×

【原创分享】----记一次悲催的AF双机替换过程
  

清风慕竹 82831人觉得有帮助

{{ttag.title}}

1. 客户需求
      客户原有俩台某公司防火墙,但备机在运行的过程中时不时会出现死机的现象,故新购俩台某公司的防火墙进行替换。
2. 某公司防火墙双机原理
      某公司防火墙双机相当于VRRP(虚拟路由冗余协议),在VRRP中有两组重要的概念VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。
3. NGAF配置
由于需要配置的太多,客户已提前配置完毕,以下为部分配置相关截图。

4. 上架替换

注:客户将耳片放在了总部,故设备无法正常上架。
5. 问题排查
5.1 接口未启用,策略无效
排查过程:
(1)查看接口配置是否关联区域;
(2)对比与某公司原配置;
(3)配置刷新;
原因:客户把网线插错了顺序,导致接口关联的区域不对
5.2 客户通过内网、外网登录控制台出现闪退
排查思路:
(1)新建管理员权限用户数;
(2)修改会话数;
(3)清理缓存;
原因:客户登录一次就相当于一次会话,若多次登录原先会话数保留
补充:若是内网登录出现闪退,可前往接AF的交换机上查看 mac 表,确认连接AF的两个接口学习到的mac否是同一个。若是外网登录出现闪退,检查双机配置,主备机的监视口配置不一致。
5.3 客户内网业务访问丢包
排查思路:
1开启直通查看是否是控制策略阻断;
①以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置
②以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置
(2)检查NGAF接口的双工、速率协商是否正常;出口线路带宽是否有跑满;流量管理配置是否错误;
①以标准版本AF7.3版本操作路径示例:
在【网络配置】-【接口/区域】-【物理接口】中查看接口的双工、速率协商;在【运行状态】-【系统状态】-【接口吞吐率趋势】中查看线路带宽是否有跑满;在【流量管理】中查看和修改流控。
②以标准版本AF7.4版本操作路径示例:
在【网络】-【接口/区域】-【物理接口】中查看接口的双工、速率协商;在【运行状态】-【总览】-【网络活动状态】-【接口吞吐率趋势】中查看线路带宽是否有跑满;在【策略】-【流量管理】中查看和修改流控。
(3)关闭备机,主机运行,查看是否正常;
(4)关闭主机,备机运行,查看是否正常;
(5)若主机正常,备机不正常,或主机不正常,备机正常,主备机关机,替换主备机网线测试;
(6)若主机正常,备机正常,双机运行不正常,查看双机配置,是否业务口都加入到监视口。
原因:客户只加入eth4口到监视口,某公司NGAF双机的机制是只有加入监视口才不会发包,若接网线接口未加入到双机监视口中,此接口可以正常收发数据包,在该接口配置ip之后,会导致内网ip存在两个同样的ip发生冲突。
5.4 VPN登录不上
排查思路:直接在IE浏览器中输入地址登录SSL VPN即可。
原因:AF的SSL 用户登录界面不支持使用谷歌浏览器,更换IE浏览器登录后正常
6. 测试
6.1 设备重启切换
现象:关闭主机,切换到备机,丢俩个包
6.2 设备拔线切换
现象:丢一俩个包
6.3 主机拔3口,备机拔4口
现象:丢俩个包
6.4 双机HA线拔掉
现象:备机切换成主机,造成两台都是主机,双机同主
6.5 主备3口同时出现故障
现象:丢俩个包,业务正常访问
7. 客户满意度
8. 结语
    开开心心去上班,高高兴兴解决问题!

打赏鼓励作者,期待更多好文!

打赏
11人已打赏

cshell9 发表于 2019-8-28 17:19
  
双机哈哈 那是你遇到核心堆叠、ac双机、af双机、ad双机场景,乐的很。细心留意ac版本更新文档的会发现,ac11.0之后双机机制改了好多次,不知道是不是因为不稳定的情况。我们遇到的情况就是,加入ac掉了一根线,ac切备机,发现af没切备机,总有一个不切的,干脆冷备了。
雷安陈九创 发表于 2019-8-22 21:50
  
厉害厉害
水之蓝色 发表于 2019-8-22 22:03
  
楼主是技术大咖!厉害了
未来之星 发表于 2019-8-23 11:59
  
讲的很详细,挖的坑也比较深啊!学习了,感谢分享!
新手891595 发表于 2019-8-23 12:00
  
很详细,很具体,学习了!感谢分享!
刘松柏 发表于 2019-8-23 14:28
  
可以可以,写的很具体,学习了!
沧海 发表于 2019-8-23 21:40
  
感谢分享
小胖子 发表于 2019-8-25 08:27
  
很具体,很详细,学习了!感谢分享!
sangfor_闪电回_小六 发表于 2019-8-26 14:14
  
您好,感谢您参与社区原创分享计划2,您的文章已被收录到计划中,分享激励将在专家小组评审结束后进行派发,再次感谢!
avic 发表于 2019-8-26 15:41
  
感谢分享
发表新帖
热门标签
全部标签>
安全效果
西北区每日一问
技术盲盒
技术笔记
干货满满
【 社区to talk】
每日一问
信服课堂视频
GIF动图学习
新版本体验
技术咨询
2023技术争霸赛专题
功能体验
产品连连看
自助服务平台操作指引
标准化排查
秒懂零信任
技术晨报
安装部署配置
原创分享
排障笔记本
玩转零信任
排障那些事
SDP百科
技术争霸赛
深信服技术支持平台
通用技术
以战代练
升级&主动服务
社区新周刊
畅聊IT
答题自测
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
产品预警公告
信服圈儿
S豆商城资讯
「智能机器人」
追光者计划
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
每周精选
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
高手请过招
高频问题集锦
POC测试案例
全能先锋系列
云化安全能力

本版版主

1
3
10

发帖

粉丝

关注

396
142
63

发帖

粉丝

关注

5
7
7

发帖

粉丝

关注

0
1
0

发帖

粉丝

关注

本版达人

新手61940...

本周建议达人

BGP网络

本周分享达人

BGP网络

本周提问达人