问题描述:
SecPath F1000-AI 防火墙采用 RBM 主备联动vrrp,主备设备之间状态同步、配置同步及会话同步均正常。
防火墙通过两条独立业务链路与核心交换机互联,每条链路分别承载不同业务 VLAN,并各自配置独立的 VRRP 组。
在故障切换测试过程中,当主防火墙连接核心交换机的第一条业务链路发生物理中断时,RBM 能够正常触发主备切换,由备防火墙接管业务;
但当主防火墙连接核心交换机的第二条业务链路发生物理中断时(这是是将第一条链路下联交换机的两个物理口都down了的,同时主备是正常的),RBM 不会触发主备切换,主防火墙仍保持 Active 状态。在RBM配置中没有track,测试第二条链路时,无切换,RBM 互联口走的不是第一条业务链路,且状态正常。
RBM联动VRRP配置active/standy与vrrp优先级冲突,两者均配置会影响RBM切换吗?
核心解答:RBM Active/Standby 与 VRRP 优先级会冲突吗?
在 H3C 的 RBM+VRRP 联动架构中,VRRP 的主备状态是由 RBM 的角色(Active/Standby) 强制决定的。当 RBM 触发主备切换时,它会直接接管并改变 VRRP 的优先级或抢占状态,从而让 VRRP 跟随 RBM 进行切换。因此,即使您在 VRRP 接口上手动配置了较高的优先级,只要 RBM 没有切换,VRRP 也不会单独因为优先级高而抢占为 Master。
为什么第二条链路中断时 RBM 不触发切换?
1. 缺失 Track 联动监控(最关键)
track 项来监控关键接口,并将该 track 项关联到 RBM 组中。- 正确做法:需要在防火墙上全局配置
track 2 interface GigabitEthernetX/X/X(监控第二条链路),然后在remote-backup group视图下将其关联。如果只配置了 track 1 而没有配置 track 2,第二条链路断开时 RBM 是无法感知的。
2. 数据通道与业务通道的分离
3. 接口配置未同步或物理状态异常
UP 状态,且 VLAN、IP 等配置与主防火墙完全一致。如果备机接口处于 shutdown 或未 UP,即便 RBM 尝试切换,也会导致业务不通。下一步排查与修复建议
- 补全 Track 监控配置:
立即为第二条业务链路添加全局 Track 监控,并在 RBM 组中绑定该 Track 项。1# 创建全局 Track 监控第二条链路 2track 2 interface GigabitEthernet X/X/X 3 4# 在 RBM 组中关联 Track 5remote-backup group 6 track 2 - 验证 VRRP 联动配置:
确保 VRRP 备份组已正确加入 RBM 的 Active Group 和 Standby Group,并且 VRID、虚拟 IP、认证信息等参数在主备设备上保持一致。 - 核对备机接口状态:
在备机上执行display interface brief,确认第二条链路对应的物理接口及 VLAN 虚接口均处于 UP 状态。 - 检查软件版本 Bug:
您当前使用的是 Release 8660P24 版本。根据官方发布记录,早期版本在 RBM+VRRP 双机组网中存在一些已知问题(如 RBM 角色切换后 VRRP 状态不同步、Track 联动失败等)。如果补全 Track 配置后问题依旧,建议评估升级到最新的年度稳定版本以规避潜在的协议交互 Bug。
F1000-AI RBM + 双 VRRP 组故障不切换原因 + 优先级冲突解答
一、核心:第二条链路 down 不切换的根本原因(现场无 RBM Track 是关键)
1、RBM 原生切换触发条件(仅 3 种场景整机主备切换)
RBM 心跳控制通道断开;
主墙整机 / 主控 / 整机硬件故障;
RBM 全局绑定 Track,任意 Track 项状态 Negative 才整机切换。
你现状:没配置 RBM 全局 track
断第一组链路能切换:大概率第一组 VRRP 接口误做了 RBM 监控接口 / 早期绑定 track;
断第二组链路不切换:第二条业务接口没被 RBM 任何 track / 监控,RBM 判定整机健康、继续保持 Active 主角色,只本组 VRRP 自己降 Master、跨 VRRP 不会触发整机 RBM 倒换。
2、组网逻辑:两组独立 VRRP + 双上行链路,RBM 不跟踪就只能单组 VRRP 局部切换
RBM 联动vrrp active/standby模式下:VRRP 自身优先级、接口 down 只能控制本组 VRRP 主从,不能触发整机 RBM 角色切换。
断链路 2:本组 VRRP 备升 Master,另一组 VRRP 仍在原主墙 Master,RBM 认为设备还有可用业务链路、整机健康,拒绝整机切备;
业务隐患:出现跨墙来回转发(入流量原主、出流量备)、报文丢包,是 RBM + 多 VRRP 经典缺陷。
二、重点:vrrp active/standby + VRRP 手工 priority 同时配置冲突,影响切换
1、联动 RBM(active/standby)后,VRRP 手工配置 priority 无效、冲突干扰 HA
RBM 通道 UP 生效后:
标active的 VRRP 组,系统强制优先级 = 255;
标standby的 VRRP 组,系统强制优先级 = 100;
手工vrrp vrid X priority XX配置被 RBM 覆盖、不生效,属于冗余冲突配置。
2、冲突带来两类故障
故障切换紊乱:部分版本 COMWARE 出现 VRRP 优先级计算异常,单链路故障时而切时而不切;
故障恢复抢占异常:主链路恢复后,原主无法正常抢占回 Master,长期备机承载业务;
禁止搭配 track interface(官方硬性约束):
HA 联动 active/standby 的 VRRP,VRRP 接口不能配置 vrrp track 接口降优先级,二选一配置,同配会导致切换逻辑错乱。
最优规范:启用 RBM+vrrp active/standby 时,删除所有 VRRP 手工 priority、删除本组 VRRP track,整机切换由RBM 全局 track 统一管控。
三、现场整改配置(实现任意一组链路 down,RBM 整机切备)
方案:RBM 绑定双 track,分别监控两组业务接口(主备墙配置一致)
plaintext
#1、创建Track分别监控两条业务接口
track 1 interface GigabitEthernet 1/0/1 //第一组VRRP上联口
track 2 interface GigabitEthernet 1/0/2 //第二组VRRP上联口
#2、进入RBM视图,关联track(逻辑:任意一个track异常即整机切换)
remote-backup group
device-role primary/secondary //主primary、备secondary
track enable all-negative //关键:任意一个track变成Negative,触发RBM整机主备切换
track enable all-negative:任意一条被监控接口 down→对应 track 异常→RBM 整机切换,完美匹配你需求:断任意一组链路,整机切备、两组 VRRP 同步切换到备机。
配套优化:清理冲突配置
plaintext
#删除所有VRRP手工优先级配置
undo vrrp vrid X priority XXX
#删除所有VRRP接口下track(HA联动VRRP不允许接口track)
undo vrrp vrid X track interface XXX reduced XX
四、快速验证排查命令
plaintext
display remote-backup group //查看RBM角色、绑定track状态
display track all //查看两条track接口UP/DOWN状态
display vrrp brief //查看VRRP实际优先级(active=255/standby=100)
五、精简总结
不切换根源:RBM 无全局 track,单条链路故障仅本组 VRRP 切换、RBM 整机不动;
优先级冲突:active/standby 模式下手工 priority 作废,多余配置扰乱 HA 逻辑,必须删掉;
根治:RBM 全局 track 两条业务接口 + all-negative,任意链路 down 整机切备。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论