防火墙收到攻击报文,导致备用防火墙发生误切换

发布时间:  2014-09-20 浏览次数:  259 下载次数:  0
问题描述
防火墙双机热备组网,备用防火墙的状态切换为Active状态,又切换为Standby状态。
2012-09-09 17:56:17 sysname %%01VGMP/4/STATE(1): Virtual Router Management Group STANDBY : STANDBY -->ACTIVE
2012-09-09 17:56:17 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet1/0/1 , Virtual Router 1 : STANDBY changed to ACTIVE!
2012-09-09 17:56:17 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet1/0/2 , Virtual Router 1 : STANDBY changed to ACTIVE!
2012-09-09 17:56:17 sysname %%01VGMP/4/STATE(1): Virtual Router Management Group STANDBY : ACTIVE -->STANDBY
2012-09-09 17:56:17 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet1/0/1 , Virtual Router 1 : ACTIVE changed to STANDBY!
2012-09-09 17:56:17 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet1/0/2 , Virtual Router 1 : ACTIVE changed to STANDBY!

处理过程
步骤 1 检查故障发生前防火墙的日志。
故障发生时,没有接口状态变化的日志,说明防火墙状态切换不是由接口或链路故障导致的,而是备用防火墙在三个心跳报文发送周期内没有收到主用防火墙发送的心跳报文。
步骤 2 继续检查故障发生前防火墙的日志。
在故障发生时,备用防火墙的日志中有大量的攻击日志,比其他时间段增加很多倍。说明故障发生时段有攻击流量到达备用防火墙。防火墙为防范攻击流量,消耗了大量的CPU资源,导致短时间内不能接收心跳报文。
步骤 3 调大心跳报文发送周期,以规避此问题。

心跳报文的发送周期默认为1000ms。调整心跳报文的发送周期,不会影响接口或链路故障时双机热备的切换速度。
根因
  •  接口或链路故障导致VGMP管理组优先级变化。
  •  主用防火墙忙,来不及发送心跳报文。
  •  备用防火墙忙,来不及接收心跳报文。
建议与总结
备用防火墙发生误切换通常是由于防火墙CPU资源耗尽,来不及发送或接收心跳报文。请重点检查故障发生时执行了哪些操作(如保存配置)或者有什么流量异常(如突发流量、攻击流量)。
可以调大心跳报文发送周期来规避此问题。

END