问题: usg防火墙双机热备,有一台备墙由于长时间没有启用,导致有很多策略没有同步过来,备墙如何把主墙的所有策略(安全策略、路由、策略路由等等)全部同步过来?
解答:
防火墙双机热备主备配置不一致
方法一:
按照以下步骤处理:
1.将备机所有业务口断开。
2.将心跳口断开,确认设备完全隔离。
3.在隔离设备关闭hrp功能,命令(系统视图):undo hrp enable (注:从V5R1C50以后的版本开始如果不关闭hrp功能,那么心跳口启动后,会将备机执行的删除命令同步到主机,导致主机相关配置丢失。)
4.删除备机上与主机不一致的配置(会同步的配置,那些会同步,可以查看手册「支持/不支持备份的配置列表」章节)
5.启动hrp功能,命令(系统视图):hrp enable
6.开启心跳口。
7.在主机进行强行同步,命令(用户视图):hrp sync config
8.检查配置无任何问题后,在开启所有业务口。
当前这台设备备机多出来的配置都是不影响业务的,直接在备机删除就行,但是如果有业务影响的配置只能这样操作。
方法二:
按照以下步骤处理:
1、备机关闭配置同步功能,命令(系统视图):undo hrp auto-sync config,
如果还开启了静态路由、策略路由、dns透明代理同步,那么还需要执行命令:
undo hrp auto-sync config static-route
Undo hrp auto-sync config dns-transparent-policy
Undo hrp auto-sync config policy-based-route
2、删除备机上与主机不一致的配置(会同步的配置,那些会同步,可以查看手册「支持/不支持备份的配置列表」章节),并检查确认没问题;(注:此操作期间务必保证主机不会增加配置)
3、在主机进行强行同步,命令(用户视图):hrp sync config
4、检查配置无任何问题后,开启1中关闭的同步功能
总结: 触发批量备份的三个场景:
①HRP_M<USG_01>hrp sync config
//手工批量备份
②HRP_M[USG_01]hrp mirror config enable
//开启镜像模式
//镜像模式下,在双机热备从使能到与对端正常建立,这期间的配置可以在双机热备建立时自动备份一次
③HRP_M[USG_01]hrp base config enable
//重启后执行备份,默认关闭,需先开启镜像
//注意:配置备份只是将配置主的相应关键配置信息在配置备上执行一次,而不是覆盖,即配置备的原配置仍将保留,在配置备份之后会增加相应的配置信息
