当前位置: 华文世界 > 数码

HUAWEI USG防火墙双机热备配置同步问题

2024-01-04数码

问题: usg防火墙双机热备,有一台备墙由于长时间没有启用,导致有很多策略没有同步过来,备墙如何把主墙的所有策略(安全策略、路由、策略路由等等)全部同步过来?

解答:

防火墙双机热备主备配置不一致

方法一:

按照以下步骤处理:

1.将备机所有业务口断开。

2.将心跳口断开,确认设备完全隔离。

3.在隔离设备关闭hrp功能,命令(系统视图):undo hrp enable (注:从V5R1C50以后的版本开始如果不关闭hrp功能,那么心跳口启动后,会将备机执行的删除命令同步到主机,导致主机相关配置丢失。)

4.删除备机上与主机不一致的配置(会同步的配置,那些会同步,可以查看手册「支持/不支持备份的配置列表」章节)

5.启动hrp功能,命令(系统视图):hrp enable

6.开启心跳口。

7.在主机进行强行同步,命令(用户视图):hrp sync config

8.检查配置无任何问题后,在开启所有业务口。

当前这台设备备机多出来的配置都是不影响业务的,直接在备机删除就行,但是如果有业务影响的配置只能这样操作。

方法二:

按照以下步骤处理:

1、备机关闭配置同步功能,命令(系统视图):undo hrp auto-sync config,

如果还开启了静态路由、策略路由、dns透明代理同步,那么还需要执行命令:

undo hrp auto-sync config static-route

Undo hrp auto-sync config dns-transparent-policy

Undo hrp auto-sync config policy-based-route

2、删除备机上与主机不一致的配置(会同步的配置,那些会同步,可以查看手册「支持/不支持备份的配置列表」章节),并检查确认没问题;(注:此操作期间务必保证主机不会增加配置)

3、在主机进行强行同步,命令(用户视图):hrp sync config

4、检查配置无任何问题后,开启1中关闭的同步功能

总结: 触发批量备份的三个场景:

①HRP_M<USG_01>hrp sync config

//手工批量备份

②HRP_M[USG_01]hrp mirror config enable

//开启镜像模式

//镜像模式下,在双机热备从使能到与对端正常建立,这期间的配置可以在双机热备建立时自动备份一次

③HRP_M[USG_01]hrp base config enable

//重启后执行备份,默认关闭,需先开启镜像

//注意:配置备份只是将配置主的相应关键配置信息在配置备上执行一次,而不是覆盖,即配置备的原配置仍将保留,在配置备份之后会增加相应的配置信息