华为低端交换机不支持端口隔离

  【雷竞技须安全稳定 网络频道】案例正文：

  一、背景

  某企业网进行外网调测与优化，核心交换机为2台HuaWei S7706，HuaWei S7706上均配置了防火墙板卡，汇聚交换机采用HuaWei S5700-EI，下连接入交换机采用HuaWei S3700。

  当时网络部署基本完毕，由于业务的重要性，客户要求把核心交换机与防火墙板卡进行软件升级并配置双机热备。此网络的出口采用联通的百兆专线(单ISP)，百兆专线连接一个HuaWei S1024交换机分成两条双绞线分别下联防火墙板卡。在HuaWei S7706核心交换机上部署MSTP+VRRP，采用主备模式(HuaWei S7706-1为主)，全网采用静态路由和NQA网络质量分析技术。用NQA探测上行链路的通断性做Track实现与VRRP联动自动切换vlan三层的VRRP优先级实现网关的迁移与业务转发。在HuaWei S7706-1上采用NQA的跟踪防火墙插卡上的互联网接口vlan的三层接口地址，当此接口DOWN的时候自动降低HuaWei S7706-1上的vlan三层接口的VRRP的优先级，此时HuaWei S7706-1变成备，HuaWei S7706-2成功接管，使用HuaWei S7706-2进行上互联网数据的转发。

  二、问题、事件描述

  配置完成后进行故障模拟测试，当防火墙板卡与HuaWei S7706-1交换机之间的互联vlan三层接口发生通讯故障或是手工DOWN时，发现主备核心交换机之间的VRRP网关总是有规律的来回震荡，主备倒换频繁。

  三、分析与对策

  (1)问题分析

  最初以为是HuaWei S7706核心交换与板卡之间的兼容性问题，参考官网的软件升级版本说明书发现版本匹配没有问题。检查是否形成环路时观察到主备切换很有规律，发现可能是核心与防火墙板卡配置的错误，发现去掉VRRP的网关Track后正常。

  检查是否NQA导致的跟踪联动的问题：当NQA侦测到上联接口不可达时，NQA侦测通知Track与VRRP联动，降低VRRP在HuaWei S7706-1上的优先级，数据切换到HuaWei S7706-2上转发，到达HuaWei S7706-2的防火墙板卡出去后，通过出口的互联网关能正常连通互联网，但是这时由于HuaWei S7706-1上的防火墙板卡的互联网出口与HuaWei S7706-2上防火墙板卡的互联网出口连载同一个二层交换机上，造成此时HuaWei S7706-1上的NQA探测能够连通HuaWei S7706-1上防火墙板卡的接口地址，当NQA侦测到上联接口重新可达时，NQA侦测通知Track与VRRP联动，恢复HuaWei S7706-1上的VRRP优先级，数据切换到HuaWei S7706-1上转发，而当通过HuaWei S7706-1转发时由于上联防火墙板卡通信故障并无法连通HuaWei S7706-1上防火墙板卡的vlanif接口，NQA侦测通知Track与VRRP联动又一次降低VRRP在HuaWei S7706-1上的优先级又造成主备的频繁切换，如此反复。所以，必须解决切换后的跟踪联动问题。

  (2)解决问题：

  把防火墙上联的交换机换成支持端口隔离的交换机，把下联两个防火墙的接口加入隔离组，而与ISP通信的上行接口做成上行配置，这就可以解决NQA探测HuaWei S7706-1防火墙板卡接口的可达性导致VRRP网关频繁切换的问题。