由于备机抢占时间配置过短导致业务中断几秒

发布时间:  2014-09-20 浏览次数:  206 下载次数:  0
问题描述
组网结构:
如图4-2所示,两台USG防火墙和两台S5328交换机成口字型组网,防火墙跑双机热备。

主防火墙FW1与交换机SW1直连的GigabitEthernet0/0/1接口DOWN后,业务能迅速切换到备防火墙FW2,该接口UP后,业务切回到主防火墙过程中业务出现数秒中断。
处理过程
FW1由备防火墙抢占回主防火墙后,会发送免费ARP刷新交换机的ARP表和MAC转发表。但是在业务中断的7~8秒时间里,发现交换机的ARP表没有刷新,报文还是被交换机发往备防火墙的端口。 FW1由备防火墙抢占为主防火墙前,打开FW1的ARP调试信息发现,FW1共发出5个广播报文,其中1个接口免费ARP和4个VRRP虚IP的免费ARP。对比抢占前后和交换机直连的GigabitEthernet0/0/1接口的接口统计发现,广播报文发包统计从187 增加到 192,这说明FW1已经发送了免费ARP到交换机。
0.18482116 ECP-FW-USG-A %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0022-a104-5b4d,sender_ip_addr : 192.168.255.2, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.2
0.18492433 ECP-FW-USG-A %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1
0.18496433 ECP-FW-USG-A %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1
0.18502433 ECP-FW-USGG-A %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1
0.18508433 ECP-FW-USG-A %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1
……
对比FW1由备防火墙抢占为主防火墙前后SW1交换机的接口统计,发现交换机跟FW1直连的GigabitEthernet0/0/24接口的广播报文统计由原来的600增加到605,这说明交换机收到了防火墙发过来的5个免费ARP报文。 但打开SW1 ARP调试信息,发现SW1的CPU只收到1个VRRP虚IP的免费ARP,前面的4个ARP报文没有上送到SW1的CPU处理。当交换机的调试信息显示收到这个VRRP虚IP的免费ARP后,业务立刻恢复正常。这就说明SW1交换机接口由DOWN变为UP后,CPU几秒后才能正常接收ARP报文。
Aug 15 2011 19:28:17.590.1-05:13 ECP-S5328C-EI-A ARP/7/arp_rcv:Receive an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-010 1, sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1
根因
S5328交换机接口由DOWN变为UP后,该接口需要几秒之后才能正常接收报文,这就造成交换机不能及时接收主防火墙发出来的免费ARP刷新其ARP表项,业务还是发往备防火墙,导致了短时间的业务中断的现象。
解决方案
修改主备防火墙的HRP抢占时间,系统视图执行hrp preempt delay 30命令,将原来的延迟10秒抢占改为默认的延迟30秒抢占后,备防火墙抢占为主防火墙业务能平稳过渡,不会出现中断。

END