双机热备工作于负载分担方式,备份通道Eth-Trunk的物理成员口不一致导致业务中断

发布时间:  2014-09-20 浏览次数:  201 下载次数:  0
问题描述
防火墙双机热备,并工作于负载分担方式。内网服务器提供网页服务,外网用户访问时经常出现访问速度慢或无法访问的现象。内网用户访问正常。
处理过程
步骤 1 使用display hrp state命令检查防火墙的主备状态。正常。
步骤 2 使用display firewall session table或display firewall ipv6 session table命令检查两台防火墙的会话表。两台防火墙的会话数相差很大。
步骤 3 检查发现防火墙已经启用会话快速备份功能。
步骤 4 检查备份通道配置发现,两台防火墙使用Eth-Trunk作为备份通道。主用防火墙指定了3个物理成员接口,而备用防火墙只指定了2个(与主用防火墙相比,缺少GigabitEthernet1/0/6)。
防火墙在从备份通道备份会话的时候,使用Eth-Trunk接口的多个物理接口轮流发送备份消息。因为备用防火墙没有将GigabitEthernet1/0/6接口绑定到Eth-Trunk,当主用防火墙从GigabitEthernet1/0/6接口备份会话的时候,备用防火墙的GigabitEthernet1/0/6接口接收到备份报文后丢弃。主用防火墙的会话不能完全备份到备用防火墙上。
防火墙双机热备工作于负载分担方式,业务报文的来回路径可能不一致。如果会话没有备份到备用防火墙上,响应报文到达备用防火墙时就会因为无法命中会话而被备用防火墙丢弃。
步骤 5 在备用防火墙上将接口GigabitEthernet1/0/6绑定到Eth-Trunk,问题解决。
根因
  •  双机热备工作于Active/Active状态。
  •  防火墙双机热备工作于负载分担方式,业务来回路径可能不一致,未启用会话快速备份。
  •  备份通道故障,导致部分会话备份失败。
建议与总结
使用Eth-Trunk接口作为备份通道时,必须保证两台防火墙上指定的Eth-Trunk接口绑定了相同的物理接口。否则主用防火墙的会话不能完全备份到备用防火墙。
如果Eth-Trunk接口的成员不一致,且双机热备工作于负载分担方式,可能会导致业务中断。如果Eth-Trunk接口的成员不一致,而双机热备工作于主备备份方式,主备切换后部分业务会中断。

END