0115 HRP故障处理.docx
- 文档编号:9615506
- 上传时间:2023-05-20
- 格式:DOCX
- 页数:45
- 大小:91.58KB
0115 HRP故障处理.docx
《0115 HRP故障处理.docx》由会员分享,可在线阅读,更多相关《0115 HRP故障处理.docx(45页珍藏版)》请在冰点文库上搜索。
0115HRP故障处理
插图目录
表格目录
15HRP故障处理
关于本章
本章描述内容如下表所示。
标题
内容
15.1简介
介绍进行HRP故障处理时用户所需的知识要点。
15.2故障处理过程
介绍双机热备份的故障处理过程。
针对典型的MPLSL3VPN组网环境,介绍配置MPLSL3VPN时要注意的事项,故障处理的流程和详细的故障处理步骤。
15.3故障处理案例
介绍了两个实际的故障处理案例。
15.4FAQ
列出了用户常问的问题,并给出了相应的解答。
15.5故障诊断工具
介绍了进行故障处理所需的故障诊断工具,包括使用display命令和调试命令。
15.1简介
Eudemon防火墙是状态防火墙,对于每一个动态生成的会话连接,Eudemon防火墙上都有一个会话表项与之对应。
假设采用主备备份方式,EudemonA防火墙作为Master设备并承担所有数据传输任务,其上创建了很多动态会话表项;而EudemonB防火墙由于处于备份状态,没有任何流量经过。
如果EudemonA出现故障或相关链路出现问题,EudemonB将会切换状态而变成新的Master,并开始承担传输任务。
如果状态切换前,会话表项和配置命令没有备份到EudemonB,则先前经过EudemonA的所有会话都会因为无法命中EudemonB的会话表而断链,导致业务中断,从而影响业务正常进行。
为了实现Master设备出现故障时能由Backup设备平滑地接替工作,需要在Master和Backup设备之间备份关键配置命令和会话表状态信息。
为此,华为公司推出了HRP(HuaweiRedundancyProtocol)。
启动HRP双机热备份功能后,如果Master防火墙发生故障,导致VRRP管理组状态改变,从而实现Backup防火墙平滑地接替工作。
配置命令和会话状态信息在Master防火墙发生故障之前已备份到Backup防火墙。
15.2故障处理过程
本节介绍如下的内容。
●典型组网环境
●配置注意事项
●故障诊断流程
●故障处理步骤
15.2.1典型组网环境
HRP的典型组网如图15-1所示。
HRP的故障处理将基于该网络。
图15-1防火墙(路由模式)与交换机双机热备组网图
在图15-1中,防火墙的Eth1/0/0属于Trust区域,Eth4/0/0属于Untrust区域,E2/0/0属于自定义的HRP区域。
防火墙和路由器也可以组成双机热备的组网,其物理组网图与上图类似,只需将所有交换机换成路由器即可。
15.2.2配置注意事项
备份通道必须是配置了VRRP备份组并且已经加入到管理组中的高速主接口(GE口或者FE口,不能是子接口和主控板上的接口)。
配置项
子项
注意事项
配置VRRP
虚拟IP地址
根据网络规划,在接口下配置VRRP备份组及虚拟IP地址。
主备防火墙上对应接口下的VRRP备份组编号和虚拟IP地址要一致。
配置VGMP
组成员
将需要参与主备切换的VRRP备份组加入到管理组。
优先级
配置管理组的优先级,主防火墙的优先级比备防火墙高。
抢占方式
配置管理组的抢占功能及抢占延时。
配置HRP
启动HRP
启动或关闭HRP功能。
配置备份项
指定要备份的内容,如配置信息和连接状态信息。
配置备份通道
配置用于备份连接状态信息的备份通道。
当防火墙工作在不同的模式、或者当上下行设备类型不同时,双机热备的组网配置也不尽相同,因此下面分别举例说明。
防火墙(路由模式)与交换机组成的双机热备组网配置
以主防火墙配置为例说明双机热备的配置,备防火墙的配置与主防火墙配置类似,优先级采用默认优先级,此处不再赘述。
#配置组网图中的相应接口的IP地址,并把接口加入域中(略)。
#打开相应的域间包过滤规则(略)。
#配置VRRP。
配置Eth1/0/0接口下的VRRP备份组和虚拟IP地址。
[Eudemon]interfaceethernet1/0/0
[Eudemon-Ethernet1/0/0]vrrpvrid1virtual-ip1.1.1.1
[Eudemon]quit
#配置Eth4/0/0接口下的VRRP备份组和虚拟IP地址。
[Eudemon]interfaceethernet4/0/0
[Eudemon-Ethernet4/0/0]vrrpvrid2virtual-ip2.2.2.1
[Eudemon-Ethernet4/0/0]quit
#配置心跳口Eth2/0/0下的VRRP备份组和虚拟IP地址。
[Eudemon]interfaceethernet2/0/0
[Eudemon-Ethernet2/0/0]vrrpvrid3virtual-ip192.168.1.1
[Eudemon-Ethernet2/0/0]quit
#配置VGMP。
将需要参与切换的VRRP备份组加入到管理组进行管理。
另外心跳口E2/0/0只用来传送VGMP报文(不承载业务)。
业务口Eth1/0/0和Eth4/0/0兼作备用的VGMP报文通道。
配置管理组优先级和抢占功能,启动管理组。
[Eudemon]vrrpgroup1
[Eudemon-vrrpgroup-1]addinterfaceethernet2/0/0vrrpvrid3datatransfer-only
[Eudemon-vrrpgroup-1]addinterfaceethernet1/0/0vrrpvrid1data
[Eudemon-vrrpgroup-1]addinterfaceethernet4/0/0vrrpvrid2data
[Eudemon-vrrpgroup-1]vrrp-grouppriority105
[Eudemon-vrrpgroup-1]vrrp-grouppreemptdelay60000
[Eudemon-vrrpgroup-1]vrrp-groupenable
●每个管理组中至少需要一个数据通道(data通道);
●只有心跳口(不承载业务)才能配置transfer-only参数;
●关于管理组的优先级,推荐主防火墙配置为105,备防火墙配置为100(默认值);
●关于抢占方式,推荐启动抢占功能,同时主防火墙抢占延时在20s以上,备防火墙抢占延时可以配置为0s。
#配置HRP。
VGMP负责防火墙的故障切换,而HRP则负责数据的备份。
开启备份功能并指定备份连接状态信息的通道。
[Eudemon]hrpenable
[Eudemon]hrpinterfaceethernet2/0/0
防火墙(混合模式)与交换机组成的双机热备组网配置
由于业务口工作在透明模式,无法配置VRRP备份组,因此只能在心跳口上配置VRRP备份组并加入到管理组,作为备份连接状态信息的通道。
由于业务口上没有配置VRRP备份组,为了业务口出现故障时能触发防火墙的主备切换,可以通过将业务口所属的VLAN与相关管理组关联起来的方式来实现。
当VLAN中有端口出现故障时,会降低相关联的管理组的优先级并触发主备切换。
以主防火墙的配置来说明该配置情况。
主要配置如下。
#配置防火墙工作在混合模式下。
[Eudemon]firewallmodecomposite
#配置以太网接口的IP地址,并把接口加入域中。
[Eudemon-interface-Ethernet2/0/0]ipaddress192.168.1.2255.0.0.0
[Eudemon-interface-Ethernet2/0/0]quit
[Eudemon]interfaceethernet1/0/0
[Eudemon-Ethernet1/0/0]portswitch
[Eudemon-Ethernet1/0/0]portdefaultvlan2
[Eudemon-Ethernet1/0/0]quit
[Eudemon]interfaceethernet4/0/0
[Eudemon-Ethernet4/0/0]portswitch
[Eudemon-Ethernet4/0/0]portdefaultvlan2
[Eudemon-Ethernet4/0/0]quit
[Eudemon]firewallzonedmz
[Eudemon-zone-dmz]addinterfaceethernet2/0/0
[Eudemon-zone-dmz]quit
[Eudemon]firewallzonetrust
[Eudemon-zone-trust]addinterfaceethernet1/0/0
[Eudemon-zone-trust]quit
[Eudemon]firewallzoneuntrust
[Eudemon-zone-untrust]addinterfaceethernet4/0/0
#打开域间包过滤规则。
[Eudemon]firewallpacket-filterdefaultpermitall
#配置VRRP。
配置心跳口E2/0/0下的VRRP备份组和虚拟IP地址。
[Eudemon]interfaceethernet2/0/0
[Eudemon-Ethernet2/0/0]vrrpvrid1virtual-ip192.168.1.1
[Eudemon-Ethernet2/0/0]quit
#配置VGMP。
由于业务口上没有配置VRRP备份组,因此这里只能将心跳口上的VRRP备份组加入到管理组,配置管理组优先级和抢占功能,启动管理组。
[Eudemon]vrrpgroup1
[Eudemon-vrrpgroup-1]addinterfaceethernet2/0/0vrrpvrid1data
[Eudemon-vrrpgroup-1]vrrp-grouppriority105
[Eudemon-vrrpgroup-1]vrrp-grouppreemptdelay60000
[Eudemon-vrrpgroup-1]vrrp-groupenable
业务口上不能配置VRRP备份组,但是当业务口出现故障时也必须触发管理组进行主备切换。
因此,我们可以将业务口所属的vlan与管理组相关联,这样当vlan中有接口出现故障时能触发相关联的管理组进行主备切换。
假设业务口缺省vlan为vlan2。
步骤1将vlan2与管理组1关联
[Eudemon]vlan2
[Eudemon-vlan-2]setvgmp1
步骤2配置HRP
HRP的配置与路由模式下的配置相同,请参见“防火墙(路由模式)与交换机组成的双机热备组网配置”中的相关配置。
----结束
防火墙与路由器组成的双机热备组网配置
当防火墙与路由器组成双机热备的组网时,无论防火墙是工作在路由模式还是透明模式,都只能在心跳口上配置VRRP备份组并加入到管理组,作为主备防火墙之间的通信通道和备份通道。
在和路由器的组网中,防火墙一般使用“双主”配置,即每台防火墙上配置两个管理组,其中一个为主,另一个为备,这样两台防火墙在任何情况下都能相互备份。
此时防火墙已经不需要监测业务端口的状态(因此在业务端口故障时也不会有主备切换),故障响应完全由上下行路由器来完成。
步骤1配置以太网接口IP地址,并将接口加入安全区域。
步骤2打开域间包过滤规则。
步骤3配置VRRP。
#配置心跳口E2/0/0下的VRRP备份组和虚拟IP地址。
由于要创建两个管理组,因此需要配置两个备份组。
[Eudemon]interfaceEthernet2/0/0
[Eudemon-Ethernet2/0/0]vrrpvrid1virtual-ip192.168.1.1
[Eudemon-Ethernet2/0/0]vrrpvrid2virtual-ip192.168.1.4
[Eudemon-Ethernet2/0/0]quit
步骤4配置VGMP
#创建两个管理组,将心跳口上的两个VRRP备份组分别加入到这两个管理组。
在其中一台防火墙上,vrrp-group1为主,vrrp-group2为备;在另一台防火墙上,vrrp-group1为备,vrrp-group2为主。
[Eudemon]vrrpgroup1
[Eudemon-vrrpgroup-1]addinterfaceethernet2/0/0vrrpvrid1data
[Eudemon-vrrpgroup-1]vrrp-grouppriority105
[Eudemon-vrrpgroup-1]vrrp-grouppreemptdelay60000
[Eudemon-vrrpgroup-1]vrrp-groupenable
[Eudemon]vrrpgroup2
[Eudemon-vrrpgroup-2]addinterfaceethernet2/0/0vrrpvrid2data
[Eudemon-vrrpgroup-2]vrrp-grouppreemptdelay0
[Eudemon-vrrpgroup-2]vrrp-groupenable
步骤5配置HRP
HRP的配置与和交换机的组网下的配置相同。
具体请参见“防火墙(路由模式)与交换机组成的双机热备组网配置”。
另外当防火墙工作在混合模式时,缺省设置下是不允许备防火墙转发报文的。
由于备防火墙侧的上下行路由器需要通过动态路由协议报文交互来建立联系,因此需要允许备防火墙转发报文,具体命令为:
[Eudemon]firewallcomposite-hrppermit-backupforward
----结束
15.2.3故障诊断流程
HRP故障诊断流程如图15-2所示。
图15-1HRP故障诊断流程图
VGMP故障诊断流程如图15-3所示。
图15-2VGMP故障诊断流程图
15.2.4故障处理步骤
步骤1检查是否启动了HRP功能。
执行如下命令检查是否配置并使能了HRP。
例如:
HRP_S
hrpenable
hrpinterfaceEthernet2/0/0
还可以通过以下命令查看HRP的详细状态:
HRP_S[Eudemon-A]displayhrpverbose
Thefirewall'sconfigstateis:
SLAVE
HRPChannalonVRRPgroup1status:
VRRPGroupstatus:
BACKUP
HRPstatus:
RTRECEIVING
HRPConnectionPhasestatus:
0
TotalMsgNum:
0,NextMsgSeq:
0,NextMsgToSend:
0,
ExpectedAck:
0,ExpectedFrame:
37
上例中,Thefirewall'sconfigstateis:
SLAVE表明当前设备是配置从设备,而HRPstatus:
RTRECEIVING表明与VRRPgroup1相关的HRP实例的状态为RTRECEIVING(实时接收)状态。
步骤2检查是否配置并启动了VGMP。
执行如下命令检查是否配置并使能了VGMP。
例如:
HRP_S
vrrpgroup1
addinterfaceEthernet2/0/0vrrpvrid1data
vrrp-groupenable
vrrp-grouppreemptdelay0
undovrrp-groupgroup-send
步骤3检查VGMP的状态。
在主备防火墙上,通过如下命令来检查各管理组的状态:
HRP_S[Eudemon-A]displayvrrp-groupverbose
VrrpGroup1
state:
Slave
Priority:
100
Preempt:
YESDelayTime:
0
Timer:
1000
Group-Send:
NO
PeerStatus:
OnLine
Vrrpnumber:
1
interface:
Ethernet2/0/0,vrrpid:
1Up
该命令可以查看系统内所有管理组的详细运行信息。
其中的interface部分列出了管理组中所有的组成员的当前状态以及所学习到的对端的状态:
Up表示本端备份组及对端备份组的状态均正常;Peerdown表示本端状态正常,但无法联系到对端;Down表示本端备份组对应的接口没有Up。
步骤4检查VGMP组成员结构。
执行命令displaycurrent-configuration检查各管理组下的组成员接口。
双机热备组网要求两防火墙对应的管理组中组成员结构完全一致,否则两端无法通信,导致两端的管理组状态都为Master状态。
步骤5检查对应组成员之间能否正常通信。
在主备防火墙上,通过displayvrrp-groupverbose命令来检查各管理组的状态及组成员的状态。
如果两端相关物理接口都是Up但现实的VRRP备份组的状态都是PeerDown,则可以断定两防火墙上对应的VRRP备份组不能正常通信。
此时可以查看两端的VRRP的配置是否一致,并且看两防火墙之间能否通过该接口相互ping通。
步骤6检查VRRP配置。
执行命令displaycurrent-configuration检查两防火墙上各对应的VRRP配置是否一致。
除了优先级可以不一致之外,其它配置都要求一致,否则有可能导致两端无法正常通信。
如果至此还无法排除HRP状态不正确的故障,请联系华为的技术支持工程师。
----结束
15.3故障处理案例
本节介绍如下常见的故障处理案例。
●命令行提示符没有变化
●命令行提示符均为HRP_M
15.3.1命令行提示符没有变化
网络环境
典型的防火墙与交换机的双机热备组网,在主备防火墙上均启动了HRP功能。
组网如图15-1所示。
配置完成后发现命令提示行没有发生变化。
故障分析
正常情况下,在启动了HRP功能后,防火墙的命令提示符前会有HRP_M或HRP_S的前缀,分别表示该防火墙是配置主设备或配置从设备。
如果在启动了HRP功能后命令行提示符前没有HRP前缀,则有可能是没有配置VGMP,或者配置了VGMP但没有使能,也有可能虽然各管理组均使能了,但其状态是初始化状态。
通过命令displayvrrp-groupverbose查看系统内各VRRP管理组的运行状态。
如果系统内没有配置管理组,则需要先配置好VRRP管理组。
如果配置了管理组,但是状态都是初始化状态,则需要查看各管理组是否使能。
如果各管理组均使能了,但管理组状态还是初始化状态,则需要查看管理组内的各个接口是否是Up状态。
处理步骤
在主备防火墙上均执行以下操作。
步骤1在主备防火墙上执行displayvrrp-groupverbose命令查看各管理组的运行信息。
步骤2检查是否配置并使能了VRRP管理组。
步骤3检查各VRRP管理组内各组成员所对应的接口是否已经是Up状态。
步骤4处理以上各种可能的问题,查看命令行HRP前缀是否出现。
----结束
完成上述操作后,可以发现命令行HRP前缀出现,故障被排除。
案例总结
通过此案例,可以了解到:
●HRP的启动依赖于VGMP运行是否正常;
●如果管理组内各数据通道所对应的接口都处于Down状态,会导致整个管理组切换到初始化状态,从而HRP无法正常运行。
15.3.2命令行提示符均为HRP_M
网络环境
典型的防火墙与交换机的双机热备组网,在主备防火墙上均启动了HRP功能。
组网如图15-1所示。
故障分析
在主备防火墙HRP状态协商正确的情况下,应该会协商出配置主设备(命令行提示符前缀为HRP_M)和配置从设备(命令行提示符前缀为HRP_S)。
但是如果两台防火墙上的命令行提示符前缀均为HRP_M,则表示防火墙上VRRP管理组状态不正确,即两端防火墙上的VRRP管理组都为Master状态。
出现这种故障最常见的原因是两端防火墙对应的VRRP管理组的组成员结构不一致,两端的管理组之间无法通信,导致两端管理组均认为对端管理组已经Down而将自己切换为Master状态。
通过命令displayvrrp-groupverbose查看管理组各成员状态是否为peerDown,如果是则查看VRRP管理组当前配置,检查两防火墙上对应的VRRP管理组中的备份组成员是否完全一致,如果不一致则需要修改。
处理步骤
步骤1通过命令displayvrrp-groupverbose检查各VRRP管理组中备份组的状态。
步骤2通过命令displaycurrent-configuration检查两防火墙上对应管理组的组成员是否完全一致。
----结束
案例总结
通过此案例,可以了解到:
●必须保证两防火墙上对应管理组的组成员完全一致,管理组之间才能正常通信并协商出主备,HRP才能正常运行;
●通过命令displayvrrp-groupverbose可以查看系统内各VRRP管理组及其中的所有VRRP备份组的运行状态及对端状态,对于故障定位很重要并且很有效。
15.4FAQ
●问:
为什么VRRP管理组使能之后,管理组状态为初始化?
答:
如果管理组内所有数据通道均为Down状态,则两端管理组无法通信,状态被强制为初始化状态。
●问:
为什么两台防火墙上的相对应的管理组状态均为Master?
答:
如果两台防火墙上对应管理组的组成员结构不一致,会导致两端管理组无法通信,从而出现状态均为Master现象。
●问:
为什么启动了HRP功能后,命令行提示符没有HRP前缀?
答:
如果没有配置并启动VRRP管理组,或者虽然启动了管理组但其状态为初始化状态,HRP功能无法正常启动。
●问:
为什么启动了HRP功能后,命令行提示符均为“HRP_M”?
答:
如果两端防火墙上的VRRP管理组均为Master状态会导致命令行提示符均为“HRP_M”。
●问:
为什么查看管理组状态时,组成员状态为“PeerDown”?
答:
如果两端防火墙管理组成员结构不是完全一致,则两端的管理组无法正常通信,都无法获得对端的消息,导致组内的备份组成员状态为“PeerDown”。
另外如果出现故障的备份组无法与对端备份组进行通信,或者两端备份组的配置不一致,也会导致此现象。
●问:
为什么主防火墙上的会话表项没有备份到备防火墙?
答:
主防火墙上的会话表项没有备份到备防火墙的原因分以下两种情况:
−防火墙上没有配置HRP备份通道(hrpinterface),或者虽然配置了备份通道但备份通道有故障,或者关闭了连接状态备份,则主防火墙上的会话表项无法备
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 0115 HRP故障处理 HRP 故障 处理