防火墙冗余组问题点

配置冗余组结合Track BFD会话来检测单侧光纤故障并触发切换，具体方案如下：

1. 方案可行性 

在H3C防火墙冗余组中，支持通过Track监测BFD会话状态。当BFD检测到链路故障时，即使物理接口仍为UP状态，BFD会话会触发Track状态变化，从而驱动冗余组切换。

2. 实现方法 

a. 配置BFD会话：

   在Reth子接口的IP地址（1.1.1.2/24和2.2.2.2/24）与对端设备IP之间建立BFD会话。

   设置BFD检测参数（如检测间隔、超时次数）。

b. 配置Track关联BFD：

   [DeviceA] track 7 bfd echo interface reth 1 remote 1.1.1.1 local 1.1.1.2

   [DeviceA] track 8 bfd echo interface reth 2 remote 2.2.2.1 local 2.2.2.2

c. 冗余组绑定Track BFD状态：

   [DeviceA-failover-group-group1] track 7

   [DeviceA-failover-group-group1] track 8

3. 效果说明 

当单侧光纤故障导致BFD会话DOWN时，Track状态会变为Negative，触发冗余组切换。

冗余组会关闭当前主成员接口，激活备成员接口，流量切换至备用链路。

4. 替代方案（如不支持BFD联动） 

硬件级检测：检查光模块是否支持`Digital Optical Monitoring (DOM)`功能，通过光功率阈值告警触发接口逻辑关闭。

动态路由+BFD：在上/下游设备运行OSPF/BGP等协议，并启用BFD加速收敛，间接实现链路切换。