip address 172.18.3.3 255.255.255.0
vrrp vrid 3 virtual-ip 172.18.3.1 slave
vrrp virtual-mac enable
ospf cost 40

ospf 1
default-route-advertise always
area 0.0.0.0
  network 172.18.3.0 0.0.0.255
  network 172.18.2.0 0.0.0.255
客户在防火墙上做了向内网发布路由的操作。应该在S7706上去配置OSPF的cost值来选路
解决方案
方案:
1.经分析客户的网络拓扑以及配置信息,告知客户把两个防火墙的IP地址改成不一样。

2.客户之前的OSPF有手动的设置cost。导致VRRP切换以后cost值造成相应的问题。
让客户把防火墙的ospf  cost值的配置给删掉,在S7706—A连USG的两个接口去添加ospf  cost值,S7706—B也做同样的操作
建议与总结

1.网络规划时,注意实际情况实际配置,IP不能重复配置,会导致IP冲突及出现来回路径不一致而丢包的情况

2.配置OSPF时可以让它自己跑,尽量不去人为的配cost值,以防配置弄不清路由发布的规则而误配

END