SANGFOR NGAF雙機主備專線故障的排查

SANGFOR NGAF 雙機主備專線故障的排查

【問題現象】

Sangfor NGAF 雙機主備，新增接入一條專線，網路能通，但丟包率高寒，達50+%以上。

【排查過程】

Sangfor NGAF 雙機主備部署，原有一進一出線路，一切正常。

現新增一條專線，配置介面、區域、IP、NAT、路由和訪問策略，一切OK，能Ping通專線伺服器。

沒過多久，就有工作人員反映，訪問專線伺服器響應很慢。

再次Ping伺服器，持續Ping，這回發現問題了，一會通，一會超時，丟包率達50%左右。

瞭解接入專線情況，介紹說專線直接光纖接到交換機的光口，再透過RJ45網線分到2臺NGAF裝置上，光纖上行在中間位置有一交換機，一端透過千兆光模組連線到客戶處，另一端透過一對100M光收發器接到伺服器機房。

沒辦法，那就從中間交換機上開始測試，向兩端Ping，看問題出在哪一段，奇怪，兩端都很正常，沒有丟包發生。

[H3C]ping -c 200 172.21.161.4

--- Ping statistics for 172.21.161.4 ---

200 packet(s) transmitted, 200 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 6.417/7.219/38.369/2.937 ms

 

[H3C]ping -c 200 172.21.162.200

--- Ping statistics for 172.21.162.200 ---

200 packet(s) transmitted, 200 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.681/0.766/1.496/0.085 ms

同樣，在NGAF連線的交換機上測試，結果也一樣，一點問題也沒有。

檢查結果是從專線的對端Ping NGAF介面的IP，一切正常，沒有丟包。

唯一有問題的是，從內部透過NGAF Ping專線對端的閘道器，會發生丟包。

看來問題出在NGAF上，一時找不出問題的根源，懷疑是AF雙機的問題，AF系統版本剛做過升級。

斷開備機的專線連線，故障排除。

看來問題確實是出在AF雙機上。

檢查AF裝置配置，發現專線介面未加入到雙機監視介面組中。

詢問客戶原因，客戶說考慮到專線不是關鍵業務，為了在專線出現問題時不會影響到單位的關鍵業務，所以未對介面進行監視。

原因找到，接下來諮詢了Sangfor的智慧客服和人工客服，給出的解決辦法有兩個：

一是2臺裝置的介面採用同一個IP地址，將介面加入到雙機監視介面組中；

二是介面如果不加入到雙機監視介面組中，那麼2臺裝置的介面採用不同的IP地址，在配置介面IP時，在IP地址後加上-HA；

【處理過程】

將專線介面加入到雙機監視介面組中。

【問題原因】

Sangfor NGAF 雙機主備模式部署時，只有加入到雙機監視介面組的介面，才是工作在主備模式，備機的介面不傳送流量；未加入到雙機監視介面組的介面，是工作在主主模式的，均可傳送和接收資料。

 

以下摘錄下智慧客服的解答：

AF 網口監視和介面鏈路監控有什麼不同？

網口監視只有當介面down了才會進行切換

鏈路監視只要檢測到鏈路故障就會進行切換

AF 雙機有效的資料介面都需要加入介面監測嗎？

AF 雙機情況下裝置配置會同步，不加入監視口的資料介面2臺裝置都會傳送與接收資料

1 、路由口、VLAN介面需要檢查部署雙機後是否會地址衝突，衝突的話需要加入監視口

2 、透明口需要檢查部署雙機後會形成環路，如果成環的話需要加入監視口

AF 雙機熱備的網口監視怎麼配？

網口監視有序號組，多序號組情況下任意一組網口狀態“down“即切換

一組網口中有多個網口，需要所有網口”down"才判定該組狀態“down“才切換

AF 網路資料介面中的路由介面建議加入【雙機熱備】，加入【雙機熱備】的介面才不會產生地址衝突

AF 雙機主備都有一個業務口故障，雙機怎麼切換？

AF8.0.2 之前的版本，雙機兩臺裝置網口監視裡某組監視口都處於故障時，雙機處於故障狀態

AF8.0.2 及以上版本，可以在【系統】-【高可用性】-【雙機熱備】-【高階配置】勾選【雙機部署時，任意故障場景下均存在主機】主機依舊會維持主機狀態