防火墙RBM双机热备功能异常

问题描述：

防火墙RBM无法建立或RBM功能异常。

解决方法：

1、查看设备版本是否一致

M9000的软件版本包含两部分，一个是业务板的软件版本，另一个是主控板的软件版本。首先，要保证主控和业务板的软件版本一致。然后保证需要进行堆叠的两台M9000防火墙的软件版本一致。如何查看防火墙的软件版本？可以在普通用户视图和系统视图下，通过命令查看当前业务板和主控板的软件版本信息。

命令：display install active/display boot-loader

例如：通过命令查看防火墙M9010主控和业务板的软件版本均为R9141P30。

或者

2、升级版本

如果主控和业务板的软件版本不一致或者需要堆叠的两台防火墙的软件版本不一致，需要将版本升级为一致。登录H3C官网http://www.h3c.com/cn/ ，在“首页>产品支持与服务>文档与软件>软件下载>安全”路径下选择H3C SecPath M9000 系列，选择正确的软件版本进入对应的软件下载页面。

以R9141P30为例，官网上会放M9000的主控、三代防火墙板卡和四代防火墙板卡的版本文件。如下截图，其中，“SECPATH9000M-CMW710-R9141P30_BIN.rar”为M9000的主控软件版本，“ SECBLADENGFW-CMW710-R9141P30_BIN.rar”为M9000三代业务板的软件版本，“BLADE4FWM9000-CMW710-R9141P30_BIN.rar”为M9000四代业务板的软件版本。所以，下载的时候针对现场的具体的防火墙板卡类型下载相应的业务板软件版本，按照官网软件版本说明书进行软件版本的升级。 

M9000是三代板和四代板的型号，在软件版本说明书有列出，如下图所示。

3、检查用作RBM通道的接口收发光和CRC

作为RBM通道的接口需要保证其状态是正常的，接口的收发光需要在正常范围内，接口下不能有CRC错包，可以通过如下命令查看接口的收发光或者CRC错包信息。

命令：display transceiver diagnosis interface

命令：display interface

4、更换光纤或光模块

如果接口出现CRC错包，并且错包的个数还在增加，或者接口的收发光不在正常范围内，这种一般都是链路的问题，光纤或者光模块的问题，更换光纤或者光模块，确认没有CRC错包，并且接口的收发光在正常范围内，再进行RBM配置。

5、检查安全策略是否放通

RBM通道包括控制通道和数据通道两种，控制通道中可传输的报文类型包括远端备份组的运行状态报文 一致性检查报文和同步配置信息的报文等。控制通道利用TCP链接建立，基于TCP协议自身的保活机制来监测链路的连通性。因此两端设备三层可达即可建立控制通道，缺省端口为60064。数据通道仅用于传输设备之间的热备报文和透传报文，不用于传输RBM的其他报文。所以，需要放通local和控制通道所在安全域之间的安全策略。

6、放通安全策略

每台设备都有用于RBM建立的控制通道，该通道可以是物理接口，也可以是三层聚合口，两端的ip地址需要在同一网段，并且要求路由可达，如果发现在本端ping不通对端的控制通道的地址时，需要放通相关的安全策略。

例如：以控制通道所在的安全域为RBM为例，策略放通后如下所示。

7、检查RBM配置是否规范

进行RBM配置时，需要配置local-ip和remote-ip，local-ip和remote-ip需要保证两边的控制通道ip地址正确，local-ip为控制通道本端ip，remote-ip为控制通道对端ip，用于建立控制通道的ip地址不能和设备其他地址冲突。

8、规范RBM相关配置

以控制通道本端ip地址192.168.168.1，控制通道对端ip地址192.168.168.2为例，数据通道和控制通道采用同一个接口，即路由聚合口1，具体配置如下：

 更多排查思路可火墙产品维护宝典RBM篇：

https://www.h3c.com/cn/d_202405/2141428_30005_1.htm