VRRP监视NQA测试实例配置有误导致VRRP状态不能切换

发布时间:  2016-10-18 浏览次数:  96 下载次数:  0
问题描述
说明:
1、R1、R2为上联路由器,分别通过ISP1与ISP2的专线连接到总部;同时R1,R2分别通过G0/0/0口连接到SW1与SW2。
2、R1、R2上在G0/0/0接口下启用子接口G0/0/0.10和G0/0/0.20,同时分别在G0/0/0.10和G0/0/0.20接口下启用VRRP作为不同用户的网关,R1为Master设备。
3、在R1上配置NQA实例并与VRRP联动。
4、SW1、SW2为二层接入交换机,分别通过二层trunk链路连接到R1、R2,SW1与SW2之间通过二层Trunk链路互联,所有trunk链路透传相应VLAN。

故障:

ISP1的链路发生故障时VRRP状态没有切换,R1仍为Master设备,导致用户无法正常访问总部。

处理过程

1、分别在R1和R2上通过命令display vrrp brief查看VRRP状态:

<R1>dis vrrp brief 

Total:2     Master:2     Backup:0     Non-active:0      

VRID  State        Interface                Type     Virtual IP     

----------------------------------------------------------------

10    Master       GE0/0/0.10               Normal   10.10.10.3     

20    Master       GE0/0/0.20               Normal   20.20.20.3  

<R2>dis vrrp brief 

Total:2     Master:0     Backup:2     Non-active:0      

VRID  State        Interface                Type     Virtual IP     

----------------------------------------------------------------

10    Backup       GE0/0/0.10               Normal   10.10.10.3     

20    Backup       GE0/0/0.20               Normal   20.20.20.3  

可以看到VRRP的Master状态没有切换到R2上。

2、分别在R1和R2上通过命令display vrrp statistics查看VRRP报文的收发情况:

<R1>display vrrp statistics

  GigabitEthernet0/0/0.10 | Virtual Router 10 

                            Transited to master : 1 

                            Transited to backup : 1 

                        Transited to initialize : 0 

                        Received advertisements : 4 

                            Sent advertisements : 5413 

                  Advertisement interval errors : 0 

                 Failed to authentication check : 0                     

  GigabitEthernet0/0/0.20 | Virtual Router 20 

                            Transited to master : 1 

                            Transited to backup : 1 

                        Transited to initialize : 0 

                        Received advertisements : 4 

                            Sent advertisements : 5416 

                  Advertisement interval errors : 0 

                 Failed to authentication check : 0 

--------------------------------------------------------------------

<R2>display vrrp statistics
  GigabitEthernet0/0/0.10 | Virtual Router 10 
                            Transited to master : 4 
                            Transited to backup : 5 
                        Transited to initialize : 0 
                        Received advertisements : 5365 
                            Sent advertisements : 26 
                  Advertisement interval errors : 0 
                 Failed to authentication check : 0 
                    

  GigabitEthernet0/0/0.20 | Virtual Router 20 
                            Transited to master : 4 
                            Transited to backup : 5 
                        Transited to initialize : 0 
                        Received advertisements : 5366 
                            Sent advertisements : 26 
                  Advertisement interval errors : 0 
                 Failed to authentication check : 0 

通过以上信息可以确定VRRP组报文收发正常。因为发生故障的链路是VRRP组的非直连链路,VRRP是无法感知到的,为此该网络中采用NQA来保障VRRP的健壮性。因此接下查看NQA是否正常。

3、在R1上通过命令display nqa results查看NQA的运行监测情况:

<R1>display nqa results 

 NQA entry(ipcheck, 1) :testflag is active ,testtype is icmp 

  1 . Test 316 result   The test is finished

   Send operation times: 3              Receive response times: 0          

   Completion:failed                    RTD OverThresholds number: 0       

   Attempts number:1                    Drop operation number:3                 

   Destination ip address:100.100.100.2                                  

   Min/Max/Average Completion Time: 0/0/0                                

   Sum/Square-Sum  Completion Time: 0/0                                  

   Last Good Probe Time: 0000-00-00 00:00:00.0                           

   Lost packet ratio: 100 %                                              

  2 . Test 317 result   The test is finished

   Send operation times: 3              Receive response times: 0          

   Completion:failed                    RTD OverThresholds number: 0       

   Attempts number:1                    Drop operation number:3                 

   Destination ip address:100.100.100.2                                  

   Min/Max/Average Completion Time: 0/0/0                                

   Sum/Square-Sum  Completion Time: 0/0                                  

   Last Good Probe Time: 0000-00-00 00:00:00.0                           

   Lost packet ratio: 100 %                                                                     

通过以上信息可以得知NQA测试实例运行正常,并已成功检测出上联链路发生了故障。要想使VRRP与NQA联动就必须在VRRP备份组中配置VRRP监视NQA测试实例的功能。所以接下来检查VRRP备份组中是否启用了该功能。

4、在R1上通过命令display current-configuration interface g0/0/0.10和display current-configuration interface g0/0/0.20查看两个VRRP备份组的配置情况:

<R1>display current-configuration interface g0/0/0.10

[V200R003C00]

#

interface GigabitEthernet0/0/0.10

 description YeWu1

 dot1q termination vid 10

 ip address 10.10.10.1 255.255.255.0 

 vrrp vrid 10 virtual-ip 10.10.10.3

 vrrp vrid 10 priority 120

 vrrp vrid 10 preempt-mode timer delay 30

 vrrp vrid 10 track nqa ipcheck 1

#

return

<R1>display current-configuration interface g0/0/0.20

[V200R003C00]

#

interface GigabitEthernet0/0/0.20

 description YwWu2

 dot1q termination vid 20

 ip address 20.20.20.1 255.255.255.0 

 vrrp vrid 20 virtual-ip 20.20.20.3

 vrrp vrid 20 priority 120

 vrrp vrid 20 preempt-mode timer delay 30

 vrrp vrid 20 track nqa ipcheck 1

通过以上信息发现VRRP备份组中通过命令track nqa ipcheck 1开启了VRRP监视NQA测试实例的功能。
5、经过以上几个步骤的分析可以确定VRRP备份组中的R1、R2工作正常,VRRP报文可以正常交互,NQA测试实例运行正常,VRRP备份组也开启了和NQA联动的功能。排除以上情况后影响VRRP状态的因素很可能就是VRRP的优先级了,因此接下来查看VRRP备份组优先级。
6、在R1通过命令display vrrp interface g0/0/0.10和display vrrp interface g0/0/0.20查看备份组的详细信息:
<R1>display vrrp interface g0/0/0.10
  GigabitEthernet0/0/0.10 | Virtual Router 10
    State : Master
    Virtual IP : 10.10.10.3
    Master IP : 10.10.10.1
    PriorityRun : 110
    PriorityConfig : 120
    MasterPriority : 110
    Preempt : YES   Delay Time : 30 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-010a
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Track NQA : ipcheck  1   Priority reduced : 10
    NQA state : failed
    Create time : 2016-10-18 09:12:21 UTC-08:00
    Last change time : 2016-10-18 09:20:35 UTC-08:00

<R1>display vrrp interface g0/0/0.20
  GigabitEthernet0/0/0.20 | Virtual Router 20
    State : Master
    Virtual IP : 20.20.20.3
    Master IP : 20.20.20.1
    PriorityRun : 110
    PriorityConfig : 120
    MasterPriority : 110
    Preempt : YES   Delay Time : 30 s
    TimerRun : 1 s
    TimerConfig : 1 s
    Auth type : NONE
    Virtual MAC : 0000-5e00-0114
    Check TTL : YES
    Config type : normal-vrrp
    Backup-forward : disabled
    Track NQA : ipcheck  1   Priority reduced : 10
    NQA state : failed
    Create time : 2016-10-18 09:12:30 UTC-08:00
    Last change time : 2016-10-18 09:20:31 UTC-08:00
通过以上信息发现两个VRRP备份组中的运行优先级均为110,而R2上采用的是默认的VRRP优先级100,R1的优先级高于R2的优先级所以VRRP状态没有切换。
7、再次仔细分析步骤4中显示的信息,发现VRRP备份组中只是开启了VRRP监视NQA测试实例的功能并未指定具体的动作。缺省情况下,当被监视的NQA测试实例变为Failed时,优先级的数值降低10。而R1的VRRP配置优先级为120,被降低10后变为了110,仍然高于R2的VRRP的优先级。
8、在R1上做如下操作:
在GigabitEthernet0/0/0.10下添加如下命令
vrrp vrid 10 track nqa ipcheck 1 reduced 30
在GigabitEthernet0/0/0.20下添加如下命令
vrrp vrid 20 track nqa ipcheck 1 reduced 30
9、稍等片刻分别在R1和R2上通过命令display vrrp brief查看VRRP状态:
[R1]display vrrp brief 
Total:2     Master:0     Backup:2     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
10    Backup       GE0/0/0.10               Normal   10.10.10.3     
20    Backup       GE0/0/0.20               Normal   20.20.20.3  
  
[R2]display vrrp brief 
Total:2     Master:2     Backup:0     Non-active:0      
VRID  State        Interface                Type     Virtual IP     
----------------------------------------------------------------
10    Master       GE0/0/0.10               Normal   10.10.10.3     
20    Master       GE0/0/0.20               Normal   20.20.20.3
发现VRRP状态切换正常,故障解决。


根因

在配置VRRP与NQA联动时,只是简单的开启了VRRP监视NQA测试实例的功能,并未指定具体的动作。缺省情况下当被监视的NQA测试实例变为Failed时,优先级的数值降低10,当前Master的配置优先级为120,降低10后仍高于Backup的优先级,所以VRRP状态无法正常切换。

解决方案

针对以上情况在VRRP备份组中配置VRRP监视NQA测试实例功能时指定将VRRP优先级降低30。

建议与总结

在实际组网中单独使用VRRP往往无法保证在网络主链路发生故障时及时有效的将用户数据流切换到备份链路上,因此往往需要配合使用NQA、BFD等技术。在两种技术配合使用时除了要保证这两种技术本身配置正确外,还需注意两种技术的联动功能要配置准确无误。

END