由于防火墙配置Eth-Truck时对端设备未做相应配置导致保存配置时提示主备配置不一致

发布时间:  2014-09-20 浏览次数:  384 下载次数:  0
问题描述
主备配置一致的情况下,保存配置的时候,主机提示:
HRP NOTICE: Some local vrrp standbies configed as slave don't accord with vrrp standbies configed as master on peer device!
备机同时提示:
HRP NOTICE: Some local vrrp standbies configed as master don't accord with vrrp standbies configed as slave on peer device!
处理过程
1. 在备机上开启vgmp调试debugging vrrp-group all,发现在外网口上,备机收到了自身发送的vgmp hello报文:
2009-07-21 14:28:37 AHHF-PS-MMS02-FW02 %%01VGMP/8/DebugPacket(d): 
Virtual Router Management Group SLAVE: receiving from 81。130.119.147, message type HELLO mode ACK priority = 65000

2. 同时在主机上ping 备机81.130.119.147:
HRP_M[AHHF-PS-MMS02-FW01]ping 81。130.119.147
14:51:22  2009/07/21
  PING 81。130.119.147: 56  data bytes, press CTRL+C to break
    Reply from 81。130.119.147: bytes=56 Sequence=1 ttl=255 time=1 ms
    Reply from 81。130.119.147: bytes=56 Sequence=1 ttl=255 time=17 ms (DUP!)
    Reply from 81。130.119.147: bytes=56 Sequence=2 ttl=255 time=1 ms
    Reply from 81。130.119.147: bytes=56 Sequence=3 ttl=255 time=1 ms
    Reply from 81。130.119.147: bytes=56 Sequence=4 ttl=255 time=1 ms
    Reply from 81。130.119.147: bytes=56 Sequence=5 ttl=255 time=1 ms

  --- 81。130.119.147 ping statistics ---
    5 packet(s) transmitted
    5 packet(s) received
    1 duplicates
    0.00% packet loss
    round-trip min/avg/max = 1/3/17 ms

从debugging中可以发现备机发送的vgmp hello报文又被备机收上来了,这个是出现提示的直接原因,备机收到自身发送的vgmp hello报文,进行解析,获取报文中vgmp包含的成员数目与本地存储的Master所在vgmp包含的成员数目进行比较,因为备机此时的状态为salve,所在的Master状态的成员数目为0,发现数目不一致,提示主备配置不一致。
3. 为什么备机发出的报文,备机又收到了,通过ping测试可以发现,该链路上出现了二层环路(ping时会出现提示ttl=255的DUP报文),针对此现象,要求一线找出环路的原因。
根因
在双机热备组网中,vgmp hello报文一般情况下只有通过心跳口发送,但当丢失一个vgmp hello报文时,防火墙会在所有VRRP group的成员接口上广播,直到收到回应报文。保存配置时,CPU主要用于写flash操作,会导致部分报文没有得到及时处理,对端由于不能及时收到回应报文,认为心跳丢失,改为在所有VRRP group的成员接口上广播。此时,业务口也会发送vgmp hello报文。当业务口出现二层环路时,致使自身发出的报文又被自身收到了,出现问题描述的提示。
进过排查发现引起环路的原因是:USG的外网口配置成Eth-Truck,但对应的交换机没有做相应的配置,导致报文被反弹回防火墙。
建议与总结
 配置Eth-Truck时必须保证对端也做了相应的配置。

END