华为防火墙主备部署,深信服AD主备部署,二者口字型链接,在业务运行过程当中,业务AD主备切换后华为FW未与AD联动进行主备切换。测试
AD、FW互相判断链路中断是基于ping测试互连链路连通性,ping测试时基于定义好的时间周期内对方是否有回应报文。在抓包中发现:spa
1.当FW认为链路中断时,AD任务链路未中断,未进行主备切换,经仔细研究发现:两厂商的ping检测机制不一致。部署
华为FW:连续发出定量的ping包,看对端是否有回应报文;ast
深信服AD:相似并行,t1发ping包,间隔t时间后发t2时刻的ping包;防火墙
--->两厂商ping互测时存在检测空隙,可能ping探测失败。并行
2.华为FW 针对ping探测包的回应不及时:华为FW对数据流进行了分类,业务流最优先,相似ping报文优先级底,只有一核CPU处理,当数据
业务数据流大的时候,可能存在对ping包回应不及时的问题。时间
1.针对深信服AD ping包探测方式,将华为FW icmp快回功能打开,及时回应深信服AD的ping探测报文。命令ping
icmp echo-reply fast enableab