USG6680(V1R1C30SPC100)FW异常双主导致业务异常

发布时间:  2017-03-20 浏览次数:  57 下载次数:  0
问题描述

办公网络访问外部网络出现异常。经排查,为出口防火墙发生双主,导致业务异常。

处理过程

1、问题发生后,排查发现两台出口防火墙出现了双主状态。主备墙心跳口互ping,发现无法通信,察看接口和安全策略等相关配置,未发现问题。

HRP_A<USG6650-2>ping 1.1.1.1

18:28:06  2016/06/21

  PING 1.1.1.1: 56  data bytes, press CTRL_C to break

    Request time out

    Request time out

    Request time out

    Request time out

    Request time out

 

  --- 1.1.1.1 ping statistics ---

    5 packet(s) transmitted

    0 packet(s) received

    100.00% packet loss

2、察看arp,发现心跳口无法学习到对端的arp

HRP_S[USG6650-2]display  arp interface  Eth-Trunk  0

18:34:55  2016/06/21

IP ADDRESS      MAC ADDRESS     EXPIRE(M) TYPE        INTERFACE   VPN-INSTANCE  

                                          VLAN/PVC                       

------------------------------------------------------------------------------

 

1.1.1.2         e4c2-XXXX-5394            I           Eth-T0

---------------------------------------------------------------------------------------

Total:1         Dynamic:0       Static:0    Interface:1    Authorized:0         SNMP:0   

3、对arp进行debug发现设备会发送1.1.1.1/1.1.1.2/1.1.1.3等不属于自己接口的免费arp

*0.4859350 USG6650-1 ARP/7/arp_send:Send an ARP Packet, operation : 2, sender_eth_addr : e4c2-xxxx-539e,sender_ip_addr : 1.1.1.1, target_eth_addr : ffff-ffff-ffff, target_ip_addr : 1.1.1.1

*0.4859350 USG6650-1 ARP/7/arp_send:Send an ARP Packet, operation : 2, sender_eth_addr : e4c2-xxxx-539e,sender_ip_addr : 1.1.1.2, target_eth_addr : ffff-ffff-ffff, target_ip_addr : 1.1.1.2

*0.4859350 USG6650-1 ARP/7/arp_send:Send an ARP Packet, operation : 2, sender_eth_addr : e4c2-xxxx-539e,sender_ip_addr : 1.1.1.3, target_eth_addr : ffff-ffff-ffff, target_ip_addr : 1.1.1.3

 

4、察看防火墙配置,其中关于nat地址池的策略,包含了心跳接口IP地址导致两台防火墙都会发送arp,并且互相认为冲突导致心跳不通。

nat address-group for_test

section 0 1.1.1.1 1.1.1.100

nat-mode no-pat

description 域间NAT

 

rule name anyoffice域间nat

  source-zone trust

  destination-zone untrust

  source-address address-set 10.XXX.121.20/32.

  destination-address address-set 218.XX.220.236.

  action nat address-group for_test

 

5、删除该条配置后,问题解决,网络访问恢复正常。

根因

Nat地址池中的地址段包含了心跳接口IP地址,导致两台防火墙hrp状态异常,从而影响访问业务。

解决方案

1、NAT地址池的地址段不能包含接口地址,建议心跳接口的IP地址和业务地址段不要使用相近网段,以免误操作;

2、出口防火墙影响业务面广,建议选择非业务高峰期操作。操作前先制作操作手册,包含操作步骤,操作命令,测试验证方法,回退方案;

3、建议部署日志服务器搜集防火墙日志,便于回溯分析流量行为。华为可协助提供eisight软件和测试license;

END