Hola a todos. En esta publicación les compartiré algunas preguntas frecuentes que recibimos con respecto a la función de Activo/En espera o Hot Standby para el caso de configuraciones que se han realizado.
¿Cómo se calcula la prioridad del grupo VGMP en caso de una falla en la interfaz?
Si la interfaz donde está configurado un grupo VRRP falla, la prioridad del grupo VGMP se reduce en 2 x número de grupos VRRP.
Si el comando hrp track interface se usa para configurar un grupo VGMP para rastrear el estado de las interfaces físicas, la prioridad del grupo VGMP se reduce en 2 cada vez que una interfaz física falla.
¿Cómo se calcula la prioridad del grupo VGMP en caso de una falla en la interfaz?
l Si la interfaz donde está configurado un grupo VRRP falla, la prioridad del grupo VGMP se reduce en 2 x número de grupos VRRP.
l Si el comando hrp track interface se usa para configurar un grupo VGMP para rastrear el estado de las interfaces físicas, la prioridad del grupo VGMP se reduce en 2 cada vez que una interfaz física falla.
l Si el comando hrp track interface se usa para configurar un grupo VGMP para rastrear el estado de una interfaz Eth-Trunk o IP-Trunk, la prioridad del grupo VGMP se reduce en 2 veces el número de interfaces de miembros defectuosos de forma predeterminada si algunas interfaces de miembros de Trunk se vuelven defectuoso. Si todas las interfaces de los miembros de Trunk se vuelven defectuosas, la prioridad del grupo VGMP se reduce en 2 x (1 + número de interfaces de miembros).
Después de que se usa el comando undo hrp track trunk-member enable para deshabilitar HRP para rastrear las interfaces de miembros Eth-Trunk o IP-Trunk, la prioridad del grupo VGMP no se reduce cuando algunas interfaces de miembros se vuelven defectuosas. Si todas las interfaces miembro se vuelven defectuosas, la prioridad del grupo VGMP se reduce en 2 veces el número de interfaces miembro.
l Si los grupos VRRP están configurados en una interfaz y se ejecuta el comando hrp track interface para configurar grupos VGMP para monitorear el estado de la interfaz, el valor por el cual se reduce la prioridad del grupo VGMP se calcula acumulativamente. Por ejemplo, si dos grupos VRRP están configurados en GE 1/0/1 y se ejecuta el comando
hrp track interface GigabitEthernet 1/0/1, la prioridad del grupo VGMP se reduce en 6 cuando GE 1/0/1 falla.
l Si se ejecuta el comando hrp track vlan para configurar HRP para rastrear el estado de la VLAN y una interfaz agregada a la VLAN se vuelve defectuosa, la prioridad del grupo VGMP se reduce en 2.
¿Por qué no se puede implementar Easy IP con Hot Standby?
No puede especificar el VRID en la implementación de Easy IP. En casos normales, el firewall activo usa la dirección IP de su interfaz saliente como la dirección pública para configurar sesiones. Después del cambio activo / en espera, el firewalls en espera también usa la dirección IP de su interfaz saliente como dirección pública. En este caso, las sesiones sincronizadas desde el firewall activo no coinciden con la dirección IP de la interfaz saliente en el firewall en espera. Como resultado, los servicios se interrumpen.
En la implementación Hot Standby, ¿el FW asume inmediatamente el rol activo después de su reinicio y antes de su negociación exitosa con el par sobre la relación activa / en espera?
El FW no asumirá inmediatamente el papel activo. Si es así, el servicio puede interrumpirse después de la conmutación, ya que la MPU y la LPU del FW no se han restablecido por completo.
Una vez que se inicia el FW y antes de que negocie con éxito con el par, inmediatamente asume el rol activo si se cumplen las siguientes condiciones:
l Se restaura la configuración de MPU.
l Al menos una CPU está funcionando.
l Se restaura la configuración de al menos una LPU en la que reside la interfaz de latido.
Si se cumplen las condiciones anteriores, el FW espera 30 segundos y asume el rol activo. Si no se cumple alguna de las condiciones, el dispositivo no se adelanta como dispositivo activo.
Por ejemplo, si el FW usa una interfaz Eth-Trunk como interfaz de heartbeat y una LPU falla, el FW se reinicia y no puede detectar la interfaz del miembro Eth-Trunk. En consecuencia, el FW permanece en espera.
Saludos.
FIN.
También te puede interesar:
Compilación de publicaciones sobre la solución de seguridad NIP6000 de Huawei
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Guía de dimensionamiento firewall USG6000 Series NGFW
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente
