1. 客户需求 客户原有俩台某公司防火墙,但备机在运行的过程中时不时会出现死机的现象,故新购俩台某公司的防火墙进行替换。 2. 某公司防火墙双机原理 某公司防火墙双机相当于VRRP(虚拟路由冗余协议),在VRRP中有两组重要的概念:VRRP路由器和虚拟路由器,主控路由器和备份路由器。VRRP路由器是指运行VRRP的路由器,是物理实体;虚拟路由器是指VRRP协议创建的,是逻辑概念。一组VRRP路由器协同工作,共同构成一台虚拟路由器。该虚拟路由器对外表现为一个具有唯一固定的IP地址和MAC地址的逻辑路由器。处于同一个VRRP组中的路由器具有两种互斥的角色:主控路由器和备份路由器,一个VRRP组中有且只有一台处于主控角色的路由器,可以有一个或者多个处于备份角色的路由器VRRP协议从路由器组中选出一台作为主控路由器,负责ARP解析和转发IP数据包,组中的其他路由器作为备份的角色并处于待命状态,当由于某种原因主控路由器发生故障时,其中的一台备份路由器能在瞬间的时延后升级为主控路由器,由于此切换非常迅速而且不用改变IP地址和MAC地址,故对终端使用者系统是透明的。 3. NGAF配置由于需要配置的太多,客户已提前配置完毕,以下为部分配置相关截图。
4. 上架替换
注:客户将耳片放在了总部,故设备无法正常上架。5. 问题排查 5.1 接口未启用,策略无效排查过程: (1)查看接口配置是否关联区域; (2)对比与某公司原配置; (3)配置刷新; 原因:客户把网线插错了顺序,导致接口关联的区域不对 5.2 客户通过内网、外网登录控制台出现闪退排查思路: (1)新建管理员权限用户数; (2)修改会话数; (3)清理缓存; 原因:客户登录一次就相当于一次会话,若多次登录原先会话数保留 补充:若是内网登录出现闪退,可前往接AF的交换机上查看 mac 表,确认连接AF的两个接口学习到的mac是否是同一个。若是外网登录出现闪退,检查双机配置,主备机的监视口配置不一致。 5.3 客户内网业务访问丢包
排查思路: (1)开启直通查看是否是控制策略阻断; ①以标准版本AF7.3版本操作路径示例:可在【系统维护】-【数据包拦截日志与直通】配置 ②以标准版本AF7.4版本操作路径示例:可在【系统】-【排障】-【数据包拦截日志与直通】配置 (2)检查NGAF接口的双工、速率协商是否正常;出口线路带宽是否有跑满;流量管理配置是否错误; ①以标准版本AF7.3版本操作路径示例: 在【网络配置】-【接口/区域】-【物理接口】中查看接口的双工、速率协商;在【运行状态】-【系统状态】-【接口吞吐率趋势】中查看线路带宽是否有跑满;在【流量管理】中查看和修改流控。 ②以标准版本AF7.4版本操作路径示例: 在【网络】-【接口/区域】-【物理接口】中查看接口的双工、速率协商;在【运行状态】-【总览】-【网络活动状态】-【接口吞吐率趋势】中查看线路带宽是否有跑满;在【策略】-【流量管理】中查看和修改流控。 (3)关闭备机,主机运行,查看是否正常; (4)关闭主机,备机运行,查看是否正常; (5)若主机正常,备机不正常,或主机不正常,备机正常,主备机关机,替换主备机网线测试; (6)若主机正常,备机正常,双机运行不正常,查看双机配置,是否业务口都加入到监视口。 原因:客户只加入eth4口到监视口,某公司NGAF双机的机制是只有加入监视口才不会发包,若接网线接口未加入到双机监视口中,此接口可以正常收发数据包,在该接口配置ip之后,会导致内网ip存在两个同样的ip发生冲突。 5.4 VPN登录不上排查思路:直接在IE浏览器中输入地址登录SSL VPN即可。 原因:AF的SSL 用户登录界面不支持使用谷歌浏览器,更换IE浏览器登录后正常 6. 测试 6.1 设备重启切换现象:关闭主机,切换到备机,丢俩个包 6.2 设备拔线切换现象:丢一俩个包 6.3 主机拔3口,备机拔4口 现象:丢俩个包 6.4 双机HA线拔掉 现象:备机切换成主机,造成两台都是主机,双机同主 6.5 主备3口同时出现故障 现象:丢俩个包,业务正常访问 7. 客户满意度
8. 结语 开开心心去上班,高高兴兴解决问题!
| 
发表于 2019-8-22 19:24
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
来自 # 
技术研究员1级 
