NGFW防火墙部署HA时配置了监控地址导致主备切换异常
1)、故障描述:
a.两台NGFW防火墙做HA,在没有配置抢占时,当主设备监控地址不通,正常主备切换后,新主设备在监控接口或监控地址时发现异常时,由于原来的主设备,此时为备设备接口无法转发数据,设备认为探测地址是不通的,所以HA主备再也不会发生改变,原来的主永远都不转发数据,当新主设备的线路也出现问题时,导致业务彻底中断;
b.两台NGFW防火墙做HA在配置抢占时,当主设备监控地址不通,正常主备切换后,原主设备由于成为备设备,接口不转发数据,即使主链路恢复,监控地址也是始终不通,不会抢占成主,而新主设备在线路出问题监控地址不通的情况下, HA主备也不会再次发生切换,导致业务中断。
2)、故障影响:
HA监控地址的模式下,主设备探测地址不通的时,无法切回原来的主,导致业务中断。
3)、问题原因:
NGFW上HA功能的三层监控存在缺陷,主要是地址监控功能需要通过报文来控制,如果需要发送报文的接口down掉了或者是墙成为备墙不发送报文了 ,那就会出现故障所描述的主墙切不回来的现象。
4)、解决方法:
目前暂时没有解决方案,最新的正式版本20131119在界面上取消了监控地址的配置。
发布时间:2014-08-14
点击量:2281
文档评价
