防火墻是位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安全系統(tǒng),對于局域網(wǎng)內(nèi)的主機來說,如果它要跟外部網(wǎng)絡(luò)的主機通信,就需要通過
路由器/
三層交換機等對相關(guān)數(shù)據(jù)包進行轉(zhuǎn)發(fā)。防火墻上下行業(yè)務(wù)接口工作在二層,主備備份方式,
交換機接備用防火墻端口xx的discarding狀態(tài),當(dāng)主備切換時
交換機的端口xx從discaring到forwarding的狀態(tài)需要幾十秒的時間。如果路由器或交換機出現(xiàn)故障,那么跨網(wǎng)段的通信將會受到影響。那么如何解決華為防火墻主備切換丟包的問題呢?
組網(wǎng)拓撲
1、交換機和主防火墻在業(yè)務(wù)接口down,觸發(fā)防火墻主備倒換,Ping丟包,備防火墻目前處于主的狀態(tài),未收到Ping請求,也未收到Ping響應(yīng)。
2、交換機和主防火墻在業(yè)務(wù)接口undo shutdown,這時主防火墻處于恢復(fù)搶占期間(等待搶占時間1分鐘),Ping丟包,備防火墻處于主的狀態(tài),收到Ping請求并轉(zhuǎn)發(fā)去內(nèi)網(wǎng),但是未收到Ping響應(yīng)。
3、Ping丟包期間,防火墻流統(tǒng)顯示自身未丟包。
處理過程
在主備防火墻上配置hrp track vlan xx,測試主備倒換的效果。備墻vlan xx不轉(zhuǎn)發(fā)任何報文,包括組播和廣播報文
hrp enable
hrp interface GigabitEthernetxx remote xxx
hrp mirror session enable
hrp auto-sync config static-route
hrp standby config enable
hrp track interface GigabitEthernet xxx
hrp track interface GigabitEthernet xxx
hrp track vlan xx
經(jīng)測試,在主備防火墻上配置hrp track vlan xx,主備倒換過程中丟1個包
根本原因
防火墻工作在二層時,為了讓VGMP管理組能夠監(jiān)控二層業(yè)務(wù)接口的狀態(tài),需要將上下行業(yè)務(wù)接口加入同一個VLAN,并配置hrp track vlan
鏡像模式雙機熱備中,主備機都需要配置hrp track vlan,否則備機的VLAN不會被禁用,仍然會轉(zhuǎn)發(fā)報文。