H3C总代理商,华为代理商欢迎您!

全国咨询服务电话

15378180513 

企业新闻

联系我们

客户至上

成都达锐斯科技有限公司
地址:成都市武候区人民南路4段53号嘉云台丙栋7楼

电话:15378180513

联系人:

邮箱:3511891@qq.com

官网:http://www.cdh3c.com

企业新闻

当前位置: 首页>>企业新闻

华为防火墙USG6650配置双机热备HRP配置不能同步问题处理

     某局点使用USG6625E设备作为出口对接运营商网络,项目前期使用1台设备配置出口,后续新增设备配置主备双加热备模式,但HRP配置完成后,双机状态无法正常使用,检查配置一致性,提示“Fail to Send”,检查HRP配置,提示“Error: The HRP link is Down.”

  告警信息

  无

  处理过程

  1、检查新入网防火墙与现网防火墙版本和补丁是否一致?

  通过检查,确认两个防火墙的版本和补丁均为:USG6600E V600R007C00SPC200+V600R007SPH003,版本补丁一致,不存在差异,排除该原因。

  2、检查新入网防火墙与现网防火墙心跳借口是否配置正确。

  由于使用命令:disp hrp configuration check hrp,出现错误提示:“ Error: The HRP link is Down.”,故开始检查两个防火墙的心跳接口是否配置正确,通过确认,新入网防火墙和现网防火墙使用eth-trunk绑定2个GE口实现心跳,对比eth-trunk接口配置以及通断测试,确认配置一致,且物理接口对应正确。

  3、此时现网防火墙状态已经变化为HRP_M,新入网防火墙状态为:HRP_S[FW02],初步判断HRP的配置正确,不是HRP配置引起的问题,同时查询HRP的状态,显示正常,但有异常告警,如下:

  HRP_Mdisp hrp state

  2020-10-19 20:17:39.250

  Role: active, peer: standby

  Running priority: 45000, peer: 44998

  Backup channel usage: 0.00%

  Stable time: 0 days, 0 hours, 24 minutes

  Last state change information: 2020-10-19 19:53:09 HRP link changes to down due to send data failed.

  4、在现网防火墙ping备用防火墙的接口地址,地址均可以ping通,链路的连通性测试正常。

  5、通过以上分析,HRP的配置以及物理连接均正常,故在全局进行配置检查。

  6、在现网防火墙查看互联接口地址的会话,发现存在会话,表明业务转发正常:

  HRP_Mdisp firewall session table source inside 100.100.xxx.1

  2020-10-19 20:36:40.420

  Current Total Sessions : 1

  udp VPN: public --> public 100.100.xxx.1:49152 --> 100.100.xxx.2:18514

  HRP_Mdisp firewall session table source inside 100.100.100.2

  2020-10-19 20:36:43.510

  Current Total Sessions : 2

  udp VPN: public --> public 100.100.xxx.2:2056 --> 100.100.xxx.1:18514

  udp VPN: public --> public 100.100.xxx.2:16384 --> 100.100.xxx.1:18514

  7、在备用防火墙上查看接口地址会话,发现对应地址存在nat转换,正常情况下不应该存在nat转换情况。

  HRP_S[FW02]disp firewall session table source inside 100.100.xxx.2

  2020-10-19 20:36:00.570

  Current Total Sessions : 1

  udp VPN: public --> public 100.100.xxx.2:49152[100.100.xxx.2:2056] --> 100.100.xxx.1:18514

  HRP_S[FW02]

  8、检查备防火墙上的NAT配置,发现NAT的生效配置比较直接简单,配置如下:

  rule name 2

  action source-nat easy-ip

  #

  与客户沟通后了解,该项目在做nat配置时,为了省事,源区域、目的区域等均配置的any,从而实现nat转化,但在数据处理过程中,属于DMZ区域的检测口在业务转发过程中,也匹配上改NAT策略,导致在会话中存在地址nat后的情况。

  9、将备防火墙的nat策略的源区域按照实际规划进行修改,指定trust区域后,测试数据同步,测试通过,策略修改配置如下:

  nat-policy

  rule name 2

  source-zone trust

  action source-nat easy-ip

  10、在主备墙上查询会话,不在显示nat处理情况。在主用墙上进行配置保存后,可完成备用墙的配置同步保存,至此问题处理完成。

  HRP_Msa

  The current configuration will be written to hda1:/vrpcfg.zip.

  Are you sure to continue?[Y/N]y

  Now saving the current configuration to the slot 0..

  Save the configuration successfully.

  Do you want to synchronously save the peer device configuration to the startup configuration file?[Y/N]:y

  Now synchronically saving the configuration to the startup saved-configuration file on peer device.....success.

  HRP_M

  根因

  1、开局防火墙配置NAT时,没有按照规划指定源区域,导致心跳端口进行数据互通时也匹配nat进行处理,导致数据异常。

  解决方案

  1、将nat配置进行优化,按照规划指定源、目区域。

  建议与总结

  1、在防火墙开局中,按照规范配置nat,根据项目规划配置对应区域和接口。

友情链接

新华三集团 思科

公司地址

ADDRESS

成都市武候区人民南路4段53号嘉云台丙栋7楼

服务电话

HOTTELEPHONE
  • 15378180513
公司简介
产品展示
H3C交换机
H3C路由器
思科交换机
思科路由器
华为交换机
企业新闻
技术文档
  • 扫一扫,加微信

Copyright © 2023 达锐斯科技 川公网安备 51010802000119号 XML地图

蜀ICP备2020034250号-1 技术支持: 网站模板