主备防火墙域和接口配置顺序不同导致状态无法同步

发布时间:  2012-10-22 浏览次数:  105 下载次数:  0
问题描述
在某项目中发现有两台互相热备的防火墙状态无法备份。两台防火墙的状态均为M。
告警信息
N/A
处理过程
检查端口连接情况,正常。进行ping测试,心跳线也可以ping通。检查相关热备配置,也确认正确。后研发进行定位,发现是防火墙A比防火墙B多配了一个子接口导致两边配置不同。后删除该子接口,问题仍然没有解决。咨询研发后,得到结论,防火墙内部针对域和子接口均有索引号,索引号不完全一致,无法达到同步。即使删除该子接口,内部索引号依然不会自动重新分配,必须把所有子接口和域全部删除后重新配置,才可使两台防火墙的所有子接口和域的索引号完全相同。后按照研发的建议操作,问题解决。
根因
防火墙内部针对域和子接口均有索引号,索引号不完全一致,无法达到同步。即使删除该子接口,内部索引号依然不会自动重新分配,必须把所有子接口和域全部删除后重新配置,才可使两台防火墙的所有子接口和域的索引号完全相同。
建议与总结
 在实施过程中,一定要保证热备的两台防火墙接口和域的配置完全一致。另外,万一出现心跳线断等故障导致两台防火墙没有达成同步,切勿在此期间在其中一台防火墙上增加接口和域的配置,因为一旦心跳线恢复,防火墙又将因为索引号不同而无法同步,此时只能重新配置,影响业务,也导致不必要的麻烦。 

END