USG6300双机配置双主导致业务不通

发布时间:  2016-05-28 浏览次数:  307 下载次数:  0
问题描述

组网如图,USG-A与USG-B形成双机热备,上联CE交换机,业务部署后发现USG下联设备ping交换机下联时通时不通。


告警信息

CE交换机上大量出现如下日志

2:27:34 M6-A07-CE12808-A %%01FEI_COMM/4/hwMflpVlanLoopAlarm_active(l):CID=0x807f0450-alarmID=0x095e0012;MAC flapping detected, VlanId = 2000, Original-Port = Eth-Trunk11, Flapping port 1 = Eth-Trunk14, port 2 = -. Check the network connected to the interface learning a flapping MAC address : 0000-5e00-0101.

May 27 2016 12:27:33 M6-A07-CE12808-A %%01FEI_COMM/4/hwMflpVlanLoopAlarm_clear(l):CID=0x807f0450-alarmID=0x095e0012-clearType=service_resume;Mac flapping detection recovered in vlan 2000.

May 27 2016 12:11:34 M6-A07-CE12808-A %%01FEI_COMM/4/hwMflpVlanLoopAlarm_active(l):CID=0x807f0450-alarmID=0x095e0012;MAC flapping detected, VlanId = 2000, Original-Port = Eth-Trunk11, Flapping port 1 = Eth-Trunk14, port 2 = -. Check the network connected to the interface learning a flapping MAC address : 0000-5e00-0101.

May 27 2016 12:11:32 M6-A07-CE12808-A %%01FEI_COMM/4/hwMflpVlanLoopAlarm_clear(l):CID=0x807f0450-alarmID=0x095e0012-clearType=service_resume;Mac flapping detection recovered in vlan 2000.

处理过程

1、通过日志分析,交换机ETH-TRUNK11 和ETH-TRUNK 14上存在大量MAC漂移现象,漂移的MAC地址为0000-5e00-0101,该地址是一个VRRP虚拟地址。根据接口确认,eth-trunk11和ETH-TRUNK 14分别互联USG-A和USG-B,怀疑防火墙HRP在不断切换。

2、通过防火墙A信息分析,看到以下信息(仅截取重要信息):

===================================================

  ===============display hrp all===============

===================================================

15:42:42  2016/05/26

 Role: active, peer: active

 Running priority: 48008, peer: 48008

 Core state: normal, peer: normal

 Backup channel usage: 0%

 Stable time: 269 days, 4 hours, 38 minutes


 Configuration:

 hello interval:              1000ms

 preempt:                     60s

 mirror configuration:        off

 mirror session:              on

 track trunk member:          on

 auto-sync configuration:     on=

 auto-sync connection-status: on

 adjust ospf-cost:            on

 adjust ospfv3-cost:          on

 adjust bgp-cost:             on

 nat ports-segment:           off


 Detail information:

     

               Eth-Trunk11.2000 vrrp vrid 1: master (negotiation failed)

由此怀疑防火墙VRRP配置成了双主。

3、对防火墙进行配置比对,结果如下(仅截取关键信息):

USG-A

interface Eth-Trunk11.2000

……

vrrp vrid 1 virtual-ip 10.**.**.1 master

#

USG-B

interface Eth-Trunk11.2000

……

vrrp vrid 1 virtual-ip 10.**.**.1 master

根据配置情况,确认了问题根因。

               


根因

两台防火墙设备同时配置了VRRP master模式,导致主备协商不成功,两台设备均认为自己是MASTER,对ARP信息进行相应,造成CE交换机MAC\ARP频繁刷新,影响业务。

解决方案

根据业务对配置进行修正:

USG-A

interface Eth-Trunk11.2000

……

vrrp vrid 1 virtual-ip 10.**.**.1 master

#

USG-B

interface Eth-Trunk11.2000

……

vrrp vrid 1 virtual-ip 10.**.**.1 slave

END