企业网络部署基本完成,核心交换机是两台华为S7706,都配备了防火墙板。汇聚层使用华为S5700-EI交换机,接入层则是由华为S3700交换机组成。由于业务的重要性,客户要求对核心交换机和防火墙板进行软件升级,并实现双机热备。
网络出口通过联通百兆专线接入,使用华为S1024交换机进行分路,连接到两台核心交换机的防火墙板。核心交换机上部署了MSTP+VRRP,以主备模式运行(华为S7706-1作为主模式)。网络整体采用静态路由和NQA网络质量分析技术,通过NQA实时检测上行链路的连通性,并自动调整VRRP优先级,以实现网关迁移和业务转发。
然而,在配置完成后进行故障模拟测试时,我们遇到了问题:当防火墙板与华为S7706-1之间的互联VLAN三层接口出现通信故障或手动停机时,主备交换机之间的VRRP网关出现了规律性的振荡,导致频繁切换。
为了解决问题,我们进行了以下分析和对策:
首先,我们怀疑是华为S7706核心交换机与板卡之间的兼容性问题。通过查阅官方软件升级规范,确认版本匹配无误。在检查是否存在环路时,我们注意到主备切换是有规律的,这让我们怀疑核心交换机和防火墙板的配置可能存在问题。在移除一些配置后,VRRP网关的轨迹恢复了正常。
接下来,我们检查了NQA是否是引起联动问题的原因。我们发现,当NQA检测到上行接口不可达时,会联动降低华为S7706-1上VRRP的优先级,数据切换到华为S7706-2进行转发。然而,当NQA检测到上行接口再次可达时,VRRP优先级又会被恢复,数据重新切换回华为S7706-1。但由于华为S7706-1上防火墙板的上网口和华为S7706-2上防火墙板的上网口都连接到同一个二层交换机上,导致NQA探头可以连接到华为S7706-1上防火墙板的接口地址,这使得主备切换变得频繁。
为了解决这一问题,我们采取了以下措施:将连接防火墙的交换机替换为支持端口隔离的交换机,并将连接底层的两个防火墙接口加入到隔离组中。此外,我们将与ISP通信的上行接口配置为上行,这样NQA就无法检测到华为S7706-1防火墙板接口的可达性,从而避免了VRRP网关的频繁切换。
通过这些调整,我们成功解决了网络稳定性的问题,并确保了企业网络的正常运行。这次经历也让我们深刻理解到,在进行网络优化和配置时,细致的规划和准确的执行至关重要。
案例文本:
一.背景
对企业网的外网进行调试和优化。核心交换机是两台华为S7706,都配有防火墙板。汇聚交换机采用华为S5700-EI,下层连接交换机采用华为S3700。
当时网络部署基本完成。由于业务的重要性,客户要求升级核心交换机和防火墙板的软件,并配置双机热备。该网出口采用联通百兆专线(单ISP),接入一台华为S1024交换机,分为两路双绞线,分别接入防火墙板。华为S7706核心交换机上部署MSTP+VRRP,采用主备模式(华为S7706-1为主模式)。整个网络采用静态路由和NQA网络质量分析技术。以NQA为轨迹检测上行链路的连续性,实现vlan三层VRRP优先级的自动切换,配合VRRP实现网关迁移和业务转发。在华为S7706-1上,NQA用于跟踪防火墙插件上互联网接口vlan的三层接口地址。当该接口发生故障时,华为S7706-1上vlan三层接口的VRRP优先级自动降低。此时华为S7706-1成为备用,华为S7706-2成功接管,华为S7706-2用于转发互联网数据。
二。问题和事件的描述
配置完成后,进行故障模拟测试。当防火墙板与华为S7706-1交换机之间的互联vlan三层接口发生通信故障或手动停机时,发现主备核心交换机之间的VRRP网关总是有规律地来回振荡,主备切换频繁。
三,分析与对策
(1)问题分析
一开始以为是华为S7706核心交换机和板卡的兼容性问题。参考官网的软件升级版本规范,发现版本匹配没有问题。当检查是否形成环路时,观察到主/备用切换是有规律的。发现核心和防火墙板配置可能有误,移除后发现VRRP网关轨迹正常。
检查跟踪联动问题是否由NQA引起:当NQA检测到上行接口不可达时,NQA检测到跟踪与VRRP联动,降低华为S7706-1上VRRP的优先级,将数据切换到华为S7706-2进行转发,到达华为S7706-2的防火墙板,然后通过出口的互联网网关正常连接互联网。但此时由于华为S7706-1上防火墙板的上网口和华为S7706-2上防火墙板的上网口序列化在同一个二层交换机上,因此华为S7706-1上的NQA探头可以连接华为S7706-1上防火墙板的接口地址。当NQA检测到上行接口再次可达时,NQA检测通知轨迹与VRRP联动,恢复华为S7706-1上的VRRP优先级,数据切换到华为S7706-1进行转发。但通过华为S7706-1转发时,由于上行防火墙板通信故障,导致华为S7706-1上防火墙板的vlanif接口无法连接。NQ检测和通知跟踪与VRRP的联动再次降低了华为S7706-1上VRRP的优先级,导致主备频繁切换,等等。因此,必须解决切换后跟踪联动的问题。
(2)解决问题:
将连接防火墙的交换机替换为支持端口隔离的交换机,将连接底层的两个防火墙的接口加入隔离组,将与ISP通信的上行接口配置为上行,可以解决NQA检测华为S7706-1防火墙板接口可达性,导致VRRP网关频繁切换的问题。
