问题描述:
防火墙双机热备双主模式,怎么解决来回路径不一致,导致会话中断的问题,开启“DPI业务支持双机热备有用吗”
- 2025-03-13提问
- 举报
-
(0)
最佳答案
一、解决双主模式下路径不一致导致会话中断的关键措施
启用非对称路径支持
- 在双机热备配置中开启非对称路径兼容模式,允许主备防火墙同步未完全建立的会话(如TCP SYN阶段),避免因路径不一致导致会话表不同步。
- 配置示例:
hrp mirror session enable # 启用会话快速备份 hrp asymmetric enable # 开启非对称路径支持
调整会话状态机模式
- 将会话状态机切换为宽松模式(Loose Mode),允许返回流量从任意接口进入,避免因路径不一致触发严格检查而丢弃报文。
- 配置命令:
session state-machine mode loose
注意:宽松模式可能降低安全性,建议优先优化网络路径设计。
规范网络拓扑设计
- 确保流量往返路径一致,避免主备防火墙因路径差异导致会话表无法同步。
- 若网络架构复杂(如多链路负载分担),需结合路由策略或BFD检测强制路径一致性。
二、DPI业务与双机热备的关联性
DPI业务对双机热备的要求
- DPI(深度包检测)依赖动态会话状态(如入侵检测、应用识别),需确保主备设备的特征库、策略配置、会话状态完全同步。若未开启双机热备支持,切换时可能导致检测中断或误判。
配置DPI业务的双机热备支持
- 启用HRP会话备份功能,同步入侵防御(IPS)、病毒防护(AV)等策略状态:
hrp mirror dpi enable # 同步DPI业务状态 - 确认特征库版本一致,避免主备设备因规则差异导致处理逻辑冲突。
- 启用HRP会话备份功能,同步入侵防御(IPS)、病毒防护(AV)等策略状态:
三、操作建议与验证步骤
配置验证
- 检查双机热备状态:
display hrp state # 查看HRP状态及会话同步情况 - 模拟路径切换测试,观察会话是否正常保持。
- 检查双机热备状态:
版本兼容性
- 升级防火墙系统至最新稳定版本,确保非对称路径、DPI热备等功能的兼容性
- 2025-03-13回答
- 评论(1)
- 举报
-
(0)
只能在命令行里面配置吗
没用,只能通过控制路由来解决来回路径不一致问题,DPI是深度检测模块,和会话同步没关系
- 2025-03-13回答
- 评论(14)
- 举报
-
(1)
那该如何处理才能让会话信息同步,不会中断
能帮忙看下这个帖子吗https://zhiliao.h3c.com/questions/dispcont/291726
我这边就是核心路由器,它配置了vrrp,然后还是双主,在链路都正常的情况下,也会切换链路,我想将其中的R2配置为主,R1配置为备用,然后防火墙双主,这样是不是可以解决问题,只在R2和R1切换的过程中丢包
我现在丢包的原因,我认为是,当我出去网关从R2切换到R1上时,原来这条链路还是正常的,回包默认也会走原来的路径,就会导致长时间保持来回路径不一致的问题
https://zhiliao.h3c.com/questions/dispcont/291726这个帖子附件里面有拓扑
做了双机热备,和现在现象一样,我之所以会猜测是来回链路不一致导致丢包,是因为我们完全断掉一边链路,就完全没问题,或者是保持两条链路,但是不要两台防火墙,也是没有问题
RBM双主吗
路由控制好路径
- 2025-03-13回答
- 评论(3)
- 举报
-
(0)
能帮忙看下这个帖子吗https://zhiliao.h3c.com/questions/dispcont/291726
是的
能帮忙看下这个帖子吗https://zhiliao.h3c.com/questions/dispcont/291726
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
只能在命令行里面配置吗