SANGFOR NGAF双机主备专线故障的排查
【问题现象】
Sangfor NGAF双机主备,新增接入一条专线,网络能通,但丢包率高寒,达50+%以上。
【排查过程】
Sangfor NGAF双机主备部署,原有一进一出线路,一切正常。
现新增一条专线,配置接口、区域、IP、NAT、路由和访问策略,一切OK,能Ping通专线服务器。
没过多久,就有工作人员反映,访问专线服务器响应很慢。
再次Ping服务器,持续Ping,这回发现问题了,一会通,一会超时,丢包率达50%左右。
了解接入专线情况,介绍说专线直接光纤接到交换机的光口,再通过RJ45网线分到2台NGAF设备上,光纤上行在中间位置有一交换机,一端通过千兆光模块连接到客户处,另一端通过一对100M光收发器接到服务器机房。
没办法,那就从中间交换机上开始测试,向两端Ping,看问题出在哪一段,奇怪,两端都很正常,没有丢包发生。
[H3C]ping -c 200 172.21.161.4 --- Ping statistics for 172.21.161.4 --- 200 packet(s) transmitted, 200 packet(s)received, 0.0% packet loss round-trip min/avg/max/std-dev =6.417/7.219/38.369/2.937 ms [H3C]ping -c 200 172.21.162.200 --- Ping statistics for 172.21.162.200 --- 200 packet(s) transmitted, 200 packet(s)received, 0.0% packet loss round-trip min/avg/max/std-dev =0.681/0.766/1.496/0.085 ms
同样,在NGAF连接的交换机上测试,结果也一样,一点问题也没有。
检查结果是从专线的对端Ping NGAF接口的IP,一切正常,没有丢包。
唯一有问题的是,从内部通过NGAF Ping专线对端的网关,会发生丢包。
看来问题出在NGAF上,一时找不出问题的根源,怀疑是AF双机的问题,AF系统版本刚做过升级。
断开备机的专线连接,故障排除。
看来问题确实是出在AF双机上。
检查AF设备配置,发现专线接口未加入到双机监视接口组中。
询问客户原因,客户说考虑到专线不是关键业务,为了在专线出现问题时不会影响到单位的关键业务,所以未对接口进行监视。
原因找到,接下来咨询了Sangfor的智能客服和人工客服,给出的解决办法有两个:
一是2台设备的接口采用同一个IP地址,将接口加入到双机监视接口组中;
二是接口如果不加入到双机监视接口组中,那么2台设备的接口采用不同的IP地址,在配置接口IP时,在IP地址后加上-HA;
【处理过程】
将专线接口加入到双机监视接口组中。
【问题原因】
Sangfor NGAF双机主备模式部署时,只有加入到双机监视接口组的接口,才是工作在主备模式,备机的接口不发送流量;未加入到双机监视接口组的接口,是工作在主主模式的,均可发送和接收数据。
以下摘录下智能客服的解答:
AF网口监视和接口链路监控有什么不同?
网口监视只有当接口down了才会进行切换
链路监视只要检测到链路故障就会进行切换
AF双机有效的数据接口都需要加入接口监测吗?
AF双机情况下设备配置会同步,不加入监视口的数据接口2台设备都会发送与接收数据
1、路由口、VLAN接口需要检查部署双机后是否会地址冲突,冲突的话需要加入监视口
2、透明口需要检查部署双机后会形成环路,如果成环的话需要加入监视口
AF双机热备的网口监视怎么配?
网口监视有序号组,多序号组情况下任意一组网口状态“down“即切换
一组网口中有多个网口,需要所有网口”down"才判定该组状态“down“才切换
AF网络数据接口中的路由接口建议加入【双机热备】,加入【双机热备】的接口才不会产生地址冲突
AF双机主备都有一个业务口故障,双机怎么切换?
AF8.0.2之前的版本,双机两台设备网口监视里某组监视口都处于故障时,双机处于故障状态
AF8.0.2及以上版本,可以在【系统】-【高可用性】-【双机热备】-【高级配置】勾选【双机部署时,任意故障场景下均存在主机】主机依旧会维持主机状态
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
发表于 2019-12-30 21:13
发表于 2019-12-27 11:51
技术员3级 
