De acuerdo

Conmutación active/standby en firewalls configurados con Hot standby

21 0 0 0

Hola a todos. Continuamos con la serie de publicaciones sobre los diferentes análisis de resolución de problemas que se pueden presentar para la función de Hot-Standby en firewalls. A continuación revisaremos el caso de la conmutación del firewall active a standby sin previo aviso o por alguna razón aparente.

 

En una red hot standby, el firewall en espera HRP_S (FW_B) se cambia al estado activo HRP_M (FW_B), y el firewall activo HRP_M (FW_A) se cambia al estado en espera HRP_S (FW_A). Los firewalls activos y en espera originales informan los siguientes registros:


c1


Posibles Causas

El protocolo de gestión de grupo VRRP (VGMP) es un protocolo propiedad de Huawei. El concepto de grupo VGMP se define en el protocolo VGMP. Los firewalls administran el estado active/standby en función del grupo VMGP. Si ocurre una falla en un firewall, la prioridad del grupo VGMP en el firewall disminuye. La prioridad del grupo VGMP se calcula de la siguiente manera:

 

l  Si un grupo VRRP está configurado en una interfaz y la interfaz presenta una falla, la prioridad del grupo VGMP disminuye en 2 veces el número de grupos VRRP en la interfaz.


l  Si ha ejecutado el comando hrp track interface para configurar un grupo VGMP para monitorear el estado de la interfaz física, la prioridad del grupo VGMP disminuye en 2 por cada interfaz física dañada


l  Si ha ejecutado el comando hrp track interface para configurar un grupo VGMP para monitorear el estado de una interfaz Eth-Trunk o IP-Trunk y algunas interfaces miembro de la interfaz troncal presentan una falla, la prioridad del grupo VGMP disminuye en 2 x número de interfaces miembro con falla. Si todas las interfaces miembro de una interfaz troncal tienen alguna falla, la prioridad del grupo VGMP disminuye en 2 x (1 + número de interfaces miembro)..


Después de ejecutar el comando undo hrp track trunk-member enable para deshabilitar que el módulo hot standby supervise el estado de las interfaces de los miembros Eth-Trunk o IP-Trunk, la prioridad no disminuye si algunas interfaces miembro fallan. Si todas las interfaces miembro fallan, la prioridad disminuye en 2 veces el número de interfaces troncales con falla.

 

l  Si un grupo VRRP está configurado en una interfaz y el comando hrp track interface se ha ejecutado para configurar un grupo VGMP para monitorear el estado de la interfaz y la interfaz falla, la reducción de la prioridad del grupo VGMP es acumulativa. Por ejemplo, dos grupos VRRP están configurados en GigabitEthernet1/0/1, y el comando hrp track interface GigabitEthernet 1/0/1  se ha configurado en la interfaz. Si la interfaz falla, la prioridad del grupo VGMP disminuye en 6.


l  Si el comando hrp track vlan se ha utilizado para monitorear el estado de la VLAN y una interfaz agregada a la VLAN presenta una falla, la prioridad del grupo VGMP disminuye en 2.

 

l  Para el USG9500, la falla de LPU o MPU afecta la prioridad.

Si falla una LPU, la prioridad disminuye en 1000 x número de tarjetas en la LPU.

Si falla una SPU, la prioridad disminuye en 2 veces el número de CPU en la SPU.

Si una SFU falla, la prioridad disminuye en 2 x (número de SFU defectuosas - 1).

 

Por lo tanto, las posibles causas de la conmutación active/standby son las siguientes:

 

l  Una interfaz configurada con VRRP o HRP en el firewall activo se cae.

l  El enlace IP monitoreado por el grupo VGMP es anormal.

l  La sesión BFD monitoreada por el grupo VGMP es anormal.

l  El hardware del firewall activo es anormal, incluida la falla de la MPU o SFU.

l  El firewall en espera es el firewall activo original. Una vez que se recupera el firewall en espera, se adelanta al rol activo.

l  El firewall activo o en espera se conmuta manualmente ejecutando el comando hrp switch.


Procedimiento de solución de problemas

1. Verifique los registros de HRP para determinar si las prioridades de los dos firewalls son las mismas. Si son diferentes, verifique si la interfaz o MPU del firewall con menor prioridad es anormal.

c2


2. Verifique los registros generados alrededor del tiempo de conmutación de los dos firewalls. Compruebe si hay registros que contengan Interface Down, IP-Link Down o BFD session Down.

c3


Si los registros generados durante la conmutación de los dos firewall se sobrescriben en el búfer de registro, puede encontrar los registros generados en el momento correspondiente en el archivo hda1: /log/log.log.

 

Verifique la información detallada sobre el estado de HRP y verifique si los elementos de monitoreo del grupo VGMP contienen Down o interfaces en estado anormal.


c4


4. Póngase en contacto con el personal de soporte técnico de Huawei.

Si la falla persiste, comuníquese con el personal de soporte técnico de Huawei.

 

Saludos.

                  

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei 


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.