由于增加VRRP组导致防火墙主备切换

发布时间:  2014-11-27 浏览次数:  393 下载次数:  0
问题描述
两台防火墙双机热备组网,上下连接交换机,上行接口加入VRRP组1,下行接口加入VRRP组3,如下:


防火墙FW1工作于Master状态,所有VRRP组都加入Master管理组,防火墙FW2工作于Slave状态,所有VRRP组都加入Slave管理组。

在防火墙A的GigabitEthernet0/0/3接口新配置一个VRRP组4,主备切换。
告警信息
2014-11-21 17:56:17 sysname %%01VGMP/4/STATE(1): Virtual Router Management Group SLAVE : MASTER -->SLAVE
2014-11-21 17:56:17 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet0/0/1 , Virtual Router 1 : MASTER changed to BACKUP!
2014-11-21 17:56:17 sysname %%01VRRP/4/STATEWARNING(1): Interface: GigabitEthernet0/0/2 , Virtual Router 1 : MASTER changed to BACKUP!
处理过程
1.使用命令display hrp group查看VGMP管理组的优先级。Master管理组优先级为64999,Slave管理组优先级为65000。
缺省情况下,Master管理组的优先级为65001,Slave管理组的优先级为65000。防火墙每一个接口变为Down状态,优先级减2。

2.检查GigabitEthernet0/0/3接口的状态,接口处于Down状态。
在防火墙A上将GigabitEthernet0/0/3加入VRRP组4时,主用设备的优先级由65001变为64999,小于备用设备的65000,导致发生主备切换。

3.处理接口故障,使接口变为Up状态。
根因
接口处于Down状态,将接口加入VRRP备份组后,主用防火墙的VGMP管理组优先级减2从而低于备用防火墙,从而发生主备切换。

解决方案
去除掉接口GigabitEthernet0/0/3上的vrrp配置或者将接口变成up状态。
建议与总结
在增加或删除VRRP备份组的时候,防火墙根据接口的状态重新计算优先级,并根据优先级决定是否切换状态。

END