USG5120,双机热备虚ip不通

发布时间:  2014-12-20 浏览次数:  160 下载次数:  0
问题描述
简略top如下:

USG5120,已完成VRRP,HRP配置,状态显示也都正常。
如下:
HRP_M[SRG]display vrrp
10:08:48  2014/12/20

  GigabitEthernet0/0/0 | Virtual Router 1
    VRRP Group : Master
    state : Master
    Virtual IP : 172.16.1.254
    Virtual MAC : 0000-5e00-0101
    Primary IP : 172.16.1.252
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0
    Advertisement Timer : 1
    Auth Type : NONE
    Check TTL : YES

HRP_S[SRG]display vrrp
10:09:14  2014/12/20

  GigabitEthernet0/0/0 | Virtual Router 1
    VRRP Group : Slave
    state : Backup
    Virtual IP : 172.16.1.254
    Virtual MAC : 0000-5e00-0101
    Primary IP : 172.16.1.253
    PriorityRun : 120
    PriorityConfig : 100
    MasterPriority : 120
    Preempt : YES   Delay Time : 0
    Advertisement Timer : 1
    Auth Type : NONE
    Check TTL : YES

但是在下端的交换机上去ping防火墙的接口实IP地址通,ping虚IP地址不通。
处理过程
1、查看交换机设备配置,将上连防火墙的两个接口做了链路捆绑。将接口从eth-trunk中移出。
       防火墙虽做双机热备,但还是两台设备。
2、检查到主备防火墙都没有启用虚拟mac地址功能。
       vrrp virtual-mac enable 该命令用来启动使用虚拟MAC地址功能。

根因
查阅vrrp virtual-mac enable命令说明:
        双机热备状态形成后,USG在发送VRRP报文时,以及主备状态切换后USG发送免费ARP报文时,将会使用虚拟MAC地址对报文进行封装。当USG对用户业务报文进行三层转发时,将会使用接口的实际MAC地址对报文进行封装。由于USG使用接口的实际MAC地址对用户业务报文进行封装,在某些场景中将会导致问题。

解决方案
在接口上启用虚拟mac地址功能。

END