推荐点击下面图片,通过本站淘宝优惠价购买:
问题描述
1、网络拓扑图(搭建实验场景)
告警信息
无
处理过程
1、当对防火墙进行主备倒换测试过程中,发现业务出现中断,验证故障现象。(新组网,原先规划防火墙双机为主备方式部署)
2、首先检查防火墙的配置信息、会话信息和log、trap等信息,是否存在异常情况;
3、检查防火墙的log信息,发现防火墙的接口vlan被处于禁用状态,这是未进行主备切换之前的状态;
4、下一步将检查防火墙的路由表,在切换前,路由转发都是通过FW1主用设备承载业务,在主备倒换时,FW1切换成备用设备时,VLAN内所有接口都会Down然后Up一次。这会导致上下行路由器重新计算OSPF路由,导致备设备不能及时接替主设备处理业务,导致业务中断;最后,OSPF路由收敛后,路由能够正常学习,由于FW1的端口vlan被禁用后,FW1链路cost增加,因此业务流量全部从FW2转发。
5、同时通过咨询华为TAC技术中心,该场景不支持防火墙主备方式部署;
6、最后,与客户一同协商,同意将防火墙双机改为负载分担方式部署。
根因
根因:无
防火墙双机部署场景注意事项:
1)此种组网不支持主备备份方式。因为如果工作于主备备份方式,备用设备上的VLAN被禁用,它的上下行路由器就无法进行通信,路由也无法建立。这样主备切换时,备用设备就无法及时接替主用设备处理业务,导致业务中断。因此,此场景防火墙双机采用负载均衡部署。
建议与总结
建议与总结:
1)若防火墙上、下行业务接口都工作在二层,与路由器直连。上、下行路由器之间运行OSPF动态路由协议。每台FW的上下行业务接口加入到同一个VLAN。
此组网不支持主备方式的双机热备。
2)将防火墙双机采用负载均衡方式部署,解决此场景下防火墙双机在发生主备切换时,业务中断问题。
本文链接:http://www.hqyman.cn/post/4548.html 非本站原创文章欢迎转载,原创文章需保留本站地址!
休息一下,本站随机推荐观看栏目:
