H3C防火墙堆叠（IRF）后，如果没有配置冗余组（Redundancy Group），流量处理逻辑取决于你如何配置上下行接口。关键区别在于，流量是否能“自动”在两台设备间负载分担，并不由“是否配置冗余组”直接决定，而是由你是否使用了跨框链路聚合及配置细节决定的。

• 若使用独立三层接口：如果上下行接口是各自独立的物理口（例如，一台防火墙连一个上行路由器，两台路由器独立），则存在非对称流量风险。虽然会话状态通常能同步，但可能因处理开销导致短暂丢包，无法保证“丢包数量最低”。

• 若使用跨框链路聚合：当成员接口分布在两台物理设备上且未加限制时，流量会基于哈希算法分散到两台设备上。但由于防火墙是状态化设备，会话不对称会导致回程流量可能被丢弃。

所以，问题可以简化为：没有冗余组时，两种配置方式的结果不同。

影响流量的关键因素

结合你的情况，你需要理解两个核心因素是如何影响最终结果的：

• 控制平面：主备模式

  • IRF会将所有设备虚拟成一台逻辑设备，但会选举一个主设备（Master） 和多个备设备（Standby）。

  • 所有控制平面的操作都由Master负责：这包括运行路由协议、ARP学习、生成MAC地址表等。只有Master会响应ARP请求，这意味着对于网络中的其他设备（如核心交换机），它们看到的网关MAC地址永远指向Master设备。

  • 结果：从控制平面看，网络认为只有一台设备在工作。所有流量仍然会先被发送到Master设备。

• 数据平面：主备模式 vs. 负载分担

  • 主备模式（未配置冗余组 + 独立接口）：这是最简单的模式。所有流量都由Master处理，Standby设备只作为备份，不处理业务流量。当Master故障时，Standby才会接管。

  • 负载分担模式（未配置冗余组 + 跨框聚合）：当上下行流量都通过跨框链路聚合传输，且聚合组的成员端口分布在两台物理设备上时，流量会基于流的哈希算法分散到两台设备上。例如，流量A走设备A，流量B走设备B。

  • 风险：防火墙是状态化设备，必须同时看到会话的请求和回应才能正常工作。如果去程流量走A设备，回程流量走B设备，就会产生非对称流量问题。尽管IRF可能同步会话表，但跨框转发会引入额外延迟和处理开销，极端情况下可能丢包。

结论

• 默认情况：如果上下行接口都接在Master设备上（例如，Master设备的接口1接上行，接口2接下行），那么流量会全部走Master设备，Standby设备不处理业务流量。

• 跨框情况：如果配置了跨框链路聚合，流量会基于哈希算法分散到两台设备，但可能引发非对称流量风险。

• 没有冗余组不等于负载分担：冗余组是用来精细控制主备切换和接口追踪的，不配置冗余组并不会阻止流量被分散到两台设备。

一、为什么只有主墙跑流量

1. IRF 后逻辑上是一台设备

   两台防火墙虚拟成一台，只有一个主控（主节点），一个备节点。
2. 三层接口（VLAN 接口、三层物理口）默认归属主控
   • 所有三层接口的 IP、ARP、路由表、会话表
   • 都只在 主设备 上生效、运行、转发
   • 备机只同步配置和会话，不参与三层转发
3. 没有冗余组 = 没有负载分担

   冗余组（redundancy group）才是用来实现：
   • 主备切换
   • 跨成员口负载分担
   • 不同 VLAN 分别跑在主 / 备上

二、流量实际怎么走

• 内网 PC → 交换机 → 防火墙主设备上行口
• 所有转发、NAT、策略、日志、DPI 都在主墙完成
• 备墙只做：
  • 配置同步
  • 会话表同步
  • 心跳
  • 主墙挂了才顶上去

三、想让两台都跑流量，怎么做？

1. 冗余组（Redundancy Group）

• 划分多个冗余组
• 不同组分别绑定不同 VLAN
• 让组 1 优先在主墙，组 2 优先在备墙

2. 典型效果

• VLAN 10、20 走主墙
• VLAN 30、40 走备墙
• 两台同时转发，实现负载分担

四、一句话总结

• 只 IRF + 三层 VLAN 口 + 无冗余组
  → 单活，只有主设备跑流量
• 要双活、两台都跑流量
  → 必须配冗余组 + 多组主备分担

主备都会有流量，会存在跨框流量，建议做主备