rbm组网疑问

您好，结论：业务会中断（不通）。

1. 上行方向（出流量）： 上行设备配置了主备静态路由，且指向防火墙 1（FW1）的路由优先级更高。当 FW1 的上行接口恢复后，FW1 的上行接口 UP，上行设备会认为主链路恢复，将流量发往 FW1。
2. 状态不一致： 此时 RBM 组的业务主设备仍在防火墙 2（FW2）上（因为配置了 delay-time 30 且未达到回切条件，或者因为下行接口一直 UP 导致认为无需回切）。
3. 结果： 上行流量到达 FW1（备），但 FW1 上没有业务会话表（Session），且 RBM 状态为备，会导致流量被丢弃或无法处理，造成业务中断。
4. 配置步骤：
   1. 在两台防火墙上创建 Track 项监控 RBM 主状态。
   2. 在两台防火墙的上行接口下应用该 Track 项，配置 track [track-id] shutdown。

当前配置下，确实会出现流量路径不对称的问题：
上行流向：上行设备静态路由指向防火墙1（主）优先 → 防火墙1
下行流向：下行设备OSPF学习到防火墙2（当前主）的路由 → 防火墙2
结果：形成"上行流量走防火墙1，下行流量走防火墙2"的不对称路径
问题原因
RBM主备状态与路由控制脱节：
RBM切换后，主设备变为防火墙2
但上行设备的静态路由仍优先指向防火墙1
导致流量在防火墙上"穿越"（从防火墙1进，但要从防火墙2出，但RBM主备之间没有转发通道）
静态路由无感知：
静态路由不会感知RBM主备切换
即使配置了主备静态路由，也需要手动或通过检测机制切换
不改变组网情况的优化方案
方案一：增强Track联动机制（推荐）
# 在上行设备上配置Track联动静态路由
# 假设上行设备是三层交换机/路由器

# 创建NQA或BFD检测
nqa entry admin test
type icmp-echo
destination ip 防火墙2的上行接口IP
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3
reaction trigger probe-pass 3

# 创建Track关联NQA
track 1
nqa entry admin test reaction 1

# 配置浮动静态路由
ip route-static 0.0.0.0 0.0.0.0 防火墙1的上行接口IP preference 60
ip route-static 0.0.0.0 0.0.0.0 防火墙2的上行接口IP preference 80 track 1
# 默认优先级60优先于80，当track检测到防火墙2可达时，才使用优先级80的路由
方案二：在防火墙上配置上行接口状态联动（利用现有配置优化）
# 在防火墙上增强配置
remote-backup profile
service-type firewall
backup-mode hot
vrrp sync
#
remote-backup group
delay-time 30
adjust-cost ospf enable absolute 6000
track 1
track 2
collaboration-group 1
# 增加抢占配置
preempt-mode router-priority delay 300
#
# 配置IP会话快速老化
session fast-backup enable
#
# 配置ARP同步
arp synchronized
#
# 确保RBM会话同步
remote-backup sync session
方案三：优化OSPF开销策略
# 在OSPF进程中配置更激进的开销调整
ospf 1
vpn-instance xxx
# 当Track检测失败时，大幅提高开销，确保下行流量不经过此防火墙
cost track 1 65500
cost track 2 65500
#
# 或者配置路由策略
filter-policy route-policy ospf-cost export
#
route-policy ospf-cost permit node 10
if-match track 1 state negative
apply cost 65500
方案四：利用collaboration-group增强联动
# 优化现有的collaboration-group配置
collaboration-group 1
# 确保上下行接口完全联动
port 上行接口
port 下行接口
up-delay 10
down-delay 5
#
# 增加接口状态联动
link-state synchronization enable
#
# 配置状态变化时发送联动报文
collaboration enable
具体解决步骤
配置上行设备Track检测
在上行设备上配置检测防火墙2状态
配置浮动静态路由，正常情况下走防火墙1，检测失败时走防火墙2
优化防火墙RBM配置
# 确保以下配置存在
remote-backup group
# 启用抢占，但要合理设置延迟
preempt-mode router-priority delay 300
# 确保会话快速同步
sync-config enable
配置状态联动机制
# 创建联动组，确保接口状态同步
collaboration-group 1
mode hot-standby
port 上行接口
port 下行接口
up-delay 10
collaboration enable
验证配置
# 检查RBM状态
display remote-backup group
# 检查collaboration-group状态
display collaboration-group
# 检查Track状态
display track all
验证测试步骤
手动shutdown防火墙1上行接口
观察：
RBM是否切换（应切换）
上行设备路由是否切换（通过Track应切换）
下行OSPF路由是否切换（通过adjust-cost应切换）
恢复接口，观察是否回切
注意事项
切换时间协调：确保OSPF收敛时间、RBM切换时间、上行设备路由切换时间协调
会话保持：启用session fast-backup确保会话不中断
回切策略：合理设置preempt delay，避免频繁切换
状态同步：确保arp、路由等状态信息同步
通过上述优化，可以在不改变整体组网架构的情况下，解决流量路径不对称问题，确保业务正常。最关键的优化点是在上行设备配置Track联动浮动静态路由，这样可以从源头上解决上行流量路径问题。

正常的，来回路径不一致也可以正常通过RBM通道同步会话