SANGFOR NGAF 双机主备专线故障的排查

【问题现象】

Sangfor NGAF 双机主备，新增接入一条专线，网络能通，但丢包率高寒，达50+%以上。

【排查过程】

Sangfor NGAF 双机主备部署，原有一进一出线路，一切正常。

现新增一条专线，配置接口、区域、IP、NAT、路由和访问策略，一切OK，能Ping通专线服务器。

没过多久，就有工作人员反映，访问专线服务器响应很慢。

再次Ping服务器，持续Ping，这回发现问题了，一会通，一会超时，丢包率达50%左右。

了解接入专线情况，介绍说专线直接光纤接到交换机的光口，再通过RJ45网线分到2台NGAF设备上，光纤上行在中间位置有一交换机，一端通过千兆光模块连接到客户处，另一端通过一对100M光收发器接到服务器机房。

没办法，那就从中间交换机上开始测试，向两端Ping，看问题出在哪一段，奇怪，两端都很正常，没有丢包发生。

[H3C]ping -c 200 172.21.161.4

--- Ping statistics for 172.21.161.4 ---

200 packet(s) transmitted, 200 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 6.417/7.219/38.369/2.937 ms

[H3C]ping -c 200 172.21.162.200

--- Ping statistics for 172.21.162.200 ---

200 packet(s) transmitted, 200 packet(s) received, 0.0% packet loss

round-trip min/avg/max/std-dev = 0.681/0.766/1.496/0.085 ms

同样，在NGAF连接的交换机上测试，结果也一样，一点问题也没有。

检查结果是从专线的对端Ping NGAF接口的IP，一切正常，没有丢包。

唯一有问题的是，从内部通过NGAF Ping专线对端的网关，会发生丢包。

看来问题出在NGAF上，一时找不出问题的根源，怀疑是AF双机的问题，AF系统版本刚做过升级。

断开备机的专线连接，故障排除。

看来问题确实是出在AF双机上。

检查AF设备配置，发现专线接口未加入到双机监视接口组中。

询问客户原因，客户说考虑到专线不是关键业务，为了在专线出现问题时不会影响到单位的关键业务，所以未对接口进行监视。

原因找到，接下来咨询了Sangfor的智能客服和人工客服，给出的解决办法有两个：

一是2台设备的接口采用同一个IP地址，将接口加入到双机监视接口组中；

二是接口如果不加入到双机监视接口组中，那么2台设备的接口采用不同的IP地址，在配置接口IP时，在IP地址后加上-HA；

【处理过程】

将专线接口加入到双机监视接口组中。

【问题原因】

Sangfor NGAF 双机主备模式部署时，只有加入到双机监视接口组的接口，才是工作在主备模式，备机的接口不发送流量；未加入到双机监视接口组的接口，是工作在主主模式的，均可发送和接收数据。

以下摘录下智能客服的解答：

AF 网口监视和接口链路监控有什么不同？

网口监视只有当接口down了才会进行切换

链路监视只要检测到链路故障就会进行切换

AF 双机有效的数据接口都需要加入接口监测吗？

AF 双机情况下设备配置会同步，不加入监视口的数据接口2台设备都会发送与接收数据

1 、路由口、VLAN接口需要检查部署双机后是否会地址冲突，冲突的话需要加入监视口

2 、透明口需要检查部署双机后会形成环路，如果成环的话需要加入监视口

AF 双机热备的网口监视怎么配？

网口监视有序号组，多序号组情况下任意一组网口状态“down“即切换

一组网口中有多个网口，需要所有网口”down"才判定该组状态“down“才切换

AF 网络数据接口中的路由接口建议加入【双机热备】，加入【双机热备】的接口才不会产生地址冲突

AF 双机主备都有一个业务口故障，双机怎么切换？

AF8.0.2 之前的版本，双机两台设备网口监视里某组监视口都处于故障时，双机处于故障状态

AF8.0.2 及以上版本，可以在【系统】-【高可用性】-【双机热备】-【高级配置】勾选【双机部署时，任意故障场景下均存在主机】主机依旧会维持主机状态