De acuerdo

Los servicios se interrumpen después de una conmutación active/standby parte 1

26 0 0 0

Hola a todos. Continuamos con la serie de publicaciones sobre los diferentes análisis de resolución de problemas que se pueden presentar para la función de Hot-Standby en firewalls. A continuación revisaremos el caso en donde los servicios se interrumpen después de una conmutación active/standby.

 

Síntoma

Los servicios se interrumpen después de la conmutación active/standby. Los posibles síntomas son:

 

l  Síntoma 1: Algunos o todos los servicios están interrumpidos.

l  Síntoma 2: algunos servicios se ejecutan lenta o intermitentemente.

 

Posibles Causas

Hot Standby consta de cuatro partes: monitoreo de fallas, conmutación active/standby, desvío de tráfico y sincronización de información. Si los servicios se interrumpen después de una conmutación active/standby, puede deberse a la falla del desvío de tráfico o la sincronización de la información.

 

En este caso, verifique lo siguiente:

 

l  Desvío de tráfico: tablas de enrutamiento y tablas de reenvío MAC de los dispositivos ascendentes y descendentes

l  Sincronización de información: comandos de configuración e información de estado

 

Desvío de tráfico

1. Uso de direcciones IP virtuales (redes de switches de capa 2)

Durante el cambio, el nuevo firewall activo transmite paquetes ARP gratuitos que llevan la dirección IP virtual del grupo VRRP y la dirección MAC del firewall. Los switches de capa 2 actualizan sus tablas de direcciones MAC aprendiendo los paquetes ARP gratuitos. De esta manera, el tráfico cuyo próximo salto es esta dirección IP virtual se desvía al nuevo firewall activo.


Si los dispositivos ascendentes y descendentes especifican la dirección IP de la interfaz del firewall en lugar de la dirección IP virtual como el próximo salto, el tráfico aún se reenvía al firewall activo original después de la conmutación active/standby. En este caso, los servicios se interrumpen.

 

Si la suplantación de identidad anti-ARP está habilitada, un switch examina las direcciones IP cuando recibe una solicitud ARP. Si existen entradas relacionadas con esta dirección IP en la tabla ARP, pero la dirección IP está asociada con otra dirección MAC, esta solicitud ARP se considera un ataque de falsificación de ARP y los paquetes se descartan. Si la suplantación de identidad anti-ARP está habilitada, el switch descarta todos los paquetes ARP gratuitos y no actualiza las tablas ARP. Por lo tanto, los servicios se interrumpen.


2. Método de ajuste de los valores de costo de las rutas dinámicas (redes de routers, active/Standby)

 

Durante el cambio active/standby, los dos firewalls se actualizan y anuncian sus rutas. El nuevo firewall en espera anuncia rutas con valores de costo más altos. Después de la convergencia de rutas, el nuevo firewall activo reenvía todo el tráfico.

 

En este caso, debe ejecutar el comando hrp adjust ospf-cost enable para ajustar los valores de COST de la ruta de acuerdo con el estado de HRP, asegurando que el tráfico se reenvíe a través del nuevo firewall activo. De lo contrario, el firewall en espera puede reenviar el tráfico y luego descartarlo.

 

3. Método de convergencia de ruta dinámica (redes de router, equilibrio de carga)

En el modo de equilibrio de carga, ambos firewalls reenvían el tráfico. En este caso, debe configurar rutas de igual costo en routeres ascendentes y descendentes. Si un firewalls falla, las rutas se vuelven a converger y el firewalls que se ejecuta correctamente reenvía el tráfico.

 

4. Método para habilitar y deshabilitar una VLAN (las interfaces de servicio funcionan en la capa 2)

 

Durante la conmutación active/standby, la VLAN en el firewall activo original se deshabilita mientras que la VLAN en el nuevo firewall activo está habilitado. Además, las interfaces ascendentes y descendentes del firewall activo original se desactivan y luego se activan. Esto hace que los switches ascendentes y descendentes actualicen las tablas de direcciones MAC y los routers ascendentes y descendentes para recalcular las rutas. Como en este momento la VLAN del firewall activo original está deshabilitada, el nuevo firewall activo reenvía el tráfico


Sincronización de información

Un firewall proporciona diversas funciones mediante la ejecución de comandos. Si los comandos de configuración no están respaldados en el firewall en espera, el firewall en espera no puede implementar las mismas funciones que el firewall activo. En este caso, los servicios se interrumpen.

 

Un firewall de estado o stateful firewall produce una entrada de sesión para cada sesión que se genera dinámicamente. Después de la conmutación active/standby, el tráfico de servicio se desvía al firewalls en espera original. Si no se realizó una copia de seguridad de las entradas de la sesión en el firewall de reserva original, se interrumpe el tráfico del servicio por no coincidir con la tabla de la sesión.

 

La sincronización de información está diseñada para sincronizar comandos de configuración e información de estado entre los firewalls activos y en espera. Huawei desarrolla HRP para implementar la sincronización de información y utiliza el enlace de heartbeat como el canal de respaldo dedicado.


De manera predeterminada, el firewall activo sincroniza automáticamente los comandos de configuración y la información de estado con el firewall en espera. Si ha modificado esta configuración predeterminada, restáurela.

 

En el modo de equilibrio de carga, las rutas directa e inversa pueden ser diferentes (los paquetes directo e inverso pasan a través de diferentes firewalls). Si la información de estado en el firewall activo no se respalda en el firewall en espera de manera oportuna, la información de estado correspondiente no se puede encontrar en los firewalls en espera para paquetes inversos. En este caso, los servicios se interrumpen. Por lo tanto, la copia de seguridad de sesión rápida debe estar habilitada.

 

l  Si los comandos de configuración o la información de estado no se pueden sincronizar automáticamente entre los firewalls activos y en espera, habilite la función de respaldo manual por lotes y realice un respaldo forzado. Si la inconsistencia persiste después de la copia de seguridad, puede deberse a que el enlace de heartbeat tiene alguna falla o los dos firewalls son diferentes en términos de hardware o configuraciones clave.

 

l  Las configuraciones de hardware de los firewalls activos y en espera, incluidas las ranuras, el tipo y la cantidad de la tarjeta de interfaz, deben ser las mismas. De lo contrario, la información de respaldo enviada desde el firewall activo puede ser incompatible con las configuraciones de hardware del firewall en espera, lo que resulta en la interrupción del servicio después de la conmutación.

 

l  Las versiones de software de los firewalls activos y en espera deben ser las mismas. Las diferentes versiones de software pueden tener diferentes comandos de configuración o estructuras de tabla de sesión. Esto puede provocar la falla de la sincronización de información y un mayor impacto en los servicios.

 

l  El contenido y el orden de las configuraciones clave deben ser los mismos para los firewalls activos y en espera. Las configuraciones clave incluyen interfaces, subinterfaces, zonas de seguridad, firewalls virtuales y conjuntos de direcciones. Los cortafuegos crean índices internos (invisibles) en el orden de configuración. Si los dos cortafuegos están configurados en diferentes órdenes, los índices internos son diferentes. Esto puede provocar la falla de la sincronización de la información. Si se producen dichos problemas, elimine todas las configuraciones relacionadas y configure nuevamente. Eliminar las diferentes configuraciones no vuelve a crear los índices internos. Se recomienda restaurar las configuraciones predeterminadas de los dos cortafuegos y volver a configurar el modo de espera activo.


Diagrama de flujo de fallas

La Figura 1 muestra el diagrama de flujo de fallas del servicio después de una conmutación active/standby.

 

Figura 1 Diagrama de flujo: los servicios se interrumpen después del cambio active/standby

e2

 

Si los servicios se interrumpen después de una conmutación active/standby, verifique las tablas de direcciones MAC o las tablas de enrutamiento de los dispositivos ascendentes y descendentes. Si los paquetes se pueden reenviar correctamente, puede deberse a que las sesiones no se respaldan o no se respaldan por completo. Para resolver este problema, realice manualmente una copia de seguridad por lotes. Si las sesiones aún no se pueden respaldar completamente después de la copia de respaldo manual por lotes, puede ser porque los dos firewalls son inconsistentes en las configuraciones de software o hardware.


Saludos.

                  

FIN

 

Comunidad Huawei Enterprise
https://forum.huawei.com/enterprise/es/forums

 

#ComunidadEnterprise

#OneHuawei

  • x
  • convención:

Comentar

Responder
Debe iniciar sesión para responder la publicación Inicio de sesión | Registrarse

Aviso Aviso: Para garantizar sus legítimos derechos e intereses, la comunidad y los terceros no publicarán contenido que pueda generar riesgos legales a las partes, por ejemplo, pornografía, contenido político, contenido sobre juego, consumo y tráfico de drogas, así como contenido que viole los derechos de propiedad intelectual de terceros, por ejemplo, secretos comerciales, marcas, derechos de autor, patentes y privacidad personal. No comparta su cuenta ni su contraseña con terceros. Todas las operaciones realizadas usando su cuenta se considerarán como sus acciones y todas las consecuencias que estas acciones generen serán responsabilidad suya. Para obtener información detallada, consulte la “ Política de privacidad.”
Si el botón para adjuntar no está disponible, actualice Adobe Flash Player con la versión más reciente

My Followers

¡Ingresa y disfruta de todos los beneficios para los miembros!

Inicia sesión

Comunidad Huawei Enterprise
Comunidad Huawei Enterprise
Bloquear
¿Estás seguro de bloquear a este usuario?
Los usuarios en lista negra no pueden comentar tus publicaciones,no pueden mencionarte,no pueden enviarte mensajes privados.