[20131118]H3C Comware V5平台防火墙双机热备组网时主备防火墙VRRP协议状态持续双主问题

关于H3C Comware V5平台防火墙双机热备组网时主备防火墙VRRP协议状态持续双主问题的公告

【产品型号】

SecBlade Enhanced（E3809-E3815、R3816-R3816P01）

SecBlade II(F3169-F3169P12、F3171P02-F3171P20、F3174P01-F3174P12、R3175-R3176)

SecPath F5000-A(F3207P01-F3207P13、F3208、F3210P01-F3210P17)

SecPath F5000-S/C(T3803P02、B3805P01、E3806-E3806P03)

SecPath F1000-E(F3169-F3169P12、F3171P02-F3171P20、F3174P01-F3174P12、R3175-R3176)

SecPath F1000-E-SI/A-EI/S-AI(E3713-E3715、F3723-F3729、R3718-R3720、R3721-R3721P08)

SecPath F1000-A/S/C-G(E3725、R3727)

SecPath F1000-S-EI(F5123P01、F5124-F5125、F5128P02-F5128P07)

SecPath F100-E/A/M-G(E5130-E5131、R5134-R5139)

SecPath U200-A/M/CA(F5123-F5123P24、F5124-F5126、F5128-F5128P04、R5134P01)

【涉及版本】

平台软件版本号Comware V5 B83、B98、B108，详见前述产品型号及版本标注。

【问题描述】

在使用两台前述型号及版本的H3C Comware V5平台防火墙部署双机热备，并采用VRRP协议牵引业务流量形成主备关系的组网环境中，当满足以下条件时，两台防火墙的VRRP协议状态可能出现持续双主（主备防火墙均保持VRRP Master状态）且无法自行恢复问题。

条件1、两台防火墙使能双机热备功能，并启用“支持非对称路径备份”选项。

条件2、备用防火墙在正常运行过程中，没有需要其转发的实际业务流量。

条件3、备用防火墙接收到处理后应丢弃无需转发的报文，如协议报文（VRRP通告报文）、匹配攻击防范黑名单表项报文、未启用IPv6协议时收到IPv6报文等。

当现场组网环境满足以上3个条件时，将概率性出现主备防火墙长时间VRRP双主状态运行，具体现象为：备份防火墙VRRP组状态由Backup切换为Master，主备防火墙持续产生ARP冲突日志，发生冲突的IP地址即VRRP虚地址。若主备防火墙上配置有多个VRRP组，可能出现持续双主状态的VRRP备份组没有规律。

备份防火墙某VRRP组状态切换及ARP冲突日志示例：

%Oct  8 00:57:04:978 2013 H3C VRRP/6/VRRP_STATUS_CHANGE: The status of IPv4 virtual router 10 (configured on Ten-GigabitEthernet0/0.10) changed from Backup to Master: Timer expired.

%Oct  8 00:57:12:417 2013 H3C ARP/5/ARP_DUPVRRPIP: IP address X.X.X.X conflicts with VRRP virtual IP address on interface Ten-GigabitEthernet0/0.10, sourced from 0000-5e00-010a.

【原因分析】

 在前述组网环境中，备份防火墙底层软件错误地将VRRP通告报文按转发流程处理，导致上层VRRP协议模块始终无法接收到主用防火墙的协议通告报文，备份防火墙在VRRP协议计时器超时后，抢占Master状态，而主用防火墙因优先级更高，继续持续地发送VRRP通告报文，从而导致问题现象出现并发生ARP冲突。

【规避措施／解决方案】

一. 临时恢复方法

当现场出现该问题时，可立即通过将备份防火墙上与该组VRRP相关的端口执行shutdown/undo shutdown临时恢复。

注意：该方法仅供快速恢复业务使用，不能彻底消除问题隐患。

二、配置及组网规避方法

首先，调整组网规划使得实际业务流量在两台防火墙上形成完全主备关系，即确保双向业务流量仅经过主用防火墙转发，消除来回路径不一致的情形；然后在主备防火墙双机热备配置界面中去使能“支持非对称路径备份”选项。该方法不仅可以规避该问题发生，还可以优化防火墙新建连接性能指标。

三、下列型号防火墙可通过升级软件至指定版本（或更新）彻底解决此问题。

SecBlade Enhanced（R3817）

SecBlade II(F3171P22、R3177)

SecPath F5000-A(F3210P18)

SecPath F5000-S/C(R3808)

SecPath F1000-E(F3171P22、R3177)

SecPath F1000-E-SI/A-EI/S-AI(R3730P01)

SecPath F1000-A/S/C-G(R3731)

SecPath F100-E/A/M-G(R5140)