防火墙双主问题

怎么确定的是丢弃了？

1. 分片报文状态不同步（最主要原因）
在双机热备模式下，虽然会话状态会同步，但分片报文的重组状态可能无法完全实时同步。
问题机理：
第一个分片报文到达主用防火墙，开始分片重组过程
备用防火墙可能没有及时收到或处理分片重组状态信息
后续分片到达时，如果负载均衡导致报文走到备用防火墙，备用防火墙由于没有前序分片信息，会丢弃该分片
# 分片报文处理流程示意
分片1 → 主防火墙 → 创建分片重组表项 → (状态同步延迟) → 备用防火墙
分片2 → 备用防火墙 → 查不到分片重组表项 → 丢弃报文!
2. 分片缓存和超时时间不匹配
可能原因：
两台防火墙的分片缓存大小不一致
分片重组超时时间设置过短
分片哈希算法导致同一流的分片被分配到不同防火墙
3. 负载均衡策略问题
如果使用基于IP或端口的负载均衡，同一UDP流的不同分片可能被分配到不同防火墙。
解决方案
方案1：调整分片相关参数（优先尝试）
# 进入系统视图
system-view

# 增加分片缓存大小（根据设备性能调整）
firewall fragment cache-size 8192

# 调整分片重组超时时间（单位：秒，默认15-30秒）
firewall fragment timeout 30

# 启用分片状态同步（如果支持）
hrp mirror fragment enable

# 保存配置
save
方案2：优化双机热备配置
# 检查并优化HRP（双机热备）配置
hrp enable
hrp mirror session enable # 确保会话同步开启
hrp mirror config enable # 配置同步

# 调整HRP同步参数
hrp sync delay 0 # 减少同步延迟
hrp sync start now # 立即开始同步

# 对于分片报文，可以尝试启用严格模式
firewall reassemble strict
方案3：调整负载均衡策略
如果网络中存在负载均衡设备，确保同一流的分片使用相同的路径：
# 在负载均衡设备上配置基于分片特征的持久化
loadbalance policy frag_policy
sticky hash address source destination # 基于源目地址哈希
fragment sticky # 分片报文保持同一路径
方案4：避免分片（最有效方案）
如果应用允许，调整MTU值避免分片：
# 方法1：调整接口MTU（端到端路径）
interface GigabitEthernet1/0/1
mtu 1500 # 确保MTU一致

# 方法2：在源端设置DF位（Don't Fragment），让TCP自己分片
ip tcp mss 1200 # 调整MSS值
方案5：启用分片报文日志进行诊断
# 开启分片报文调试信息
debugging firewall fragment all
terminal debugging
terminal monitor

# 或者配置分片报文日志
info-center enable
info-center loghost source LoopBack0
info-center loghost 192.168.1.100

# 创建策略匹配分片报文
acl advanced 3999
rule 5 permit ip source any destination any fragment

policy-based-route LOG_FRAGMENT permit node 10
if-match acl 3999
apply logging

# 应用策略
interface GigabitEthernet1/0/1
ip policy-based-route LOG_FRAGMENT
诊断命令
1. 检查分片统计信息
# 查看分片统计信息
display firewall fragment statistics

# 查看分片缓存状态
display firewall fragment cache

# 查看HRP同步状态
display hrp state
display hrp statistics
2. 实时抓包分析
# 在防火墙内外口同时抓包，对比分片情况
display capture interface GigabitEthernet1/0/1
display capture interface GigabitEthernet1/0/2

# 或者使用端口镜像到分析设备
mirroring-group 1 local
mirroring-group 1 mirroring-port GigabitEthernet1/0/1 both
mirroring-group 1 monitor-port GigabitEthernet1/0/3
3. 检查会话同步状态
# 查看具体会话的同步状态
display session table verbose | include "分片相关特征"

# 检查HRP会话同步统计
display hrp session statistics
推荐的排查步骤
立即措施：先尝试方案4调整MTU/MSS避免分片
参数优化：实施方案1调整分片缓存和超时时间
状态检查：使用诊断命令确认HRP同步状态
深度排查：如果问题持续，启用方案5的日志功能进行抓包分析
架构优化：考虑调整网络路径，确保同一流的分片走相同路径
预防措施
在双机热备环境下，尽量避免大包分片
定期检查防火墙分片统计信息
确保两台防火墙的软件版本和配置完全一致
建立分片报文监控告警机制
这个问题通常通过调整分片参数和优化双机同步配置可以解决。如果经过上述调整后问题仍然存在，可能需要收集更详细的日志信息联系H3C技术支持进行深度分析。