De acuerdo

Los firewalls configurados como Hot-Standby funcionan inesperadamente en estado activo dual

22 0 0 0

Hola a todos. Continuamos con la serie de publicaciones sobre los diferentes análisis de resolución de problemas que se pueden presentar para la función de Hot-Standby para firewalls. A continuación revisaremos el caso cuando los dos firewalls están activos.

 

Síntoma

El prefijo HRP_M se muestra en la salida del comando en ambos firewalls. Ejecute el comando display hrp state para verificar el estado de Hot Standby. El rol de ambos firewalls se muestra como active y el peer como unknown.


a1


Posibles Causas

Negociación y sincronización active/standby

Cuando dos firewalls funcionan en modo de hot standby, se envían paquetes de HRP Hello entre sí para intercambiar información de estado y negociar la relación active/Standby.

 

El firewall activo envía periódicamente paquetes de HRP Hello al firewall en espera a través de la interfaz de heartbeat para notificar al par de su estado operativo, incluida la prioridad y el estado del miembro VRRP. Después de recibir un paquete HRP Hello, el firewall en espera responde con un paquete de Hello que lleva su propio estado de ejecución.

 

El intervalo predeterminado para enviar paquetes de HRP Hello es de 1 segundo. Si el firewall en espera no recibe paquetes de HRP Hello del par durante cinco intervalos consecutivos, considera que el par tiene una falla y cambia al estado Activo.

 

Por lo tanto, si dos firewalls funcionan en estado activo / activo, la comunicación a través de los paquetes de HRP Hello entre ellos es defectuosa, lo que impide la sincronización de estado. El intercambio anormal de paquetes de HRP puede ser el resultado de cualquiera de las siguientes causas:


l  No hay interfaz de heartbeat configurada.

l  La interfaz de heartbeat no se agrega a una zona de seguridad.

l  La interfaz de heartbeat está con una falla.

l  El enlace del heartbeat está defectuoso (el enlace está desconectado).

 

Estado de la interfaz Heartbeat

El estado de la interfaz de heartbeat indica la causa del intercambio anormal de paquetes de HRP hello. Una interfaz de heartbeat tiene los siguientes estados:

 

l  En ejecución: la interfaz de heartbeat se ejecuta normalmente.

l  listo: la interfaz se ejecuta normalmente. La interfaz es un enlace de heartbeat en espera y no está en uso.

l  error en la negociación: el extremo local es normal pero no puede recibir paquetes de heartbeats del extremo par.

l  inválido: no se especifica la dirección IP de la interfaz de heartbeat. Las interfaces Heartbeat funcionan en la capa 2.

l  inactivo: el estado físico y el estado del protocolo de la interfaz de heartbeat son inactivos.

 

Si el estado de la interfaz de heartbeat es invalid o down, indica que la interfaz de heartbeat o el enlace de heartbeat ha fallado. Si las interfaces de heartbeat de los dos firewall están en estado negotiation failed, las interfaces son normales pero no pueden recibir paquetes de heartbeat desde el extremo de igual.

 

Procedimiento de solución de problemas

Proceso de localización

Siga los pasos descritos en el diagrama de flujo que se describe en la Figura 1 para localizar la falla.

 

Figura 1 Flujo de solución de problemas: Hot standby en estado active/active


a2


Procedimiento

1. Verifique el estado de la interfaz de heartbeat del firewall

a3


l  Si el estado de la interfaz de heartbeat es down, el estado físico y de protocolo de la interfaz está down. Solucionar problemas de fallas de la interfaz.

l  Si el estado de la interfaz heartbeat es invalid, la interfaz funciona en la capa 2. En este caso, especifique la dirección IP de la interfaz heartbeat.

l  Si el estado de la interfaz de heartbeat es negotiation failed, los estados físicos y de protocolo de la interfaz de heartbeat están activados, y la interfaz de heartbeat envía un paquete de detección de enlace de heartbeat a la interfaz de heartbeat correspondiente del extremo par, pero no puede recibir el paquete de respuesta del par. En este caso, vaya al paso 2.

 

2. Ejecute el comando ping para probar la conectividad del enlace heartbeat.

l  Si el ping falla, comuníquese con el personal de soporte técnico de Huawei.

l  Si el ping tiene éxito, vaya al paso 3.

 

3. Ejecute el comando display current-configuration | include hrp interface para verificar si las direcciones IP pares especificadas para las interfaces de heartbeat en ambos extremos son correctas.


a4


l  Si la dirección IP especificada es diferente de la dirección IP de la interfaz de heartbeat del mismo nivel, ejecute comando hrp interface interface-type interface-number remote { ipv4-address | ipv6-address } [ heartbeat-only ] para modificar la configuración.

l  Si la dirección IP de la interfaz de heartbeat es correcta, vaya a 4.

 

4. Verifique la información de sesión relacionada con HRP en el firewall para ver si existe la sesión del puerto de destino 18514.


a5


l  Si la sesión anterior existe en el firewall, se produce el estado dual-active. En este caso, póngase en contacto con el personal de soporte técnico de Huawei.

l  Si la sesión anterior no existe en el firewall, vaya a 5.

 

5. Compruebe si las interfaces de heartbeat de los firewalls activos y en espera se agregan a las zonas de seguridad. No es necesario realizar una verificación de la política de seguridad para los paquetes de heartbeats, pero las interfaces deben agregarse a las zonas de seguridad. (La zona a la que se agrega una interfaz de heartbeat no es importante. En general, la interfaz se agrega a la DMZ).

 

a6


l  Si la interfaz de heartbeat no pertenece a ninguna zona, agréguela a una zona.

l  Si la interfaz de heartbeat se ha agregado a una zona, comuníquese con el personal de soporte técnico de Huawei.

 

6. Póngase en contacto con el personal de soporte técnico de Huawei.

Si la falla persiste, comuníquese con el personal de soporte técnico de Huawei.

 

Saludos.

                  

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei


  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.