客戶數(shù)通產(chǎn)品排障過程中���,發(fā)現(xiàn)USG6655E防火墻CPU飆高!
第一步:
檢查發(fā)現(xiàn)防火墻雙機(jī)主備部署,防火墻與上下行交換機(jī)通過vlanif互聯(lián)�����,當(dāng)前主備狀態(tài)運(yùn)行正常;
第二步:
查看防火墻無異常日志及告警����,但備墻接口流量異常飆高
第三步:
在上行交換機(jī)CE12808查看日志。發(fā)現(xiàn)存在vlan 16下mac漂移告警��,告警顯示mac表項(xiàng)對(duì)應(yīng)接口頻繁在主備間墻切換����,初步判斷為二層環(huán)路引起。
第四步:
經(jīng)與云平臺(tái)同事確認(rèn)當(dāng)前vlan 16是現(xiàn)場(chǎng)業(yè)務(wù)環(huán)境需要在上下行交換機(jī)與防火墻間二層透?jìng)鱲lan16���。
第五步:
通過建立問題單咨詢服務(wù)支持得知:上下行交換機(jī)均為堆疊場(chǎng)景����,使得vlan16的業(yè)務(wù)流量在上下行交換機(jī)間形成環(huán)路��,從而造成CPU資源占用超過閾值。
處理結(jié)果:
在防火墻上配置hrp track vlan 16后使得mac表項(xiàng)只由主墻進(jìn)行轉(zhuǎn)發(fā)后���,接口流量計(jì)CPU占用恢復(fù)正常����。
根因
在防火墻上下行連接交換機(jī)二三層混跑模式下未track鏈路中放通的二層vlan造成網(wǎng)絡(luò)環(huán)路
解決方案
防火墻上下行連接交換機(jī)需要同時(shí)track鏈路中放通的二層vlan
建議與總結(jié)
在排障過程中�����,發(fā)現(xiàn)防火墻雙機(jī)主備狀態(tài)正常并且無異常告警�,該狀態(tài)是基于現(xiàn)網(wǎng)hrp track防火墻與上下行交換機(jī)互聯(lián)vlanif接口選舉出來的,基于該狀態(tài)下再在鏈路中放通其它vlan時(shí)也必須配置hrp track新增vlan��,避免新增vlan下mac表項(xiàng)同時(shí)被主備墻轉(zhuǎn)發(fā)至上下行交換機(jī)造成二層環(huán)路�����。
