HRP Track接口错误导致链路故障时无法主备切换

发布时间:  2014-09-20 浏览次数:  150 下载次数:  0
问题描述
如图7-1所示,两台防火墙上行和路由器相连,下行和交换机相连。
 两台防火墙分别对两台交换机起VRRP协议。
 两台交换机上运行不同类型的业务。两台防火墙通过不同的子接口和路由器之间运行OSPF协议。
 两台防火墙之间开启双机热备功能,并工作在主备备份方式下。正常情况下业务流量走防火墙A。
当防火墙A和路由器A相连的物理链路故障时候,两台防火墙未切换主备状态,造成业务中断。

处理过程
步骤 1 检查两台防火墙上的双机热备配置,发现两台防火墙与路由器相连的物理接口上配置了HRP track,而对应的逻辑子接口上未配置HRP track。
步骤 2 在两台防火墙与路由器相连的逻辑子接口上配置HRP track,两台防火墙发生主备切换,业务恢复正常。
原因分析如下:
 两台防火墙通过子接口和路由器之间运行OSPF协议,主接口上未配置IP地址,主接口物理状态为UP,协议状态为DOWN。由于两台防火墙上配置了HRP track主接口,因此不管两台防火墙与路由器相连的链路是否发生故障,两台防火墙上对应的VGMP管理组的优先级都会同时减少2,那么两台防火墙也就不会发生主备切换。
 当在两台防火墙上配置了HRP track子接口后,如果链路发生故障,则每个子接口都会变为DOWN状态,由于每个子接口变为DOWN状态都会使VGMP管理组的优先级减少2,因此防火墙A对应的VGMP管理组的优先级会比防火墙B对应的VGMP管理组的优先级低,因此会发生主备倒换。
根因
两台防火墙上HRP track接口配置错误。
建议与总结
在双机热备组网环境中,如果需要配置HRP track接口,既要配置HRP track主接口,又要配置HRP track子接口。
当HRP track了一个主接口下的多个子接口,则每个子接口的状态都会影响VGMP管理组优先级计算,即每个子接口变为DOWN状态都会使VGMP管理组的优先级减少2。

END