SecPath Firewall RBM+VRRP

1. 验证RBM状态与管理接口：在备设备上执行 display remote-backup status，确认其RBM角色为Secondary且状态正常。同时，检查用于管理的VLAN接口或物理接口IP地址是否正常配置且处于UP状态。

2. 检查管理接口所在安全域及策略：这是最关键的一步。登录备设备CLI，执行以下命令：

   • display zone 查看您的管理接口（如VLAN接口）被划分到了哪个安全域（通常是Management或Local）。
   • display security-policy ip 或 display zone-pair security 查看从源安全域（您终端所在的域，如Trust） 到目的安全域（管理接口所在域） 的策略规则。备设备上很可能缺少允许业务网段IP访问其管理IP的permit规则。

3. 解决方案：

   • 方案一（推荐，直接管理备设备）：在备设备上，配置一条安全策略，明确允许来自下联业务网段的IP地址访问其管理IP地址（协议为TCP，目的端口为SSH的22和HTTPS的443）。这能从根本上解决问题。
   • 方案二（通过主设备跳转）：在运维阶段，可以先SSH登录到主设备，再通过主设备跳转（使用ssh或telnet命令）连接到备设备的内部管理IP（通常是RBM数据通道接口的IP或loopback地址）。这种方式依赖于主备间的内部网络可达性。
   • 检查ACL与本地用户：参考SSH和Web排查手册，确认备设备上未设置限制源IP的访问控制列表（ACL），并且用于登录的本地用户已正确授权SSH和HTTP/HTTPS服务类型。

一、现象原因总结

1. 备防火墙 SSH/Web 无法登录
   • RBM 主备模式下，备机默认只同步业务配置，不同步管理类权限 / 接口管理状态
   • 备机的业务接口默认是 “禁止管理访问”（telnet/ssh/http/https 全部拒绝）
   • 所以你能 ping 通，但连不上管理口
2. 有的终端能 ping 通备机，有的不通
   • 备机上没有下联网段的 ARP / 路由不如主机完整
   • 或者备机没学到下联 SVI / 三层接口的 ARP
   • 跨网段访问备机，回程路由不可达 → ping 丢包
   • 同网段偶尔通、偶尔不通 = ARP 问题

二、最核心一句话配置（解决 SSH/Web 登不上备机）

三、解决 “部分终端 ping 不通备机”

1. 确保三层 VLAN 接口都开了

2. 备机也要能学到 ARP（关键）

3. 检查 VRRP 抢占 / 延迟

四、快速验证命令

五、最简可直接复制的完整修复配置

六、你这种场景的正常逻辑

• 主机：所有业务、管理都正常
• 备机：默认只转发业务流量，不提供管理访问
• 必须手动开启 hrp management-interface include all 才能登录备机

一、问题原因分析

1. SSH和Web无法访问备设备是预期行为

在RBM+VRRP主备模式下，只有主设备处理业务流量，备设备处于待命状态，不处理业务转发-。这意味着：

• 备设备的管理服务（SSH/Web）可能被RBM限制，只有在主设备故障切换后才会开放管理访问

• 你看到的"无法SSH/web访问备设备"可能是设计行为，而非故障

验证方法：登录Console口查看备设备状态

2. ping备设备时通时不通的可能原因

原因一：上行设备MAC地址学习问题

搜索结果中有一个高度相关的案例：配置VRRP后，运营商网关无法ping通VRRP虚拟IP，排查发现是因为回包使用了接口实际MAC地址，而不是VRRP虚拟MAC。

• 运营商侧设备可能限制了单个物理端口学习多个MAC地址

• 当主备设备使用不同MAC地址发送报文时，上行交换机/路由器的MAC表可能频繁震荡

• 部分终端通过ARP解析到的MAC地址可能是主设备的接口MAC，而不是VRRP虚拟MAC

解决方法：配置VRRP使用虚拟MAC地址

部分终端学习到的是主设备的物理接口MAC，另一部分学习到的是VRRP虚拟MAC-6。

排查命令：

备设备的管理接口可能配置了安全策略，限制了允许访问的源IP范围。

检查方法：

方案一：启用VRRP虚拟MAC（推荐）

在主备两台防火墙的上联接口分别配置虚拟MAC：

方案二：允许备设备的管理访问（如确有运维需要）

在RBM配置中，允许备设备单独管理：

方案三：检查并调整安全策略

确保备设备的安全策略允许来自下联终端的SSH/Web访问：