De acuerdo

El firewall en espera realiza una conmutación active/standby, y el estado dual-active dura un corto período de tiempo

25 0 0 0

Hola a todos. Continuamos con la serie de publicaciones sobre los diferentes análisis de resolución de problemas que se pueden presentar para la función de Hot-Standby en firewalls. A continuación revisaremos el caso en que el firewall en espera realiza una conmutación active/standby, y el estado dual-active dura un corto período de tiempo.

 

Síntoma

Los registros de conmutación active/standby se reciben en el firewall en espera, pero no en el firewall activo.

c5


Posibles Causas

Cuando el firewall en espera se activa, el modo en espera funciona realmente en estado Activo /Activo. Cuando el firewall en espera se activa, los dispositivos ascendentes y descendentes actualizan las tablas ARP, las tablas de enrutamiento o las tablas de direcciones MAC para desviar el tráfico al nuevo firewall activo. Cuando el firewall en espera se vuelve a poner en espera, los dispositivos ascendentes y descendentes pueden no actualizar inmediatamente sus tablas ARP, tablas de enrutamiento o tablas de direcciones MAC. En este caso, el tráfico no se reenvía como se esperaba.

 

La conmutación standby-active-standby del firewall en espera también se denomina conmutación falsa. Esto se debe a que el firewall en espera no puede recibir paquetes de heartbeats en un corto período de tiempo. Según el mecanismo de conmutación active/standby, si un firewall en espera no recibe paquetes de heartbeats en tres períodos de envío de paquetes de heartbeats consecutivos, se activa. Si el firewall en espera recibe los paquetes de heartbeats, vuelve a estar en espera después de comparar prioridades. La figura 1 muestra la conmutación falsa del firewall en espera.

 

Figura 1 Conmutación en espera-activa-espera que ocurre en el firewall en espera


c6


Enlace de heartbeat inestable

Si el enlace heartbeat es inestable y los paquetes se descartan en las interfaces, los paquetes heartbeat pueden descartarse. Esto desencadena la falsa conmutación. Use un cable directo para conectar los dos firewall como cable de heartbeat y asegúrese de tener suficiente ancho de banda para el enlace de heartbeat.

 

La CPU está ocupada en un corto período de tiempo

Si el uso de la CPU alcanza el 100%, el firewall activo no puede enviar los paquetes de heartbeats a tiempo o el firewall en espera no puede recibir los paquetes de heartbeats a tiempo. Por ejemplo, si el firewall se defiende contra el tráfico de ataque, que consume una cantidad significativa de recursos de la CPU, los paquetes de heartbeats pueden no procesarse de manera oportuna.


El tráfico en la interfaz de heartbeat supera el ancho de banda.

El enlace de heartbeat también es el canal para hacer una copia de seguridad de los comandos de configuración y la información de estado. Si es necesario sincronizar mucha información entre los dos firewall y consume mucho ancho de banda, los paquetes de heartbeats pueden descartarse.


c7


Para evitar este error, puede tomar las siguientes dos medidas:

 

l  Extienda el intervalo para enviar paquetes de heartbeats. Esto reduce significativamente los paquetes de multicast VRRP, asegura el funcionamiento estable de hot standby y, por lo tanto, evita la falsa conmutación provocada por el retraso de la red. Después de agregar el intervalo de heartbeats, el rendimiento en tiempo real de la conmutación active/standby no se ve afectado. En el caso de una falla como la interfaz inactiva, la conmutación aún se realiza en tiempo real.

 

l  Expanda el ancho de banda del enlace de heartbeat. El enlace heartbeat no es solo para los paquetes de heartbeat transmitidos entre los dos firewalls, sino que también es el canal para hacer una copia de seguridad de los comandos de configuración y la información de estado. Por lo tanto, los anchos de banda de este enlace deben ser suficientes.


Procedimiento de solución de problemas

Proceso de localización

Realice como se describe en la Figura 1 para localizar la falla.

 

Figura 1 Árbol de fallas: la conmutación standby-active-standby ocurre en el firewall en espera


c8


Procedimiento

1. Verifique el estado de la interfaz de heartbeat

c9


l  Si el estado de la interfaz de heartbeat cambia entre running y down repetidamente, el enlace de heartbeat es inestable. En este caso, vaya al paso 2.

l  Si el estado de la interfaz de heartbeat está en running o ready, vaya al paso 5.


2. Verifique las estadísticas de paquetes en el enlace de heartbeat

c10


l  Si los paquetes se siguen descartando en la interfaz de heartbeat, rectifique las fallas de la interfaz o del enlace.

l  Si las estadísticas sobre los paquetes enviados y recibidos por las interfaces de heartbeat son correctas, vaya al paso 3.

 

3. Verifique las estadísticas de paquetes en el enlace de heartbeat

c11

 

l  Puede verificar la tabla de sesión y la cantidad de conexiones nuevas para determinar si existe una gran cantidad de paquetes a enviar en el enlace de heartbeat. En caso afirmativo, se realizará una copia de seguridad de un gran número de sesiones. Ir al paso 4.

l  Si no hay o hay algunos paquetes para ser enviados en el canal de respaldo, vaya al paso 5.

 

4. Verifique el estado del enlace de heartbeat

l  Si el enlace del heartbeat se mantiene en pleno uso, expanda su ancho de banda. Se recomiendan las interfaces Eth-Trunk.

l  Si el enlace de heartbeat está en uso completo en un corto período de tiempo, puede ajustar el intervalo para enviar paquetes de heartbeat para evitar fallas. Se recomienda cambiar el intervalo a un período de dos a cinco segundos.

 

5. Verifique el uso de la CPU.

c12


l  Si el uso de la CPU es del 100%, vaya al paso 6.

l  Si el uso de la CPU es inferior al 100%, pase al paso 7.

 

6. Verifique los registros para ver si se realizaron operaciones que consumen recursos de la CPU o si el firewall fue golpeado por ataques antes de la falla.


l  Si es así, cambie el intervalo de envío de paquetes de heartbeats a un período de dos a cinco segundos.

l  Si no, pase al paso 7.

 

7. Póngase en contacto con el personal de soporte técnico de Huawei.

Si la falla persiste, comuníquese con el personal de soporte técnico de Huawei.

 

Saludos.

                  

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.