vlan下配置策略导致vrrp出现双master问题

问题描述

某据点两台核心启用vrrp，客户反馈其中某一个vlan下通信异常，查看发现vrrp处于双主状态，数据转发不通。

告警信息

初期排查日志log，没有发现告警日志，均正常，没有vrrp告警信息。

处理过程

1，登陆两台核心，检查vrrp配置：

Vrrp配置正常。

2，查看vrrp状态

Vlan3的vrrp状态两边都处于master状态，vlan1和vlan2都正常。

3.测试两边vlan3接口连通性：

两边接口联通正常

4，ip联通正常，表明通信没问题，初步怀疑vrrp报文交互受阻

询问客户，两台设备之间是否有防火墙等安全设备，回答为没有，再次查看设备的安全策略

发现在core1上存在vlan3下的流策略。

5 进一步查看流策略，

流策略为permit

6 查看绑定ACL

发现ACL3000上存在rule 10deny所有ip

根因

vlan下ACL配置不当，导致vrrp组播报文被阻止，vrrp协商受阻。

解决方案

在ACL下放行组播地址

Vrrp恢复正常

建议与总结

建议与总结：

1， vlan下配置策略需要考虑是否有组播业务

2， acl会对组播业务也进行过滤。