USG6680双机主备倒换导致互联网用户无法访问部分业务系统http服务

发布时间:  2016-12-27 浏览次数:  119 下载次数:  0
问题描述

某局点USG6680采用旁挂双机主备模式部署在核心交换机,充当业务系统网关,用于跨网段系统的安全控制;交换机SW2作为终端用户网关设备,交换机SW2和FW1,FW2运行ospf协议stub区域;出口路由器,SW1和FW1,FW2也运行OSPF骨干区域,业务系统及终端用户IP通过network发布在ospf进程中,实现互联互通,出口路由器下发默认路由,引导上行流量。

FW1利用hrp track ip-link检测上联口A地址不通之后,主备防火墙倒换之后,部分业务系统无法访问。网络拓扑如下:

告警信息


处理过程

1、终端用户上网测试没问题,说明外网线路连接正常(业务系统映射使用同一条电信线路)。

2、终端用户使用内网地址测试业务系统80端口,可以访问,判定服务器提供服务正常。

3、经询问网管人员,出口路由器未做过配置上的变更,排除人为故障。

4、该业务系统是对外的网上办事网站,涉及到域名,初步怀疑DNS解析导致无法访问,模拟外网PC机进行解析测试,经测试域名解析正常,公网地址涉及保密,已做处理。tracert 网站地址 80 路径如下:

C:\Users\Administrator>nslookup wsbs.xxx.gov.cn
服务器:   public1.114dns.com
Address:   114.114.114.114

非权威应答:
名称:    wsbs.xxx.gov.cn
Address:   121.35.251.xx

C:\tcproute>tcproute.exe -i 3 121.35.251.xx 80

通过最多 30 个跃点跟踪到 121.35.251.150 的路由

   1    <1 毫秒   <1 毫秒   <1 毫秒  192.168.1.1
   2     3 ms     3 ms     1 ms  113.87.80.1
   3     2 ms     1 ms     2 ms  113.106.43.165
   4     3 ms     2 ms     2 ms  183.56.66.105
   5     1 ms     2 ms     2 ms  58.60.24.58
   6     1 ms     2 ms     3 ms  119.136.8.82
   7     2 ms     2 ms     2 ms  121.35.251.xx
   8      *        *        *    请求超时
   9      *        *        *     请求超时


5、tracert路径上看,显示路由路径到达出口路由器,登录出口路由器查看路由表,如下
<Inter_AR2240_1>display ip routing-table 172.18.56.3
Route Flags: R - relay, D - download to fib
------------------------------------------------------------------------------
Routing Table : Public
Summary Count : 1
Destination/Mask    Proto   Pre  Cost      Flags NextHop         Interface

        0.0.0.0/0   static   60  0           RD   121.35.251.XX   GigabitEthernet0/0/1

6、核实分析得知,无路由指向SW1交换机,只匹配上了默认路由,明显不符合实际规划。怀疑FW2未发布网关地址172.18.56.254至OSPF进程,导致路由缺失。登录FW2查看OSPF配置,未network业务系统网关地址,后network地址信息,测试业务恢复正常
7、经和网管人员核实,该业务系统近期才上线,应该是备防火墙配置遗漏导致

根因

网管人员配置发布业务系统网段信息时,备防火墙未做路由发布配置,双机主备部署过程中,开启自动备份,不会配置主设备上的接口信息以及路由表信息

解决方案

备防火墙FW2(此时HRP状态应该是主)在OSPF进程发布业务系统网关地址解决,配置如下:

HRP_A<USG6680-1>sy
Enter system view, return user view with Ctrl+Z.
HRP_A[USG6680-1]ospf 1
HRP_A[USG6680-1-ospf-1]ar 0
HRP_A[USG6680-1-ospf-1-area-0.0.0.0]172.18.56.0 0.0.0.255

END