交换机接口恢复后不能立即转发报文,导致抢占后业务短时中断

发布时间:  2014-09-20 浏览次数:  198 下载次数:  0
问题描述
如图8-1所示,两台防火墙和两台交换机成口字型组网,防火墙启用双机热备。
图8-1 组网图


防火墙A与交换机A直连的GigabitEthernet1/0/1接口Down后,业务能迅速切换到防火墙B。该接口Up后,业务切回到防火墙A后业务中断数秒。
处理过程
步骤 1 搭建模拟环境,检查防火墙A抢占时交换机的ARP表。
防火墙A抢占后,会发送免费ARP报文刷新交换机的ARP表和MAC转发表。但是在业务中断的7~8秒时间里,交换机的ARP表没有刷新,业务报文还是被交换机转发给防火墙B。
步骤 2 检查防火墙A的ARP报文调试信息。
HRP_A<sysnameA> debugging arp packet
HRP_A<sysnameA> terminal monitor
HRP_A<sysnameA> terminal debugging
0.18482116 sysnameA %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0022-a104-5b4d,sender_ip_addr : 192.168.255.2, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.2 
0.18492433 sysnameA %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1 
0.18496433 sysnameA %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1 
0.18502433 sysnameA %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1 
0.18508433 sysnameA %%01ARP/7/arp_send(d): Send an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-0101,sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1 
……

防火墙A发出5个广播报文,包括1个接口免费ARP报文和4个VRRP虚拟IP地址的免费ARP报文。
步骤 3 检查交换机A的ARP报文调试信息。
Aug 15 2011 19:28:17.590.1-05:13 sysnameA ARP/7/arp_rcv:Receive an ARP Packet, operation : 1, sender_eth_addr : 0000-5e00-010 1, sender_ip_addr : 192.168.255.1, target_eth_addr : 0000-0000-0000, target_ip_addr : 192.168.255.1

交换机A只收到1个VRRP虚拟IP地址的免费ARP报文,前面4个ARP报文未收到。
当交换机的调试信息显示收到这个VRRP虚拟IP地址的免费ARP报文后,业务立刻恢复正常。这就说明交换机A的接口状态由Down变为Up后,不能立即接收ARP报文。
步骤 4 修改防火墙的抢占延时为默认值60秒。防火墙A抢占后业务能平稳过渡,不会出现短时中断。
根因
  •  交换机故障。
  •  防火墙抢占延时过短。
建议与总结
部分交换机的接口状态由Down变为Up后,该接口需要几秒之后才能正常接收报文。交换机不能及时接收防火墙发出来的免费ARP报文并刷新其ARP表项。
防火墙的抢占延时应大于交换机的接口恢复正常所需的时间。通常使用默认值即可。

END