問題: usg防火墻雙機熱備,有一台備墻由於長時間沒有啟用,導致有很多策略沒有同步過來,備墻如何把主墻的所有策略(安全策略、路由、策略路由等等)全部同步過來?
解答:
防火墻雙機熱備主備配置不一致
方法一:
按照以下步驟處理:
1.將備機所有業務口斷開。
2.將心跳口斷開,確認裝置完全隔離。
3.在隔離裝置關閉hrp功能,命令(系統檢視):undo hrp enable (註:從V5R1C50以後的版本開始如果不關閉hrp功能,那麽心跳口啟動後,會將備機執行的刪除命令同步到主機,導致主機相關配置遺失。)
4.刪除備機上與主機不一致的配置(會同步的配置,那些會同步,可以檢視手冊「支持/不支持備份的配置列表」章節)
5.啟動hrp功能,命令(系統檢視):hrp enable
6.開啟心跳口。
7.在主機進行強行同步,命令(使用者檢視):hrp sync config
8.檢查配置無任何問題後,在開啟所有業務口。
當前這台裝置備機多出來的配置都是不影響業務的,直接在備機刪除就行,但是如果有業務影響的配置只能這樣操作。
方法二:
按照以下步驟處理:
1、備機關閉配置同步功能,命令(系統檢視):undo hrp auto-sync config,
如果還開啟了靜態路由、策略路由、dns透明代理同步,那麽還需要執行命令:
undo hrp auto-sync config static-route
Undo hrp auto-sync config dns-transparent-policy
Undo hrp auto-sync config policy-based-route
2、刪除備機上與主機不一致的配置(會同步的配置,那些會同步,可以檢視手冊「支持/不支持備份的配置列表」章節),並檢查確認沒問題;(註:此操作期間務必保證主機不會增加配置)
3、在主機進行強行同步,命令(使用者檢視):hrp sync config
4、檢查配置無任何問題後,開啟1中關閉的同步功能
總結: 觸發批次備份的三個場景:
①HRP_M<USG_01>hrp sync config
//手工批次備份
②HRP_M[USG_01]hrp mirror config enable
//開啟映像模式
//映像模式下,在雙機熱備從使能到與對端正常建立,這期間的配置可以在雙機熱備建立時自動備份一次
③HRP_M[USG_01]hrp base config enable
//重新開機後執行備份,預設關閉,需先開啟映像
//註意:配置備份只是將配置主的相應關鍵配置資訊在配置備上執行一次,而不是覆蓋,即配置備的原配置仍將保留,在配置備份之後會增加相應的配置資訊
