设备名称：华为防火墙USG6600
 

　　版本：V500R005C00SPC100
 

　　组网概述：两台防火墙做双机热备，上下两端均采用vrrp 与二层交换机相连，上联VIP：xxx.xxx.xxx.xxx为出口网关。下联VIP：xxx.xxx.xxx.xxx为内网AP网关。

 

　　处理过程
 

　　1、发现故障后，登陆主备防火墙，发现两台防火墙HRP状态均为master，初步判断可能是由HRP断裂导致。
 

　　2、查看HRP配置信息，发现无配置错误。
 

　　3、查看ARP表项，发现无对端防火墙的HRP互联端口的表项，ping直连HRP互联IP 不通。
 

　　4、重启HRP互联trunk接口，没有效果。
 

　　5、为了确定故障是否由双机热备导致，将主备防火墙分别下电，观察ping包现象，发现依然存在丢包。
 

　　6、采集防火墙信息，经分析发现在防火墙下联内网AP接口g1/0/1出现大量ARP广播报文；初步判断可能是下联终端中毒导致。
 

　　7、其中192.168.192.18在发送ARP请求时，请求时 自己的IP地址，由此判断是由于下联终端IP地址冲突引起的大量ARP广播报文，冲断HRP连接。
 

　　8、经客户配合，将192.168.192.18连线断开，发现故障回复正常；此时，查看HRP状态恢复主备状态。
 

　　9、客户确认后，发现终端配置地址192.168.192.18 发生冲突，更改后，故障解决。
 

　　导致故障的原因：客户终端IP地址冲突，导致大量ARP广播报文涌入防火墙，使CPU处理ARP报文数量达到上线阀值，当HRP对端的ARP表项超时时，防火墙不能处理新的ARP报文，无法再次学到对端的MAC地址，因此，防火墙HRP链路中断，从而导致丢包。