アクティブ/アクティブHA非対称ルーティングによりネットワーク内のトラフィックをドロップします。
22991
Created On 07/05/21 03:28 AM - Last Modified 04/22/24 20:40 PM
Symptom
非対称ルーティングを備えたネットワークでは、アクティブプライマリが所有するセッションに一致するパケットfirewallアクティブ-セカンダリに到着する場合もあれば、その逆の場合もあります。
たとえば、アクティブ プライマリが所有するセッションに一致するパケットはアクティブ セカンダリに到着し、HA3 リンクを介してアクティブ プライマリに送信されます。
パケットがアクティブ プライマリに到着すると、以下のグローバル カウンタでドロップされます。
flow_fwd_notopology 90 1 ドロップ フロー フォワード パケットがドロップされました: インターフェイスで転送が設定されていません
アクティブ プライマリで基本的なフローを収集すると、ドロップの理由が次のように表示されます。
「パケットがドロップされました。インターフェイス 134 に転送トポロジが設定されていません」
ここで、134 はインターフェイスですID「インターフェースをすべて表示」でわかるように。
Environment
上記の動作は、アクティブ/アクティブで確認できます。HAどこVR同期オプションがチェックされていない場合:
チェックが入っていないため、VR同期オプション、VRインターフェイス設定を含む設定は、アクティブ/アクティブ間で同期されません。HAファイアウォール。
Cause
パケットを受信するアクティブ-セカンダリ インターフェイスがどのモードでも設定されていない場合VRアクティブ プライマリでは、受信したパケットはアクティブ プライマリによってドロップされます。
この例では、アクティブ セカンダリ上のインターフェイス ethernet1/23.842 がパケットを受信します。アクティブ プライマリ上の同じインターフェイスはどのインターフェイスにも追加されません。VR 。
アクティブ-セカンダリ:
名前 ID vsys ゾーン転送tag住所
ethernet1/23.842 134 1 untrust vr:TU-ルーター 842 xxxx/x
アクティブ-プライマリ:
名前 ID vsys ゾーン転送tag住所
イーサネット1/23.842 134 1N /A 842N /A
Resolution
アクティブプライマリがパケットをドロップしないようにするには、対応するインターフェイス ethernet1/23.842 をVR。 非対称ネットワーク環境での有効化VRアクティブ/アクティブで同期HA、望ましい選択肢ではないかもしれません。