华为交换机取消端口隔离

案例文本:

一.背景

对企业网的外网进行调试和优化。核心交换机是两台华为S7706，都配有防火墙板。汇聚交换机采用华为S5700-EI，下层连接交换机采用华为S3700。

当时网络部署基本完成。由于业务的重要性，客户要求升级核心交换机和防火墙板的软件，并配置双机热备。该网出口采用联通百兆专线(单ISP)，接入一台华为S1024交换机，分为两路双绞线，分别接入防火墙板。华为S7706核心交换机上部署MSTP+VRRP，采用主备模式(华为S7706-1为主模式)。整个网络采用静态路由和NQA网络质量分析技术。以NQA为轨迹检测上行链路的连续性，实现vlan三层VRRP优先级的自动切换，配合VRRP实现网关迁移和业务转发。在华为S7706-1上，NQA用于跟踪防火墙插件上互联网接口vlan的三层接口地址。当该接口发生故障时，华为S7706-1上vlan三层接口的VRRP优先级自动降低。此时华为S7706-1成为备用，华为S7706-2成功接管，华为S7706-2用于转发互联网数据。

二。问题和事件的描述

配置完成后，进行故障模拟测试。当防火墙板与华为S7706-1交换机之间的互联vlan三层接口发生通信故障或手动停机时，发现主备核心交换机之间的VRRP网关总是有规律地来回振荡，主备切换频繁。

三，分析与对策

(1)问题分析

一开始以为是华为S7706核心交换机和板卡的兼容性问题。参考官网的软件升级版本规范，发现版本匹配没有问题。当检查是否形成环路时，观察到主/备用切换是有规律的。发现核心和防火墙板配置可能有误，移除后发现VRRP网关轨迹正常。

检查跟踪联动问题是否由NQA引起:当NQA检测到上行接口不可达时，NQA检测到跟踪与VRRP联动，降低华为S7706-1上VRRP的优先级，将数据切换到华为S7706-2进行转发，到达华为S7706-2的防火墙板，然后通过出口的互联网网关正常连接互联网。但此时由于华为S7706-1上防火墙板的上网口和华为S7706-2上防火墙板的上网口序列化在同一个二层交换机上，因此华为S7706-1上的NQA探头可以连接华为S7706-1上防火墙板的接口地址。当NQA检测到上行接口再次可达时，NQA检测通知轨迹与VRRP联动，恢复华为S7706-1上的VRRP优先级，数据切换到华为S7706-1进行转发。但通过华为S7706-1转发时，由于上行防火墙板通信故障，导致华为S7706-1上防火墙板的vlanif接口无法连接。NQ检测和通知跟踪与VRRP的联动再次降低了华为S7706-1上VRRP的优先级，导致主备频繁切换，等等。因此，必须解决切换后跟踪联动的问题。

(2)解决问题:

将连接防火墙的交换机替换为支持端口隔离的交换机，将连接底层的两个防火墙的接口加入隔离组，将与ISP通信的上行接口配置为上行，可以解决NQA检测华为S7706-1防火墙板接口可达性，导致VRRP网关频繁切换的问题。