華爲防火牆與深信服AD對接問題

時間 2021-01-19

標籤測試 spa 部署 ast 防火牆並行數據時間 ping 简体版

原文原文鏈接

問題描述

華爲防火牆主備部署，深信服AD主備部署，二者口字型鏈接，在業務運行過程當中，業務AD主備切換後華爲FW未與AD聯動進行主備切換。測試

AD、FW互相判斷鏈路中斷是基於ping測試互連鏈路連通性，ping測試時基於定義好的時間週期內對方是否有迴應報文。在抓包中發現：spa

1.當FW認爲鏈路中斷時，AD任務鏈路未中斷，未進行主備切換，經仔細研究發現：兩廠商的ping檢測機制不一致。部署

華爲FW：連續發出定量的ping包，看對端是否有迴應報文；ast

深信服AD：相似並行，t1發ping包，間隔t時間後發t2時刻的ping包；防火牆

--->兩廠商ping互測時存在檢測空隙，可能ping探測失敗。並行

2.華爲FW 針對ping探測包的迴應不及時：華爲FW對數據流進行了分類，業務流最優先，相似ping報文優先級底，只有一核CPU處理，當數據

業務數據流大的時候，可能存在對ping包迴應不及時的問題。時間

1.針對深信服AD ping包探測方式，將華爲FW icmp快回功能打開，及時迴應深信服AD的ping探測報文。命令ping

icmp echo-reply fast enableab

相關標籤/搜索

每日一句

每一个你不满意的现在，都有一个你没有努力的曾经。