USG6650防火墙双机热备链路单通故障导致业务不通

发布时间:  2016-09-22 浏览次数:  203 下载次数:  0
问题描述

如下图:2台USG6650防火墙上联路由器,下接交换机,跟路由器之间起ospf路由协议,跟交换机之间起vrrp,当主用防火墙跟主用路由器之间的光纤链路出现单通(防火墙上的端口up,而路由器上的端口down)后防火墙主备未切换导致交换机下带业务无法访问外网。


处理过程

1、查看防火的双机热备状态和设备的物理接口状态均正常;

2、查看防火墙的vrrp状态和ospf邻居状态发现FW1跟R1之间的ospf邻居为down;

3、在FW1上ping测跟R1的互联接口发现无法ping通,但接口状态正常;

HRP_M[USG6650]display interface GigabitEthernet 0/0/1

08:48:48  2016/09/14

GigabitEthernet0/0/1 current state : UP       //端口状态为up

Line protocol current state : UP

GigabitEthernet0/0/1 current firewall zone : untrust

Description :  Interface Route Port

The Maximum Transmit Unit is 1500 bytes, Hold timer is 10(sec)                  

Internet Address is 10.11.18.2/30                                                 

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 00e0-a106-0e5b 

Media type is twisted pair, loopback not set, promiscuous mode not set          

1000Mb/s-speed mode, full-duplex mode, link type is no auto negotiation            

Vendor Name: FINISAR CORP.                                                      

Vendor PN: FTLF1619P1BCL-HW                                                     

SN: PR7344Z                                                                      

Note: This transceiver is not certified by Huawei Enterprise Business Group

Transceiver max BW: 1G                                                         

Transceiver Mode: SingleMode                                                     

WaveLengh: 1310nm                                                               

Transmission Distance: 10km

Current SFP module temperature(-128c/128c): 39.00 c 

Current SFP module supply(0/6.55V): 3.28 V

Current SFP module Tx bias(0/131mA): 33.42 mA

Current SFP module Rx power(<8.129dBm): -7.63 dBm   //收光在正常范围内

Default Rx Power High Threshold: 3.49 dBm

Default Rx Power Low Threshold: -18.40 dBm

Current SFP module Tx power(<8.129dBm): -1.84 dBm

Default Tx Power High Threshold: 3.49 dBm

Default Tx Power Low Threshold: -12.19 dBm

4、查看会话表发现在FW1做ping测试时能生成会话表,但没有回包;

HRP_M[USG6650]display firewall session table verbose destination global 10.11.18.1

08:53:04  2016/09/14

 Current Total Sessions : 1

  icmp  VPN:public --> public

  Zone: local--> untrust  TTL: 00:00:20  Left: 00:00:16

  Interface: GigabitEthernet0/0/1  NextHop: 10.11.18.1  MAC: 00-00-00-00-00-00

  <--packets:0 bytes:0   -->packets:5 bytes:420      //ping测时有发包但没有回包

  10.11.18.2:52907-->10.11.18.1:2048

5、查看路由器发现路由器R1跟防火墙的接口状态变为down,原因是收光过低,超过光模块的接收灵敏度;

<R1> display interface gigabitethernet 1/0/1

GigabitEthernet1/0/1 current state : down 

Line protocol current state : down 

Last line protocol down time : 2016-09-14   07:48:48

Link quality grade : LOW

Description: HUAWEI, Quidway Series, GigabitEthernet1/0/1 Interface

Route Port,The Maximum Transmit Unit is 1500 

Internet Address is 10.11.18.1/30

IP Sending Frames' Format is PKTFMT_ETHNT_2, Hardware address is 4c1f-cc9e-295f

LCP opened LCP Magic-nubmer Check Error Times :0 ;

The Vendor PN is FTLF1321P1BTL-HW

The Vendor Name is FINISAR CORP.   

Port BW: 1G, Transceiver max BW: 1G, Transceiver Mode: SingleMode

WaveLength: 1310nm, Transmission Distance: 10km

Rx Power:  -19.63dBm, normal range: [-15.003,  -5.999]dBm       //收光过低

Tx Power:  -3.79dBm, normal range: [-10.000,  -2.999]dBm

6、更换FW1和R1之间的光纤后业务恢复正常。

根因
双机热备防火墙对于单纤故障或者路由协议DOWN的情况下,防火墙无法感知,不能进主备防火墙间切换,而防火墙由于是主备模式,备用状态下不转发业务报文从而导致业务故障;
解决方案

在路由器和防火墙之间部署IP-LINK感知IP地址是否可达,同时将IP-LINK跟HRP绑定,可解决单纤故障,防火墙不切换问题

建议与总结

在路由器和防火墙之间部署IP-LINK感知IP地址是否可达,同时将IP-LINK跟HRP绑定,可解决单纤故障,防火墙不切换问题

END