FAQ-双机热备使用限制

发布时间:  2013-12-31 浏览次数:  209 下载次数:  0
问题描述
告警信息
处理过程
根因
建议与总结
介绍双机热备中的使用限制,包括硬件限制、软件限制、与NAT结合使用的限制和与IPSec结合使用的限制。
硬件限制
目前只支持两台设备进行双机热备。
主备设备的产品型号和版本相同。
主备设备接口卡的位置、类型和数目都相同,否则会出现主用设备备份过去的信息,与备用设备的物理配置无法兼容,导致主备切换后出现问题。
如果使用二层接口作为心跳口,需要将二层接口加入VLAN,创建Vlanif并配置Vlanif的IP地址。然后使用Vlanif接口作为心跳口,并配置remote参数来指定对端设备心跳口的IP地址。
软件限制
主备设备的软件版本一致。否则,不同版本的软件的某些配置命令或会话表结构可能不同,从而导致主备设备在备份配置命令和状态时产生错误。
主备设备的Bootrom版本一致。
主备设备的运行模式要保持一致,即都是防火墙模式或UTM模式。
建议主备设备的配置文件均为初始文件。否则,可能由于两台设备的配置冲突导致主备切换后出现问题。
主备设备的虚拟防火墙的名称,数量和配置顺序必须一致。
主备设备的对应接口必须加入到相同的安全区域。如主用设备的GigabitEthernet0/0/1接口加入了Trust区域,那么备用设备的GigabitEthernet0/0/1接口也必须加入Trust区域。
主备设备的心跳口(HRP备份通道)配置必须一致。
说明:
USG2110-X/2100、USG2100 BSR/HSR不支持指定对端设备心跳口IP地址的功能,因此不能使用Vlanif接口作为心跳口。
主备设备业务接口的IP地址固定,因此双机热备特性不能与PPPoE拨号、DHCP Client、3G或XDSL等自动获得IP地址的特性结合使用。
与NAT结合使用的限制
双机热备与NAT结合使用时,主备设备的上下行业务接口必须为三层接口。
当配置VRRP备份组时,需要将NAT地址池或者NAT Server与VRRP绑定。
与IPSec结合使用的限制
主备备份场景支持与IPSec结合使用,负载分担场景不支持。
双机热备与IPSec结合使用时,主备设备的上下行业务接口必须为三层接口。
双机热备与IPSec结合使用时,双机热备和IPSec的配置与单独使用时没有区别。
只需要在主用设备上配置IPSec策略,在备用设备上不需要配置IPSec策略。主用设备配置的IPSec策略会备份到备用设备上,因此只需要在备用设备的出接口上应用备份过来的IPSec策略。
如果设备作为IPSec隧道发起方,则必须要执行命令local-address ip-address,设置本端发起协商的地址为VRRP备份组的虚拟IP地址。
说明:
USG2120BSR不支持IPSec双机热备。

END