當前位置: 華文世界 > 數碼

HUAWEI USG防火墻雙機熱備配置同步問題

2024-01-04數碼

問題: usg防火墻雙機熱備,有一台備墻由於長時間沒有啟用,導致有很多策略沒有同步過來,備墻如何把主墻的所有策略(安全策略、路由、策略路由等等)全部同步過來?

解答:

防火墻雙機熱備主備配置不一致

方法一:

按照以下步驟處理:

1.將備機所有業務口斷開。

2.將心跳口斷開,確認器材完全隔離。

3.在隔離器材關閉hrp功能,命令(系統檢視):undo hrp enable (註:從V5R1C50以後的版本開始如果不關閉hrp功能,那麽心跳口啟動後,會將備機執行的刪除命令同步到主機,導致主機相關配置遺失。)

4.刪除備機上與主機不一致的配置(會同步的配置,那些會同步,可以檢視手冊「支持/不支持備份的配置列表」章節)

5.啟動hrp功能,命令(系統檢視):hrp enable

6.開啟心跳口。

7.在主機進行強行同步,命令(使用者檢視):hrp sync config

8.檢查配置無任何問題後,在開啟所有業務口。

當前這台器材備機多出來的配置都是不影響業務的,直接在備機刪除就行,但是如果有業務影響的配置只能這樣操作。

方法二:

按照以下步驟處理:

1、備機關閉配置同步功能,命令(系統檢視):undo hrp auto-sync config,

如果還開啟了靜態路由、策略路由、dns透明代理同步,那麽還需要執行命令:

undo hrp auto-sync config static-route

Undo hrp auto-sync config dns-transparent-policy

Undo hrp auto-sync config policy-based-route

2、刪除備機上與主機不一致的配置(會同步的配置,那些會同步,可以檢視手冊「支持/不支持備份的配置列表」章節),並檢查確認沒問題;(註:此操作期間務必保證主機不會增加配置)

3、在主機進行強行同步,命令(使用者檢視):hrp sync config

4、檢查配置無任何問題後,開啟1中關閉的同步功能

總結: 觸發批次備份的三個場景:

①HRP_M<USG_01>hrp sync config

//手工批次備份

②HRP_M[USG_01]hrp mirror config enable

//開啟映像模式

//映像模式下,在雙機熱備從使能到與對端正常建立,這期間的配置可以在雙機熱備建立時自動備份一次

③HRP_M[USG_01]hrp base config enable

//重新開機後執行備份,預設關閉,需先開啟映像

//註意:配置備份只是將配置主的相應關鍵配置資訊在配置備上執行一次,而不是覆蓋,即配置備的原配置仍將保留,在配置備份之後會增加相應的配置資訊