关于H3C Comware V5平台防火墙双机热备组网时主备防火墙VRRP协议状态持续双主问题的公告
【产品型号】
SecBlade Enhanced(E3809-E3815、R3816-R3816P01)
SecBlade II(F3169-F3169P12、F3171P02-F3171P20、F3174P01-F3174P12、R3175-R3176)
SecPath F5000-A(F3207P01-F3207P13、F3208、F3210P01-F3210P17)
SecPath F5000-S/C(T3803P02、B3805P01、E3806-E3806P03)
SecPath F1000-E(F3169-F3169P12、F3171P02-F3171P20、F3174P01-F3174P12、R3175-R3176)
SecPath F1000-E-SI/A-EI/S-AI(E3713-E3715、F3723-F3729、R3718-R3720、R3721-R3721P08)
SecPath F1000-A/S/C-G(E3725、R3727)
SecPath F1000-S-EI(F5123P01、F5124-F5125、F5128P02-F5128P07)
SecPath F100-E/A/M-G(E5130-E5131、R5134-R5139)
SecPath U200-A/M/CA(F5123-F5123P24、F5124-F5126、F5128-F5128P04、R5134P01)
【涉及版本】
平台软件版本号Comware V5 B83、B98、B108,详见前述产品型号及版本标注。
【问题描述】
在使用两台前述型号及版本的H3C Comware V5平台防火墙部署双机热备,并采用VRRP协议牵引业务流量形成主备关系的组网环境中,当满足以下条件时,两台防火墙的VRRP协议状态可能出现持续双主(主备防火墙均保持VRRP Master状态)且无法自行恢复问题。
条件1、两台防火墙使能双机热备功能,并启用“支持非对称路径备份”选项。
条件2、备用防火墙在正常运行过程中,没有需要其转发的实际业务流量。
条件3、备用防火墙接收到处理后应丢弃无需转发的报文,如协议报文(VRRP通告报文)、匹配攻击防范黑名单表项报文、未启用IPv6协议时收到IPv6报文等。
当现场组网环境满足以上3个条件时,将概率性出现主备防火墙长时间VRRP双主状态运行,具体现象为:备份防火墙VRRP组状态由Backup切换为Master,主备防火墙持续产生ARP冲突日志,发生冲突的IP地址即VRRP虚地址。若主备防火墙上配置有多个VRRP组,可能出现持续双主状态的VRRP备份组没有规律。
备份防火墙某VRRP组状态切换及ARP冲突日志示例:
%Oct 8 00:57:04:978 2013 H3C VRRP/6/VRRP_STATUS_CHANGE: The status of IPv4 virtual router 10 (configured on Ten-GigabitEthernet0/0.10) changed from Backup to Master: Timer expired.
%Oct 8 00:57:12:417 2013 H3C ARP/5/ARP_DUPVRRPIP: IP address X.X.X.X conflicts with VRRP virtual IP address on interface Ten-GigabitEthernet0/0.10, sourced from 0000-5e00-010a.
【原因分析】
在前述组网环境中,备份防火墙底层软件错误地将VRRP通告报文按转发流程处理,导致上层VRRP协议模块始终无法接收到主用防火墙的协议通告报文,备份防火墙在VRRP协议计时器超时后,抢占Master状态,而主用防火墙因优先级更高,继续持续地发送VRRP通告报文,从而导致问题现象出现并发生ARP冲突。
【规避措施/解决方案】
一. 临时恢复方法
当现场出现该问题时,可立即通过将备份防火墙上与该组VRRP相关的端口执行shutdown/undo shutdown临时恢复。
注意:该方法仅供快速恢复业务使用,不能彻底消除问题隐患。
二、配置及组网规避方法
首先,调整组网规划使得实际业务流量在两台防火墙上形成完全主备关系,即确保双向业务流量仅经过主用防火墙转发,消除来回路径不一致的情形;然后在主备防火墙双机热备配置界面中去使能“支持非对称路径备份”选项。该方法不仅可以规避该问题发生,还可以优化防火墙新建连接性能指标。
三、下列型号防火墙可通过升级软件至指定版本(或更新)彻底解决此问题。
SecBlade Enhanced(R3817)
SecBlade II(F3171P22、R3177)
SecPath F5000-A(F3210P18)
SecPath F5000-S/C(R3808)
SecPath F1000-E(F3171P22、R3177)
SecPath F1000-E-SI/A-EI/S-AI(R3730P01)
SecPath F1000-A/S/C-G(R3731)
SecPath F100-E/A/M-G(R5140)
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作