HUAWEI 防火牆雙機熱備小貼士

雙機熱備防火牆更新步驟

1 雙機倒換測試。

關閉主用FW上下行業務端口，将業務倒換至備用FW上。

由客戶進行業務确認和撥測，業務測試正常後執行下一步操作。

打開主用FW上下行業務端口。

由客戶進行業務确認雙機狀态恢複後執行下一步操作。

關閉備用FW上下行業務端口，将業務倒換至主用FW上。

由客戶進行業務确認和撥測，業務測試正常後執行下一步操作。

先将備用FW的心跳接口shutdown，隔離備用FW。

備用FW更新完成後，先将心跳接口undo shutdown。心跳接口Up後，主用和備用FW開始同步會話表等表項。等會話表等表項同步完成後，再将業務接口undo shutdown。表項同步大約需要2分鐘。

更新主用FW。更新前，将主用FW的業務接口和心跳接口shutdown，隔離主用FW。此時，業務會切換到備用FW上轉發。

主用FW更新完成後，先将心跳接口undo shutdown。心跳接口Up後，主用和備用FW開始同步會話表等表項。等會話表等表項同步完成後，再将業務接口undo shutdown。表項同步大約需要2分鐘。

驗證更新後業務是否正常。進行主備倒換測試。

2.注意事項

主備FW運作在不同版本時，不能正常進行配置的備份。是以，在更新期間，請不要在主備FW上下發和更新無關的配置

不要通過關閉FW1的心跳口來關閉FW2的心跳口

來回路徑不一緻如何處理

組網如果無法調整，可以關閉鍊路檢測功能undo firewall session link-state check

防火牆雙機主備下如何使聚合口都down的情況下才會主備切換

如果Eth-Trunk接口或者Eth-Trunk子接口上配置了VRRP備份組并加入到VGMP組，當Eth-Trunk的成員接口發生故障時，即使Eth-Trunk接口本身仍然是UP狀态，也會觸發HRP主備倒換。

如果在系統視圖下配置了hrp track Eth-Trunk接口的指令，當Eth-Trunk接口的成員接口發生故障時，即使Eth-Trunk接口本身仍然是UP狀态，也會觸發HRP主備倒換。

如果關閉了VGMP組監控Trunk成員接口狀态的功能，在上述兩種情況下，隻要Eth-Trunk接口本身還是UP狀态，則不會觸發HRP主備倒換。

# 關閉VGMP組監控Trunk成員接口狀态的功能。

<sysname> system-view [sysname] undo hrp track trunk-member enable

防火牆雙機鏡像模式下如何指定管理位址

指定GigabitEthernet 0/0/1為雙機熱備的管理接口。

<sysname> system-view

[sysname] hrp mgt-interface GigabitEthernet 0/0/1

說明： 鏡像模式雙機熱備

基于鏡像模式實作雙機熱備時，兩台FW隻能形成主備備份組網，不能形成負載分擔組網。

鏡像模式和VRRP功能是互斥的。如果FW上有VRRP配置，則不能啟用鏡像模式。啟用鏡像模式後，FW上不能再配置VRRP。

啟用鏡像模式後，FW能根據VGMP組狀态調整業務接口的狀态：

當VGMP組狀态為standby時，業務接口被調整為“靜默狀态”，業務接口不會接收和發送除LLDP、LACP以外的其他封包，包括ARP封包、路由協定封包等等。

當VGMP組狀态為active時，業務接口被調整為“非靜默狀态”，業務接口可以正常收發封包。

當VGMP組狀态為load-balance時，業務接口的狀态由配置決定。如果使用者在FW上配置了hrp standby-device指令指定FW為備機時，業務接口被調整為“靜默狀态”。

鏡像模式下兩台FW有着相同的業務接口位址，相同的路由配置，可以看成是一台裝置。

usg防火牆雙機狀态如何人工手動做主備倒換

兩台FW的雙機狀态正常時，VGMP組優先級相同。執行hrp switch standby指令後，裝置的VGMP組優先級減1，如果在主機執行hrp switch standby指令，主機的VGMP組優先級會低于備機的VGMP組優先級，主備倒換。執行hrp switch active指令後，裝置的VGMP組優先級加1，如果在備機執行hrp switch active指令，備機的VGMP組優先級會高于主機的VGMP組優先級，主備倒換。

當雙機狀态異常時，執行該指令無效。例如，主機的某個接口down，切換為備機。此時，在該裝置上執行hrp switch active無法将其切換為主機

将FW切換為備用裝置。

HRP_M<sysname> system-view

HRP_M[sysname] hrp switch standby

防火牆二層雙機配置track vlan的作用及影響

FW工作在二層時，為了讓VGMP管理組能夠監控二層業務接口的狀态，需要将上下行業務接口加入同一個VLAN，并配置hrp track vlan。配置hrp track vlan後，VLAN中每個接口故障，VGMP管理組優先級降低2。在主備備份模式和鏡像模式的雙機熱備組網中，備用裝置上配置hrp track vlan後，該VLAN就不能轉發封包。

注意事項

在FW工作在二層的雙機熱備組網中，主備機都需要配置hrp track vlan。hrp track vlan指令支援備份，兩台FW雙機熱備狀态建立後，隻需要在主用裝置上配置該指令。

使用portswitch指令将三層接口切換為二層接口時，接口預設會加入VLAN 1。FW使用過程中，可能會出現某個接口切換到二層模式，但并未插接網線使用的情況（即接口的狀态為Down）。此時如果同時配置了hrp track vlan 1，會因為該接口處于Down的狀态導緻FW的VGMP優先級降低2，進而使雙機熱備狀态異常。是以，如非必要，請勿配置hrp track vlan 1。