增加Vrrp配置造成USG2200双机HRP主备切换

发布时间:  2015-09-22 浏览次数:  196 下载次数:  0
问题描述
两台USG2200路由模式下进行双机组网,示意图如下:
      LSW-1--------------LSW-2
         |                      | 
  USG2200-1-------------USG2200-2
         |                      |
      LSW-3--------------LSW-4
其中两台设备对上对下的2层交换机各自做vrrp,并在两台防火墙互连链路上起vrrp做为HRP心跳通道,其中USG2200-1上vrrp都加入了master这个vrrp组,USG2200-2上vrrp都加入了backup这个vrrp组。正常情况下E1000E-1为Hrp的master。
当客户在USG2200-1上一个处于down状态无配置的端口下新配置一组vrrp时,防火墙HRP主备切换。
处理过程
删除新增的vrrp配置,USG2200-1优先级变为65001,大于USG2200-2的65000,HRP状态切换回正常状态。
在使能HRP后,HRP主防火墙的默认优先级为65001,备防火墙的默认优先级为65000。假设主防火墙上加入vrrp master组的一个端口down掉,HRP优先级会联动减2,变成64999(如果两个端口down则减4,依此类推),小于备防火墙的65000,产生主备的切换。
因此在新增或减少vrrp的时候,双机防火墙只是根据本墙状态决定是否变动优先级。
这样就会出现如下的场景:(1)如上在端口为down的情况下,在主防火墙增加一组vrrp;(2)在主备防火墙同一组vrrp都为down的情况下,在备墙上删除这组vrrp。都会使得主防火墙优先级小于备防火墙,造成主备切换。
根因
问题发生时,使用命令display hrp查看状态,发现USG2200-1上HRP优先级为64999,小于USG2200-2上HRP优先级65000,因此发生切换。
解决方案
现网运行的双机环境添加新的vrrp组时,需要注意先令新添加vrrp组的端口up起来。

END