备用防火墙异常导致主用防火墙业务接口故障后不切换状态

发布时间:  2014-09-20 浏览次数:  147 下载次数:  0
问题描述
主用防火墙的接口GigabitEthernet1/0/4故障后,没有切换到备用防火墙。
告警信息
主用防火墙上有VRRP状态变化信息和接口Down信息。
2012-03-22 14:15:59 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet1/0/1 , Virtual Router 1 : STANDBY changed to INITIALIZE!
2012-03-22 14:15:59 sysname %%01IFNET/4/LINK_STATE(1): Line protocol on interface GigabitEthernet1/0/4 has turned into DOWN state.

处理过程
步骤 1 检查防火墙日志,确认故障发生时主备状态正常。
步骤 2 使用命令display hrp group检查两台防火墙VGMP管理组的优先级。
主用防火墙的Active管理组优先级为64999,正常。备用防火墙的Standby管理组优先级为64996,说明备用防火墙上有两个接口故障,使Standby管理组的优先级降低了4。主用防火墙的Active管理组优先级高于备用防火墙的Standby管理组优先级,不切换状态。
步骤 3 使用命令display hrp state检查备用防火墙的双机热备状态。
HRP_S<sysname> display hrp state

The firewall's config state is: STANDBY
Current state of virtual routers configured as standby:
           GigabitEthernet1/0/3.2    vrid   5 : initialize (down)
           GigabitEthernet1/0/3.1    vrid   4 : initialize (down)
             GigabitEthernet1/0/2    vrid   3 : standby
             GigabitEthernet1/0/1    vrid   2 : standby
             GigabitEthernet1/0/4    vrid   1 : standby
备用防火墙上有两个子接口的状态为down,则Standby管理组优先级为65000–4=64996。
步骤 4 处理子接口故障,使子接口状态变为Up。
根因
  •  两台防火墙都工作于Active状态。
  •  主用防火墙接口故障后,其优先级仍然高于备用防火墙。
建议与总结
防火墙的主备状态由VGMP管理组的优先级决定。考虑到优先级计算方法,必须保证备用防火墙的Standby管理组比主用设备的Active管理组的优先级小1,否则主用防火墙故障后不能切换状态。

END