网络拓扑如下:
其中AF,NIPS都做的虚拟网线模式,且做的主备,客户已经在用了,这次原厂大哥跟我一起去巡检,给我指出了错误,还是自己太菜了,在这里感谢原厂大佬了。 1、为了主备切换都配置了网口监视,需要注意的是网口监视的生效的条件是每组down掉,注意是down掉,和下面链路故障检测有区别,链路检测是故障,而这里我配的是虚拟网线口是二层口,所以虚拟网线口没有故障状态,但会有down的状态,所以配置链路检测没有什么用,要配置网口监视。我在这里分别将每个设备的上联口和下联口分别加到了两个组中,主设备一个口down就发生切换。下面讲讲这样配置存在的问题: 这时的我并没有配置接口联动,如果AF主的上联口down了,原来的AF备就变成了主。但是原来AF主只是上联口down了,下联口并没有down,此时下面NIPS并没有发生主备切换(网口监视规则),这样就会导致网络中断。 解决办法: 接口联动,当AF的上联口down掉了,下联口也跟着down掉,这样上面防火墙主备切换时,下面NIPS也会跟着切换。 2、AF主备的上下联端口选择了bypass口,这个是L1文档里面有明确说明的,自己都还没注意到。。。。自己真的是。。。这样配置存在的问题是,主机正常运行,备机系统崩掉了,正常情况备机不转发数据,但是备机系统崩了之后,bypass口会转发数据了,这样会导致广播风暴的,听原厂大佬说他遇到过一次,直接把人家上面的设备打穿了,人给我听傻了,马上改了过来。所以做主备的上下业务口不要选择成一对bypass口,不然不出问题还好,出了问题就寄了。 总结:还是自己没把知识吃透,同时自己的学习习惯也有问题,L1ppt里面的内容自己都还没注意到,记录一下吧,以后不要再犯这种错误了。 | 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2022-6-21 09:56
技术员2级 
