USG6650双机热备多出口链路检测异常

发布时间:  2016-09-25 浏览次数:  109 下载次数:  0
问题描述


1,网络拓扑,版本信息以及接口配置


版本号:V100R001C30SPC700

主防火墙接口配置信息:

interface GigabitEthernet1/0/7
 description isp-liantong
 ip address 58.xx.xx.156 255.255.255.192 
 reverse-route nexthop 58.xx.xx.129
 vrrp vrid 252 virtual-ip 58.xx.xx.155 active
 lldp enable
 lldp tlv-enable basic-tlv all
 service-manage ping permit
 gateway 58.xx.xx.129 no-route

备防火墙接口配置信息:

interface GigabitEthernet1/0/7
 description isp-liantong
 ip address 58.xx.xx.157 255.255.255.192 
 reverse-route nexthop 58.xx.xx.129
 vrrp vrid 252 virtual-ip 58.xx.xx.155 standby
 lldp enable
 lldp tlv-enable basic-tlv all
 service-manage ping permit
 gateway 58.xx.xx.129 no-route



2,问题描述

双机热备多出口链路切换时,将主防火墙链路中断,备防火墙链路出现检测失败,不能ping通下一跳地址。

@1,主防火墙到联通链路接口G1/0/7断开。


@2,备防火墙链路检测失败。




处理过程

1、在防火墙上查ARP表项,能查到对端MAC;
HRP_A<FW1>dis arp
00:42:36  2016/09/13
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE     VLAN/PVC                        
------------------------------------------------------------------------------
58.xx.xx.156    0000-5e00-01fc           I           GE1/0/7
58.xx.xx.157    d0d0-4b21-ec35  18        D           GE1/0/7
58.xx.xx.129    18c5-8a14-e111  18        D           GE1/0/7

HRP_S<FW2>dis arp
00:42:20  2016/09/13
IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE   VLAN/PVC                        
------------------------------------------------------------------------------
58.xx.xx.157    d0d0-4b21-ec35            I           GE1/0/7
58.xx.xx.129    18c5-8a14-e111  19        D           GE1/0/7

2、通过查路由表项,在备机上查不到去往另一条链路的等价路由。
HRP_S<FW2>dis ip routing-table 
00:41:58  2016/09/13
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Tables: Public
        Destinations : 2262     Routes : 2263
Destination/Mask    Proto   Pre  Cost     Flags NextHop         Interface

        0.0.0.0/0   Static  60   0          RD  218.xx.xx.161    GigabitEthernet1/0/6
        1.0.1.0/24  ISP     60   0           D  218.xx.xx.161    GigabitEthernet1/0/6
        1.0.2.0/23  ISP     60   0           D  218.xx.xx.161    GigabitEthernet1/0/6

3、在S5700上做流统,接口上有收发包,结果如下 :
[s5700-ISP-sw-01]ping -a 58.xx.xx.155   58.xx.xx.129                                        
Warning: The specified source address is not a local address, the ping command will not check the network connection.
  PING 58.xx.xx.129: 56  data bytes, press CTRL_C to break
    Request time out
    Request time out
    Request time out
    Request time out

  --- 58.xx.xx.129 ping statistics ---
    4 packet(s) transmitted
    0 packet(s) received
    100.00% packet loss

[s5700-ISP-sw-01]disp traffic policy statistics interface g 0/0/3 outbound                

 Interface: GigabitEthernet0/0/3
 Traffic policy outbound: liutong
 Rule number: 2
 Current status: success
 Statistics interval: 300
---------------------------------------------------------------------
 Board : 0
---------------------------------------------------------------------
 Matched          |      Packets:                           142
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
   Passed         |      Packets:                           142
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
   Dropped        |      Packets:                             0
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
     Filter       |      Packets:                             0
                  |      Bytes:                               -
---------------------------------------------------------------------
     Car          |      Packets:                             0
                  |      Bytes:                               -
---------------------------------------------------------------------     
[s5700-ISP-sw-01]disp traffic policy statistics interface g 0/0/3 inbound 

 Interface: GigabitEthernet0/0/3
 Traffic policy inbound: liutong
 Rule number: 2
 Current status: success
 Statistics interval: 300
---------------------------------------------------------------------
 Board : 0
---------------------------------------------------------------------
 Matched          |      Packets:                           138
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
   Passed         |      Packets:                           138
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
   Dropped        |      Packets:                             0
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
     Filter       |      Packets:                             0
                  |      Bytes:                               -
---------------------------------------------------------------------
     Car          |      Packets:                             0
                  |      Bytes:                               -
[s5700-ISP-sw-01]disp traffic policy statistics interface g 0/0/3 outbound                
 Interface: GigabitEthernet0/0/3
 Traffic policy outbound: liutong
 Rule number: 2
 Current status: success
 Statistics interval: 300
---------------------------------------------------------------------
 Board : 0
---------------------------------------------------------------------
 Matched          |      Packets:                           276
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
   Passed         |      Packets:                           276
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
   Dropped        |      Packets:                             0
                  |      Bytes:                               -
                  |      Rate(pps):                           0
                  |      Rate(bps):                           -
---------------------------------------------------------------------
     Filter       |      Packets:                             0
                  |      Bytes:                               -
---------------------------------------------------------------------
     Car          |      Packets:                             0
                  |      Bytes:                               -
---------------------------------------------------------------------      
4、通过在防火墙上做抓包。抓包结果如下:备防火墙只有发包没有收包,判定与VRRP的MAC地址有关,使能虚拟MAC地址功能。


根因

   配置VRRP的虚拟IP地址后,设备将会生成一个虚拟MAC地址。虚拟MAC地址是设备根据VRID生成的MAC地址,格式为:00-00-5E-00-01-{VRID}。一个VRID对应一个虚拟MAC地址。双机热备份状态形成后,NGFW在发送VRRP报文时,以及主备状态切换后NGFW发送免费ARP报文时,将会使用虚拟MAC地址对报文进行封装。当NGFW对用户业务报文进行三层转发时,将会使用接口的实际MAC地址对报文进行封装。
   由于NGFW使用接口的实际MAC地址对用户业务报文进行封装,在某些场景中将会导致问题。例如,NGFW的上下行设备存在四层交换机时,由于四层交换机上也会建立类似会话表的连接状态表,连接状态表中会记录从NGFW发送过来的报文的源MAC地址,也就是NGFW接口的实际MAC地址。当四层交换机发送报文时,直接根据状态记录表中的MAC地址(NGFW接口的实际MAC地址)来填充报文的目的MAC,然后将报文发送出去。主备状态发生切换时,四层交换机不会自动更新状态记录表中的MAC地址,因此还会将报文发送至原来的主用设备,导致业务中断。 


解决方案

在主、备墙对应的出口接口下配置如下命令:
vrrp virtual-mac enable

建议与总结

在接口上启用虚拟MAC功能,使NGFW接口发送的报文都使用虚拟MAC地址来封装,四层交换机上记录的也是虚拟MAC地址。这样在主备状态切换时,业务报文的源MAC地址不会发生变化,从四层交换机发送的报文也会被正确的转发至新的主用设备上,业务不会中断。注:配置了本命令的接口不能作为心跳口。

END