HQY 一个和谐有爱的空间

1、当对防火墙进行主备倒换测试过程中，发现业务出现中断，验证故障现象。（新组网，原先规划防火墙双机为主备方式部署）

2、首先检查防火墙的配置信息、会话信息和log、trap等信息，是否存在异常情况；

3、检查防火墙的log信息，发现防火墙的接口vlan被处于禁用状态，这是未进行主备切换之前的状态；

4、下一步将检查防火墙的路由表，在切换前，路由转发都是通过FW1主用设备承载业务，在主备倒换时，FW1切换成备用设备时，VLAN内所有接口都会Down然后Up一次。这会导致上下行路由器重新计算OSPF路由，导致备设备不能及时接替主设备处理业务，导致业务中断；最后，OSPF路由收敛后，路由能够正常学习，由于FW1的端口vlan被禁用后，FW1链路cost增加，因此业务流量全部从FW2转发。

5、同时通过咨询华为TAC技术中心，该场景不支持防火墙主备方式部署；

6、最后，与客户一同协商，同意将防火墙双机改为负载分担方式部署。

根因：无

防火墙双机部署场景注意事项：

1）此种组网不支持主备备份方式。因为如果工作于主备备份方式，备用设备上的VLAN被禁用，它的上下行路由器就无法进行通信，路由也无法建立。这样主备切换时，备用设备就无法及时接替主用设备处理业务，导致业务中断。因此，此场景防火墙双机采用负载均衡部署。

建议与总结：

1）若防火墙上、下行业务接口都工作在二层，与路由器直连。上、下行路由器之间运行OSPF动态路由协议。每台FW的上下行业务接口加入到同一个VLAN。

此组网不支持主备方式的双机热备。

2）将防火墙双机采用负载均衡方式部署，解决此场景下防火墙双机在发生主备切换时，业务中断问题。