問題描述
華為防火墻主備部署,深信服AD主備部署,兩者口字型連接,在業務運行程序中,業務AD主備切換后華為FW未與AD聯動進行主備切換,
排查思路
AD、FW互相判斷鏈路中斷是基于ping測驗互連鏈路連通性,ping測驗時基于定義好的時間周期內對方是否有回應報文,在抓包中發現:
1.當FW認為鏈路中斷時,AD任務鏈路未中斷,未進行主備切換,經仔細研究發現:兩廠商的ping檢測機制不一致,
華為FW:連續發出定量的ping包,看對端是否有回應報文;
深信服AD:類似并行,t1發ping包,間隔t時間后發t2時刻的ping包;
--->兩廠商ping互測時存在檢測空隙,可能ping探測失敗,
2.華為FW 針對ping探測包的回應不及時:華為FW對資料流進行了分類,業務流最優先,類似ping報文優先級底,只有一核CPU處理,當
業務資料流大的時候,可能存在對ping包回應不及時的問題,
解決辦法
1.針對深信服AD ping包探測方式,將華為FW icmp快回功能打開,及時回應深信服AD的ping探測報文,命令
icmp echo-reply fast enable
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/250512.html
標籤:其他
下一篇:Python版apollo客戶端