由于增加VRRP组导致防火墙主备切换

发布时间:  2014-09-20 浏览次数:  218 下载次数:  0
问题描述
如图6-1所示,两台防火墙双机热备组网,上行接口加入VRRP组1,下行接口加入VRRP组2。
图6-1 组网图

防火墙A工作于Active状态,所有VRRP组都加入Active管理组,防火墙B工作于Standby状态,所有VRRP组都加入Standby管理组。
在防火墙A的另外一个下行接口GigabitEthernet1/0/3上新配置一个VRRP组3,主备切换。
处理过程
步骤 1 使用命令display hrp group查看VGMP管理组的优先级。Active管理组优先级为64999,Standby管理组优先级为65000。
缺省情况下,Active管理组的优先级为65001,Standby管理组的优先级为65000。防火墙每一个接口变为Down状态,优先级减2。
步骤 2 检查GigabitEthernet1/0/3接口的状态,接口处于Down状态。
在防火墙A上将GigabitEthernet1/0/3加入VRRP组3时,主用设备的优先级由65001变为64999,小于备用设备的65000,导致发生主备切换。
步骤 3 处理接口故障,使接口变为Up状态。
根因
接口处于Down状态,将接口加入VRRP备份组后,主用防火墙的VGMP管理组优先级低于备用防火墙,从而发生主备切换。
建议与总结
在增加或删除VRRP备份组的时候,防火墙根据接口的状态重新计算优先级,并根据优先级决定是否切换状态。
与本例类似,如果主用防火墙和备用防火墙有相同数量的接口处于Down状态,在备用防火墙中删除该VRRP备份组或使该接口变为Up状态,也会触发主备切换。在这种情况下,应先在主用防火墙上操作。

END