F5000-X06+VRRP(access类型)

如图1-20所示，RBM三层主备直路部署方式的适用场景为：需要将Device A与Device B串联部署在上下行设备之间，Device的上、下行业务接口均为三层接口，所有业务流量都必须经过Device。正常情况下只有一台设备处理业务流量，当主设备或链路故障时，可以将业务流量平滑迁移到备设备进行处理。

仅以RBM与VRRP联动的方案为举例，介绍此种RBM部署方式的部署思路，具体如下：

·     两台Device上下行分别连接二层交换机，Device的上下行接口工作在三层模式。

·     两台Device之间建立一条RBM通道。

·     两台Device上下行分别配置一个VRRP备份组，并与RBM关联。Device A上下行业务接口的VRRP备份组1和2加入Active group；Device B上下行业务接口的VRRP备份组1和2加入Standby group。

·     两台Device上需要将去往Internet路由的下一跳指定为Router连接Device的接口IP地址（此示例中为2.1.1.15）。

·     Router上需要将去往Host网段路由的下一跳指定为VRRP备份组1的虚拟IP地址（此示例中为2.1.1.3）。

·     Host上需要设置默认网关IP地址为VRRP备份组2的虚拟IP地址（此示例中为10.1.1.3）。

·     Switch A需要将连接Device和Router的接口加入相同的VLAN。

·     Switch B需要将连接Device和Host的接口加入相同的VLAN。

图1-20 RBM三层主备直路部署示意图

如图1-20所示，RBM三层主备直路部署完成后，以Host访问Internet流量为例，分析报文在此网络中的传输过程如下：

(1)     ‍Host判断目的IP地址与本机IP地址不在同一网段，因此Host将查找默认网关IP地址的ARP表项进行MAC地址封装发送报文，假设Host上还没有默认网关IP地址的ARP表项。

(2)     Host将ARP请求报文（用于请求Host网关地址对应的MAC地址）发送给Switch B。Switch B在网络中广播此ARP请求报文。此时，Switch B会记录Host的MAC地址与接口的对应关系。

(3)     当VRRP备份组2中的两台Device接收到ARP请求报文后，只能由Master设备响应此ARP请求，且ARP应答报文中填写的MAC地址为VRRP备份组2的虚拟MAC地址。

(4)     Switch B接收到此ARP应答报文后会记录VRRP备份组2的虚拟MAC地址与接口的对应关系，然后Switch B根据之前学习到的MAC地址表项将ARP响应报文发送给Host。

(5)     Host接收到ARP响应报文后，将业务报文的目的MAC地址封装为VRRP备份组2的虚拟MAC地址，并发送给Switch B。

(6)     Switch B根据已学习到的MAC地址表项，将报文转给Master设备（Device A）。至此，内网Host发出的流量就都会通过Master设备转发，并在Master设备上进行相关安全业务的处理。

(7)     假设Master设备没有去往Internet下一跳IP地址的ARP表项。Master设备将ARP请求报文发送给Switch A，ARP请求报文的源MAC地址为VRRP备份组1的虚拟MAC地址。在此ARP学习过程中Switch A会学习到去往Master设备和Router的MAC地址表项。其ARP的学习过程和后续的报文转发流程与上面描述的类似，此处不再赘述。

(8)     Internet主动访问内网Host流量的处理过程与Host主动访问Internet流程的处理过程一样，此处不再赘述。

配置方便发一下吗？

根据你描述的故障现象，核心问题在于RBM（远端备份管理）与VRRP的联动机制不完整，导致上行链路故障时，RBM没有将备用防火墙的VRRP角色切换为Master。

具体来说，主墙与带外交换机的互联断开后，RBM能检测到并让主墙降级为备墙，同时通知备墙升级为主。然而，备墙上的VRRP进程并未感知到这次角色切换，其状态仍停留在Backup，导致VRRP虚地址无法生效，从而引发了通信中断。只有当你重新插回主墙上行链路、RBM将主墙切回Master状态后，通信才得以恢复，这也验证了问题的症结所在。

 深层原因分析：RBM与VRRP联动失效

这个问题的根本原因，是RBM与VRRP的联动配置缺失或工作不正常。在H3C的RBM（Remote Backup Management）高可用方案中，RBM负责管理设备的主备角色，而VRRP负责网关的冗余。理想情况下，RBM和VRRP应该紧密联动，当RBM切换设备角色时，VRRP的状态也应随之切换。但在你的配置中，当RBM将备墙升主后，备墙上的VRRP协议并未接收到切换指令，仍停留在Backup状态，导致虚地址无法生效。

 解决方案：为VRRP配置正确的RBM角色

要解决这个问题，需要在VRRP配置中明确其在RBM组中的角色，让VRRP的状态能够跟随RBM的切换而切换。

1. 在主防火墙上，配置VRRP备份组1的active模式，明确其与RBM联动。

   interface GigabitEthernet1/0/2

   ip address 192.168.5.1 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.5.254 active

2. 在备用防火墙上，配置VRRP备份组1的standby模式，同样明确其与RBM联动。

   interface GigabitEthernet1/0/2

   ip address 192.168.5.2 255.255.255.0 vrrp vrid 1 virtual-ip 192.168.5.254 standby

3. 验证修改：完成修改后，可以模拟故障（断开主墙与带外交换机的链路），然后通过 display vrrp 命令检查备用防火墙的VRRP状态。预期状态应该变为 Master，表明联动已生效。