USG6680双机热备无法抢占问题

发布时间:  2016-11-25 浏览次数:  123 下载次数:  0
问题描述

两台USG6680做企业出口,上行连接2台二层交换机接入运营商。

处理过程


如图所示防火墙上下行运行VRRP,主在同一台设备上。上下行接口开启虚拟MAC功能,主防火墙通过IP-LINK监控上行交换机的上行链路。模拟交换机上行链路down主备发生切换后流量可以正切换至备设备。当主设备上行交换机故障恢复后,主防火墙无法抢占为VRRP主(默认为立即抢占)。

根因

由于防火墙启用虚拟MAC防火墙配置VRRP的物理接口发送数据的时候二层封装使用虚拟MAC地址运营商上层BRAS记录ARP表的时候记录主IP为虚拟MAC比如00-01,当主备切换后备机配置VRRP的物理接口同样使用虚拟MAC地址进行发包。当BRAS收到后同样会在次记录一条备机的地址和MAC00-01)写入ARP缓存表中,此时恢复二层交换机上行口。由于防火墙的ARP缓存表没有老化所以不发送ARP Request请求网关的MAC地址,导致BRAS回包的时候二层封装的备机MAC地址还是使用虚拟MAC(00—01)且二层交换机转发时由于虚拟MAC地址所属接口连接到备机导致流量转发至备机。防火墙IP-LINK检测一直ping不通,所以导致主设备不抢占。

解决方案

1、关闭虚拟MAC功能

2、在接口上配置定期发送免费ARP广播用于刷新上层设备ARP缓存表和MAC地址表(gratuitous-arp send enable interval XX,在指定接口下开启默认180s发送一次)

建议与总结

当网络发生故障时,应理清思路。从二层到三层逐步排查,分析正确的流量走向,必要时可通过抓包、Debug、流统来定位问题。

END