文/沈博文

虚拟路由冗余协议(Virtual Router Redundancy Protocol，简称VRRP)是由IETF提出的解决局域网中配置静态网关出现单点失效现象的路由协议，VRRP广泛应用在边缘网络中，允许主机使用单边网络设备进行通信，并且可以做到冗余切换。而H3C防火墙往往作为网络的边缘设备，起到网络出口的关键作用，通常需要配合VRRP协议使用，保证网络的可靠性。

某些情况下，网络物理链路未出问题，但是VRRP却发生切换导致网络业务切换或者业务异常。这种故障一般分为两种情况，瞬间切换问题和持续双主问题。一般H3C防火墙作为出口部署VRRP组网图如下：

VRRP需要向固定组播地址224.0.0.18发送协议报文，冗余设备之间形成一个虚拟网关节点，并通过master选举方式选定主设备承担虚拟网关的所有功能。协议报文往往依赖于设备外侧链路传输（例如上图中的内网交换机），很难保证收发或者传输阶段不发生丢弃，VRRP故障主要的原因就是VRRP协议报文被丢弃，本文排障的思路就是以此为准，排查防火墙收发VRRP协议报文是否正常。

针对第一种VRRP故障—瞬间切换问题，这种故障发生时间可能不固定，但是会间断性的出现VRRP切换或者双主。这种情况首先要确认VRRP切换时是否伴随着网络中存在突发的流量高峰，并可以通过ping、抓包等手段，确认当时经过内网交换机的流量是否存在丢包或者交换机是否将VRRP协议报文发送至防火墙。如果当时网络中的突发流量为正常业务流量并导致业务丢包，这种情况下，需要对网络进行扩容或者针对部分非核心业务进行带宽限制，避免网络中存在拥塞丢包。如果当时网络中的流量高峰并不是正常业务导致的，而是存在某些未知的异常突发流量，需要定位异常流量发生的原因。通常情况下，异常流量的产生有两种情况，网络中存在环路或者存在泛洪攻击。不论是三层环路还是二层环路的都会使正常的业务报文在网络中泛洪，造成网络中存在拥塞丢包；若是网络不存在环路，可以按照在第50期中的文章《H3C防火墙安全加固之SYN Flood防攻击篇》进行排查和安全加固，如果攻击是由内网发起的，可以针对攻击源进行安全检查，消除网络中的攻击流量，如果攻击是由外网发起的，可以将攻击源地址加入到H3C防火墙“攻击防范”—“黑名单”中进行防护。

针对第二种VRRP故障——持续双主问题，首先要确认H3C防火墙当前使用环境，是否开启了“支持非对称路径备份”功能，运营商应用的流量模型一般是对称的，此功能不建议开启。

“高可靠性”—“双机热备”开启了双机热备支持非对称路径备份功能：

如果当前使用环境不符合双机热备非对称组网的情况，那么持续双主的原因应该和第一种VRRP故障产生的原因一致—协议报文传递过程中被丢弃，致使主备防火墙之间无法交互VRRP协议报文，所以首先要确保主备防火墙之间可以正常通信，中间传输链路未针对VRRP协议报文进行过滤，并按照上文提到的方法排查网络中的丢包原因。