USG6680(V500R001)双机热备业务主备切换后业务不通

发布时间:  2017-03-01 浏览次数:  137 下载次数:  0
问题描述



如上图所示:

 FW1和FW2做为出口防火墙上连出口交换机,做vrrp2和vrrp3。下连NE40路由器。NE40路由器对下做vrrp 1虚地址为10.1.1.1。

FW1和FW2接口G1/0/0、G1/0/1和G1/0/2在link-group1里,当其中一个接口故障,其他两个也关闭,保障vrrp可以切换。

告警信息

处理过程

 正常流量通过AR1到达FW1出口出去,当FW1的G1/0/1接口故障后,发现防火墙主备已经切换。我们在LSW1上ping外网,发现无法ping通。而在FW2上此时为主墙ping公网可以ping通。

1.在LSW1上开长ping外网,在FW2上看session,发现没有,说明流量没有到达防火墙。

2.查看路由器主备状态,发现路由器AR1是主路由器,AR2是备路由器。也就是业务流量被引导到主路由器所以导致业务不通。


根因

当防火墙的主备状态切换后,路由器的主备没有切换导致业务不通。

解决方案

我们可以采用BFD,在路由器和防火墙之间的链路建立BFD会话,在路由器下连接口处vrrp vrid 1 track bfd-session 会话。做到当防火墙FW1接口变化时,FW1和AR1同时切换为备设备,FW2和AR2同时切换为主设备。这样业务就通了。

END