活动/活动HA使用非对称路由丢弃网络中的流量。
22981
Created On 07/05/21 03:28 AM - Last Modified 04/22/24 20:40 PM
Symptom
在具有非对称路由的网络中,与 active-primary 拥有的会话匹配的数据包firewall可能到达活跃的次要或反之亦然。
例如,与 active-primary 拥有的会话匹配的数据包到达 active-secondary,并通过 HA3 链接发送到 active-primary。
当数据包到达 active-primary 时,它会被以下全局计数器丢弃:
flow_fwd_notopology 90 1 丢弃流转发数据包:接口上未配置转发
在active-primary上收集流量基础,drop原因如下:
“数据包已丢弃,接口 134 上未配置转发拓扑”
其中134是接口ID如“显示界面所有”所示。
Environment
上面提到的行为可以在 Active/Active 中看到HA在哪里VR未选中同步选项:
由于未检查VR同步选项,VR包括接口设置在内的设置在 Active/Active 之间不同步HA防火墙。
Cause
如果接收数据包的活动辅助接口未配置在任何VR在 active-primary 上,然后接收到的数据包被 active-primary 丢弃。
在此示例中,活动辅助设备上的接口 ethernet1/23.842 接收数据包,活动主设备上的相同接口未添加到任何VR.
主动中学:
名称 id vsys 区域转发tag地址
ethernet1/23.842 134 1 不信任 vr:TU-路由器 842 xxxx/x
主动主:
名称 id vsys 区域转发tag地址
以太网 1/23.842 134 1N /A 842N /A
Resolution
为防止active-primary丢包,将对应接口ethernet1/23.842添加到aVR . 在非对称网络环境中启用VR主动/主动同步HA, 可能不是理想的选择。