usg6620 配置双机热备与IP-link联动后,当发生故障时,没有达到预期的主备切换效果

发布时间:  2016-01-28 浏览次数:  216 下载次数:  0
问题描述

两台USG6620配置成双机热备。主备防火墙配置完IP-LINK后,当IP-LINK所监控的链路断掉时,防火墙虽然有如下提示:
2016-01-22 14:05:04 LA_WEB_FW %%01BRIDGE/2/DOWNLOG(l): Ip-link 1 change to down

但是HRP状态并没有变化,即主备并没有发生切换,与预期不符。

处理过程

1.根据客户对问题的描述,首先需要确认主备防火墙的active组的优先级分别是多少?
输入命令display hrp group进行查看:
当所监控的链路没有断开时,主防火墙的优先级为65001,备防火墙的优先级为65000。
当所监控的链路断开时,主防火墙的优先级为64999,备防火墙的优先级为64998。

2.检查客户发送过来的主备防火墙的配置信息
(1)主防火墙的ip-link相关配置
ip-link check enable
ip-link 1 destination 192.168.14.1 interface GigabitEthernet1/0/1 mode icmp
hrp track ip-link 1 active
(2)备防火墙的ip-link相关配置
ip-link check enable
ip-link 1 destination 192.168.14.1 interface GigabitEthernet1/0/1 mode icmp
hrp track ip-link 1 standby

根因
由于客户配置的ip-link监控的为同一个链路,因此当链路断掉时,主备防火墙的优先级都会减小2,即主防火墙的优先级还会高于备防火墙的优先级,因此主备并不会发生切换。
解决方案

依据客户的实际组网环境,应该只在主墙上开启IP-LINK即可,删除在备墙上的IP-LINK配置,否则不会发生主备切换的。
建议与总结
建议应该明白IP-LINK的应用场景及原理,以及防火墙发生切换的原理,然后再根据实际需求进行配置与测试。

END