图1-9 IPv4 VRRP备份组关联双机热备(RBM)组网图
当两台设备上配置多个标准VRRP备份组来实现负载分担,或者VRRP链路故障,会出现VRRP双主(Master)现象。配置IPv4 VRRP备份组关联双机热备(RBM)功能后,本设备在VRRP备份组中的角色由双机热备(RBM)模块决定,设备无需发送VRRP协议报文来选举Master,从而可以节省网络带宽,也可以减少设备处理VRRP协议报文的数量。如图1-9所示。
IPv4 VRRP和双机热备(RBM)联动的原理如下:
· 通过配置将VRRP备份组和双机热备(RBM)关联。创建VRRP备份组时,管理员需要将同一个VRRP备份组中的一台设备指定active参数来加入VRRP Active组,另一台设备指定standby参数来加入VRRP Standby组,从而将VRRP备份组和双机热备(RBM)关联。
· IPv4 VRRP和双机热备(RBM)联动:
¡ 通常情况下,设备在VRRP备份组中的角色跟随设备加入的Active/Standby组的状态。Active/Standby组有Master和Backup两种状态。Active/Standby组的状态由双机热备(RBM)业务模块决定。
¡ 如果配置了switchover vrrp backup命令,则设备在VRRP备份组中的角色可能和设备加入的Active/Standby组的状态不同,受switchover vrrp backup命令的影响。关于switchover vrrp backup命令的详细介绍请参见“高可靠性命令参考”中的“双机热备(RBM)命令”
有关双机热备(RBM)的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。
请注意,若实际未部署双机热备(RBM)功能,则请勿配置此功能,以避免因VRRP备份组状态异常而影响VRRP的正常运行。
关联双机热备(RBM)的VRRP备份组只能配置一个虚IP地址,且备份组中不能存在IP地址拥有者。
VRRP备份组不能同时关联双机热备(RBM)和Track项。
当RBM工作在镜像模式时,不能配置VRRP备份组关联双机热备(RBM)。有关RBM镜像模式的详细介绍,请参见“高可靠性配置指导”中的“双机热备(RBM)”。
(1) 进入系统视图。
system-view
(2) 进入接口视图。
interface interface-type interface-number
(3) 设置VRRP备份组与双机热备(RBM)关联。
vrrp vrid virtual-router-id virtual-ip virtual-address [ mask | mask-length ] { active | standby }
缺省情况下,VRRP备份组未与双机热备(RBM)关联。
防火墙 RBM+VRRP+NQA 完整联动方案(解决上联 SW 断后 RBM 不切换问题)
一、故障根因
当前仅监控防火墙本地物理接口,上联交换机 SW 链路断开时:
防火墙自身端口 UP(光模块 / 网线没拔,仅上层线路断),本地接口无 Down 事件,RBM/VRRP 不会感知远端故障,因此不执行主备切换。
必须引入 NQA 链路质量探测,联动 VRRP 优先级、联动 RBM 备份组状态,实现远端链路故障触发切换。
拓扑梳理
ONU → SW → FW1/FW2(RBM 双机,下联 VRRP 做内网网关,上联接 SW)
FW1 与 FW2 互联 RBM 心跳链路;上联 SW 单点故障 / 上联链路中断,FW 端口不变 DOWN,原生 RBM 无法切换。
二、整体联动逻辑
NQA 探测:两台防火墙分别探测上联对端网关 / 公网固定 IP,持续检测上行链路可达性;
NQA 联动 VRRP:探测失败自动降低本地 VRRP 优先级,让对端抢占 Master;
VRRP 联动 RBM:VRRP 主备切换同步通知 RBM 备份组,完成会话表、VPN、路由整机切换;
本地接口 Down、NQA 探测失败两类故障,均可触发完整主备切换。
三、完整配置(H3C SecPath V7 通用,FW1 主、FW2 备)
1. FW1(主防火墙)
bash
运行
# 1. 配置NQA ICMP探测上联网关(SW/上层网关IP 10.0.0.1)
nqa entry admin test
type icmp-echo
destination ip 10.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
quit
# 开启NQA探测
nqa schedule admin test start-time now lifetime forever
# 2. 创建VRRP备份组(内网网关192.168.1.254)
interface Vlan-interface 10
ip address 192.168.1.1 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 120
# NQA绑定VRRP,探测失败优先级降40,低于备机100
vrrp vrid 1 track nqa admin test reduced 40
quit
# 3. RBM双机备份基础配置
rbm backup-group 1
rbm peer ip 192.168.2.2 # 对端FW2心跳互联地址
rbm track vrrp vrid 1 # 核心:VRRP状态联动RBM
rbm session enable
rbm vpn enable
quit
# 开启RBM整机会话备份
rbm switch-mode inter-chassis
2. FW2(备防火墙)
bash
运行
# 1. 同NQA探测上联网关
nqa entry admin test
type icmp-echo
destination ip 10.0.0.1
frequency 1000
reaction 1 checked-element probe-fail threshold-type consecutive 3 action-type trigger-only
quit
nqa schedule admin test start-time now lifetime forever
# 2. VRRP备机基础优先级100
interface Vlan-interface 10
ip address 192.168.1.2 255.255.255.0
vrrp vrid 1 virtual-ip 192.168.1.254
vrrp vrid 1 priority 100
vrrp vrid 1 track nqa admin test reduced 40
quit
# 3. RBM备份组,跟踪VRRP
rbm backup-group 1
rbm peer ip 192.168.2.1
rbm track vrrp vrid 1
rbm session enable
rbm vpn enable
quit
rbm switch-mode inter-chassis
四、关键联动要点说明
1. 三层联动链条
上联断 → NQA 探测连续 3 次失败 → VRRP 优先级降低 → VRRP 切换 Master/Slave → rbm track vrrp 感知 VRRP 变化 → RBM 整机切换流量至备机,同步会话、VPN、路由表。
2. 除 NQA 外补充优化(可选增强)
接口 Track(本地故障兜底)
上联物理接口本地故障直接 Down,无需等待 NQA,快速切换:
plaintext
interface GigabitEthernet 0/0 # 上联SW接口
vrrp vrid 1 track interface GigabitEthernet 0/0 reduced 50
探测目标选择建议
优先探测上层网关 IP,不要探测运营商公网 IP;若上联交换机宕机,网关直接不可达,精准触发切换。
NQA 探测参数调优
frequency 1000 1 秒探测一次,连续 3 次失败判定链路故障,切换延迟约 3 秒,兼顾收敛速度与误判。
3. 为什么只做 RBM+VRRP 不行?
rbm track vrrp 只能跟踪 VRRP 自身状态;VRRP 默认仅跟踪本地接口,无法感知接口 UP、上层链路中断这种远端故障,必须叠加 NQA 做三层可达性探测。
五、故障切换验证命令
bash
运行
# 查看NQA探测状态,Probe-fail=0正常,非0代表链路故障
display nqa entry admin test
# 查看VRRP状态、当前优先级
display vrrp brief
# 查看RBM备份组状态、跟踪对象
display rbm backup-group verbose
六、极简总结
必须新增 NQA ICMP 探测上联网关,弥补接口 track 无法感知远端断链的缺陷;
VRRP 绑定 track nqa,链路故障自动下调优先级,完成 VRRP 切换;
RBM 备份组配置 rbm track vrrp vrid X,将 VRRP 主备状态同步给整机 RBM;
叠加接口 track 做本地端口故障快速切换,NQA 做远端上联故障切换,两套机制互补,实现全场景故障 RBM 自动切换。
组网不规范吧,你防火墙最多只能探测到本身直连接口的链路状态,无法探测ONU上行接口状态,防火墙RBM+VRRP是解决设备级别的故障,如果你想解决链路级别的故障,需要调整优化组网,【同时需要防火墙对端设备支持端口联动功能】,如果对端设备上行接口DOWN,不将对应的联动组里面的(下行)成员端口DOWN掉,那你FW1永远切换不到FW2上面去
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明