主备切换后NAT业务不通

发布时间:  2014-09-20 浏览次数:  452 下载次数:  0
问题描述
如图10-1所示,两台防火墙双机热备,和交换机形成口字型组网。其中是防火墙A为主用防火墙,防火墙B为备用防火墙。
图10-1 组网图


断开防火墙A的外网口的网线或内网口的网线,都能够快速切换主备状态,但是NAT业务不通。
将防火墙A关机,业务仍然不通。
处理过程
步骤 1 检查防火墙B的配置,正常。
步骤 2 断开防火墙A外网口网线,检查两台防火墙上的会话统计数据。
会话在防火墙A上建立,且会话统计不断增加。防火墙B上的会话统计持续不变。初步判断为防火墙主备状态切换后,交换机的MAC地址转发表没有更新。
步骤 3 在交换机下挂PC上,Ping防火墙下行VRRP备份组的虚拟IP地址,并继续检查两台防火墙上的会话统计数据。
会话在防火墙B上建立,且会话统计不断增加,防火墙A上的会话统计持续不变。说明交换机的MAC地址转发表正常。
步骤 4 恢复防火墙A的外网口网线,等待防火墙A抢占。
步骤 5 在防火墙A上,将一个处于Down状态的接口加入VRRP备份组,触发主备切换,继续检查会话统计数据。
会话在防火墙A上建立,且会话统计不断增加且有反方向的统计数据。说明NAT业务恢复正常。由此可知,无论防火墙如何切换状态,服务器访问外网的报文都转发到了防火墙A上。
步骤 6 检查服务器的路由表,发现服务器上,路由的下一跳指向了防火墙A的内网口IP地址,而不是VRRP备份组的虚拟IP地址。
步骤 7 修改服务器的路由配置,故障恢复。
根因
主备状态切换正常,NAT业务不通,说明流量引导错误。可能是防火墙B配置错误,或者交换机上的MAC转发表项没有刷新。
建议与总结
经确认,现网原为单机组网,修改为双机热备组网后出现此故障。网络调整时没有修改服务器的路由配置。
在网络调整时,不仅要调整防火墙本身的配置,也要根据组网变化,调整上下行设备的配置。

END