華為防火墻主備切換丟包問題
產品資訊2018年07月31日
分享
防火墻是位于內部網絡與外部網絡之間的網絡安全系統,對于局域網內的主機來說,如果它要跟外部網絡的主機通信,就需要通過路由器/三層交換機等對相關數據包進行轉發。防火墻上下行業務接口工作在二層,主備備份方式,交換機接備用防火墻端口xx的discarding狀態,當主備切換時交換機的端口xx從discaring到forwarding的狀態需要幾十秒的時間。如果路由器或交換機出現故障,那么跨網段的通信將會受到影響。那么如何解決華為防火墻主備切換丟包的問題呢?
組網拓撲
2、交換機和主防火墻在業務接口undo shutdown,這時主防火墻處于恢復搶占期間(等待搶占時間1分鐘),Ping丟包,備防火墻處于主的狀態,收到Ping請求并轉發去內網,但是未收到Ping響應。
3、Ping丟包期間,防火墻流統顯示自身未丟包。
處理過程
在主備防火墻上配置hrp track vlan xx,測試主備倒換的效果。備墻vlan xx不轉發任何報文,包括組播和廣播報文
hrp enable
hrp interface GigabitEthernetxx remote xxx
hrp mirror session enable
hrp auto-sync config static-route
hrp standby config enable
hrp track interface GigabitEthernet xxx
hrp track interface GigabitEthernet xxx
hrp track vlan xx
經測試,在主備防火墻上配置hrp track vlan xx,主備倒換過程中丟1個包
根本原因
防火墻工作在二層時,為了讓VGMP管理組能夠監控二層業務接口的狀態,需要將上下行業務接口加入同一個VLAN,并配置hrp track vlan
鏡像模式雙機熱備中,主備機都需要配置hrp track vlan,否則備機的VLAN不會被禁用,仍然會轉發報文。
組網拓撲
2、交換機和主防火墻在業務接口undo shutdown,這時主防火墻處于恢復搶占期間(等待搶占時間1分鐘),Ping丟包,備防火墻處于主的狀態,收到Ping請求并轉發去內網,但是未收到Ping響應。
3、Ping丟包期間,防火墻流統顯示自身未丟包。
處理過程
在主備防火墻上配置hrp track vlan xx,測試主備倒換的效果。備墻vlan xx不轉發任何報文,包括組播和廣播報文
hrp enable
hrp interface GigabitEthernetxx remote xxx
hrp mirror session enable
hrp auto-sync config static-route
hrp standby config enable
hrp track interface GigabitEthernet xxx
hrp track interface GigabitEthernet xxx
hrp track vlan xx
經測試,在主備防火墻上配置hrp track vlan xx,主備倒換過程中丟1個包
根本原因
防火墻工作在二層時,為了讓VGMP管理組能夠監控二層業務接口的狀態,需要將上下行業務接口加入同一個VLAN,并配置hrp track vlan
鏡像模式雙機熱備中,主備機都需要配置hrp track vlan,否則備機的VLAN不會被禁用,仍然會轉發報文。
一周排行榜
熱門活動
工具推薦
-
工程設計計算器
-
河姆渡方案館
