Aktiv/Aktiv HA verwirft den Datenverkehr im Netzwerk mit asymmetrischem Routing.
23071
Created On 07/05/21 03:28 AM - Last Modified 04/22/24 20:40 PM
Symptom
In Netzwerken mit asymmetrischem Routing können Pakete, die mit einer Sitzung übereinstimmen, die sich im Besitz von active-primary firewall befindet, auf active-secondary oder umgekehrt ankommen.
Beispielsweise kommt ein Paket, das mit einer Sitzung übereinstimmt, die sich im Besitz von active-primary befindet, auf active-secondary an und wird über eine HA3-Verbindung an active-primary gesendet.
Wenn das Paket auf active-primary ankommt, wird es mit dem folgenden globalen Zähler verworfen:flow_fwd_notopology 90 1 drop flow forward Verworfene Pakete: keine Weiterleitung auf der Schnittstelle konfiguriert Nach dem Erfassen des grundlegenden Datenflusses auf active-primary wird der Drop-Grund wie folgt angezeigt:
"Paket verworfen, keine Weiterleitungstopologie auf Schnittstelle 134 konfiguriert"Wobei 134 die Schnittstelle
ID ist, wie in "show interface all"
zu sehen ist.
Environment
Das oben beschriebene Verhalten ist in Aktiv/Aktiv zu sehen, wo VR die Synchronisierungsoption nicht aktiviert ist:
Aufgrund der deaktivierten VR Synchronisierungsoption werden die Einstellungen einschließlich der VR Schnittstelleneinstellung nicht zwischen den Aktiv/Aktiv-Firewalls HA HA synchronisiert.
Cause
Falls die Active-Secondary-Schnittstelle, die das Paket empfängt, in keiner VR auf Active-Primary konfiguriert ist, wird das empfangene Paket von Active-Primary verworfen.
In diesem Beispiel empfängt die Schnittstelle ethernet1/23.842 auf active-secondary das Paket, dieselbe Schnittstelle auf active-primary wird keiner VRhinzugefügt.
active-secondary:
name id vsys zone forwarding address ethernet1/23.842 134 1 untrust vr:Router 842 x.x.x.x/x
active-primary:
TU-name id vsys zone forwarding tag tag address
ethernet1/23.842 134 1 N/ 842 /A NA
Resolution
Um zu verhindern, dass der Active-Primary das Paket verwirft, fügen Sie die entsprechende Schnittstelle ethernet1/23.842 zu einer VR. In asymmetrischen Netzwerkumgebungen ist die Aktivierung VR der Synchronisierung in Aktiv/Aktiv HAmöglicherweise keine wünschenswerte Option.