HUAWEI 防火墙双机热备小贴士

双机热备防火墙升级步骤

1 双机倒换测试。

关闭主用FW上下行业务端口，将业务倒换至备用FW上。

由客户进行业务确认和拨测，业务测试正常后执行下一步操作。

打开主用FW上下行业务端口。

由客户进行业务确认双机状态恢复后执行下一步操作。

关闭备用FW上下行业务端口，将业务倒换至主用FW上。

由客户进行业务确认和拨测，业务测试正常后执行下一步操作。

先将备用FW的心跳接口shutdown，隔离备用FW。

备用FW升级完成后，先将心跳接口undo shutdown。心跳接口Up后，主用和备用FW开始同步会话表等表项。等会话表等表项同步完成后，再将业务接口undo shutdown。表项同步大约需要2分钟。

升级主用FW。升级前，将主用FW的业务接口和心跳接口shutdown，隔离主用FW。此时，业务会切换到备用FW上转发。

主用FW升级完成后，先将心跳接口undo shutdown。心跳接口Up后，主用和备用FW开始同步会话表等表项。等会话表等表项同步完成后，再将业务接口undo shutdown。表项同步大约需要2分钟。

验证升级后业务是否正常。进行主备倒换测试。

2.注意事项

主备FW运行在不同版本时，不能正常进行配置的备份。因此，在升级期间，请不要在主备FW上下发和升级无关的配置

不要通过关闭FW1的心跳口来关闭FW2的心跳口

来回路径不一致如何处理

组网如果无法调整，可以关闭链路检测功能undo firewall session link-state check

防火墙双机主备下如何使聚合口都down的情况下才会主备切换

如果Eth-Trunk接口或者Eth-Trunk子接口上配置了VRRP备份组并加入到VGMP组，当Eth-Trunk的成员接口发生故障时，即使Eth-Trunk接口本身仍然是UP状态，也会触发HRP主备倒换。

如果在系统视图下配置了hrp track Eth-Trunk接口的命令，当Eth-Trunk接口的成员接口发生故障时，即使Eth-Trunk接口本身仍然是UP状态，也会触发HRP主备倒换。

如果关闭了VGMP组监控Trunk成员接口状态的功能，在上述两种情况下，只要Eth-Trunk接口本身还是UP状态，则不会触发HRP主备倒换。

# 关闭VGMP组监控Trunk成员接口状态的功能。

<sysname> system-view [sysname] undo hrp track trunk-member enable

防火墙双机镜像模式下如何指定管理地址

指定GigabitEthernet 0/0/1为双机热备的管理接口。

<sysname> system-view

[sysname] hrp mgt-interface GigabitEthernet 0/0/1

说明： 镜像模式双机热备

基于镜像模式实现双机热备时，两台FW只能形成主备备份组网，不能形成负载分担组网。

镜像模式和VRRP功能是互斥的。如果FW上有VRRP配置，则不能启用镜像模式。启用镜像模式后，FW上不能再配置VRRP。

启用镜像模式后，FW能根据VGMP组状态调整业务接口的状态：

当VGMP组状态为standby时，业务接口被调整为“静默状态”，业务接口不会接收和发送除LLDP、LACP以外的其他报文，包括ARP报文、路由协议报文等等。

当VGMP组状态为active时，业务接口被调整为“非静默状态”，业务接口可以正常收发报文。

当VGMP组状态为load-balance时，业务接口的状态由配置决定。如果用户在FW上配置了hrp standby-device命令指定FW为备机时，业务接口被调整为“静默状态”。

镜像模式下两台FW有着相同的业务接口地址，相同的路由配置，可以看成是一台设备。

usg防火墙双机状态如何人工手动做主备倒换

两台FW的双机状态正常时，VGMP组优先级相同。执行hrp switch standby命令后，设备的VGMP组优先级减1，如果在主机执行hrp switch standby命令，主机的VGMP组优先级会低于备机的VGMP组优先级，主备倒换。执行hrp switch active命令后，设备的VGMP组优先级加1，如果在备机执行hrp switch active命令，备机的VGMP组优先级会高于主机的VGMP组优先级，主备倒换。

当双机状态异常时，执行该命令无效。例如，主机的某个接口down，切换为备机。此时，在该设备上执行hrp switch active无法将其切换为主机

将FW切换为备用设备。

HRP_M<sysname> system-view

HRP_M[sysname] hrp switch standby

防火墙二层双机配置track vlan的作用及影响

FW工作在二层时，为了让VGMP管理组能够监控二层业务接口的状态，需要将上下行业务接口加入同一个VLAN，并配置hrp track vlan。配置hrp track vlan后，VLAN中每个接口故障，VGMP管理组优先级降低2。在主备备份模式和镜像模式的双机热备组网中，备用设备上配置hrp track vlan后，该VLAN就不能转发报文。

注意事项

在FW工作在二层的双机热备组网中，主备机都需要配置hrp track vlan。hrp track vlan命令支持备份，两台FW双机热备状态建立后，只需要在主用设备上配置该命令。

使用portswitch命令将三层接口切换为二层接口时，接口默认会加入VLAN 1。FW使用过程中，可能会出现某个接口切换到二层模式，但并未插接网线使用的情况（即接口的状态为Down）。此时如果同时配置了hrp track vlan 1，会因为该接口处于Down的状态导致FW的VGMP优先级降低2，从而使双机热备状态异常。因此，如非必要，请勿配置hrp track vlan 1。