USG9560 V500R001C00SPC200 双机热备环境主机重启后主备配置不一致且不能同步的分析

发布时间:  2016-02-15 浏览次数:  170 下载次数:  0
问题描述

防火墙双机热备主备模式下,主机断电重启后,而主备机配置不一致且不能同步。


处理过程

1. 对于不能同步的配置进行手动配置,出现如下两种情况:

1)用户没有权限


2)内容过滤组件异常


2. 由此进一步分析,无法下发的两条命令均属于敏感特性,受license管控,同时还须加载mod才能生效,因此查看module的状态,display module-information verbose


3. 如上图中所示,内容过滤安全组件安装失败,处于空闲状态,尝试重新安装内容安全组件,安装失败并出现如下提示。


4.  提示信息分析,安装失败是因为没有内容安全license,查看license的状态。

    

5.  从上图中可以发现,确实没有内容安全的license项,但是奇怪的是,备机上的license与主机一模一样,上述命令却可以进行配置,而且module也加载成功。

6.  再次对比主备机的module加载信息,如下图所示,发现备机module加载成功的时间是2015-6-26,而上图中license激活的时间是2015-9-21,两者之间存在3个月左右的时间差,这就有理由相信,这段时间存在license的变更,与现场工程师沟通,2015-6-26割接后使用了临时license,有效期三个月,而且临时license的功能是全放开的,包括内容安全的license,而因临时license到期, 2015-9-21重新激活了客户自己购买的license,该license只包含ips功能,不包含内容安全的license项,但因为设备一直处于正常运行状态,已经加载的module组件会一直生效,而当设备在2016-1-23因断电重启后,原本正常加载的modulelicense变更而无法加载上,从而导致相应的敏感特性的配置无法下发。至此,问题根因找到。

根因

两设备刚开始的时候加载的license项不一样,当主机重启后,原本正常加载的modulelicense变更而无法加载上,从而导致相应的敏感特性的配置无法下发

建议与总结

1.  主备配置无法同步处理过程总结:

1)分析配置无法下发的原因;

2)分析module的加载情况;

3)分析license的激活状态;

2.  引起主备配置无法同步的原因可能有:

1) V5版本敏感特性受license管控,当命令之前可以下发,重启后就无法下发的现象,优先考虑license变更导致的失效;

2) 用户权限不够无法下发;

3.  建议:增加一键诊断命令display module-information verbose

END