故障描述:华为防火墙主备切换后,业务不通,主机和备机上都有新建的连接。
初步分析:根据故障描述,可能是会话没有实时备份或是路由没有完全收敛。
1:实施思路:在主防火墙上开启会话实时快速备。
hrp mirror session enable :会话快速备份使能命令,此命令使能之后防火墙上对新建的会话或者是刷新的会话立即备份到对端防火墙上。
hrp enable #启用HRP备份功能(必须)。
hrp auto-sync #启用命令与状态信息的自动备份。
hrp mirror session enable #启用会话快速备份。
hrp standby config enable #所有可以备份的信息都可以直接在备用设备上进行配置,且备用设备上的配置可以同步到主用设备。
2:主设备同时报错,这个问题是怎么产生的呢,是主备两边的算法不一致导致的。
pki rsa local-key-pair backup all-sys:在双机热备场景中,为保证主备切换时证书业务能正常运行,主备设备上的RSA密钥对必须保持一致。
pki certificate backup all-sys:双机备份场景中,备机备份主机的PKI证书等时,为了防止备份报文丢失,造成主备机证书等不一致,导致主备机切换后PKI业务中断,建议执行命令pki certificate backup手动备份证书等。
处理办法
主墙上执行下这两条命令:
pki rsa local-key-pair backup all-sys
pki certificate backup all-sys
