问题描述:
IPS备机重启,主机会把备机不一致的配置覆盖掉
主机有vlanif 101 102 备机有vlanif 103 104
主机的101 102的vlan号会同步给备机,不会同步地址给备机,同时会把备机的103 104删除掉
还有下面的配置也同步给备机#
security-zone name Trust
import interface Vlan-interface101
import interface Bridge-Aggregation11 vlan 101
import interface GigabitEthernet1/0/10 vlan 101
import interface GigabitEthernet1/0/11 vlan 101
security-zone name DMZ
#
security-zone name Untrust
import interface Vlan-interface102
import interface GigabitEthernet1/0/9 vlan 102
import interface GigabitEthernet1/0/12 vlan 102
怎么样不把配置同步给备机
主备,运行ospf
H3C IPS 主备双机阻断配置同步完整方案
一、现象根因
IPS 主备采用会话同步 + 配置自动同步机制(默认开启hotbackup auto-sync config):
主机完整安全域、VlanIF、接口导入策略会全量下发备机;
备机独有 VlanIF103/104、对应安全域导入配置会被同步覆盖删除;
VlanIF 三层 IP 地址不会同步(业务网关主备分离场景设计)。
你需要关闭配置自动同步,仅保留会话 / 表项同步,阻断业务配置下发覆盖备机。
二、核心关闭同步配置(全局主备视图下执行)
1. 进入热备主备视图
plaintext
system-view
hotbackup enable
hotbackup mode active-standby
# 进入主备配置视图
hotbackup
2. 关闭配置自动同步(关键命令)
plaintext
# 关闭整机配置自动同步,不再同步安全域、VLANIF、接口、策略
undo hotbackup auto-sync config
3. 保留必须同步的流量会话(OSPF、连接表项不影响)
仅关闭配置文件同步,会话、ARP、路由表、连接状态正常同步,不影响主备切换业务无损:
plaintext
# 以下同步保持默认开启,无需改动
hotbackup auto-sync session
hotbackup auto-sync arp
hotbackup auto-sync route
4. 双机都必须执行该命令
主机、备机两台 IPS 都要输入undo hotbackup auto-sync config;
仅单台配置会出现状态不同步、切换异常。
三、关闭同步后的行为变化(匹配你的需求)
主机新增 / 删除 VlanIF101、102、安全域 Trust/Untrust,不会同步到备机;
备机原有 VlanIF103、104、独立安全域配置永久保留,不会被主机删除覆盖;
三层 VlanIF IP 地址本身不同步,该逻辑不受命令影响;
OSPF 邻居、路由表、在线用户会话、ARP 表依旧双向同步,故障切换无断流;
手动整机 save 保存配置互不干扰,主备配置完全独立维护。
四、补充约束与运维规范
1. 手动同步配置方式(需要统一配置时临时操作)
关闭自动同步后,如需主机配置下发备机,手动执行一次性同步:
plaintext
# 主机上手动推送全部配置到备机(一次性,不常驻同步)
hotbackup sync config manual
2. 切换风险提醒
主备配置完全独立后,手动修改配置必须双机分别维护:
新增安全策略、VLAN、接口、域导入,主机改完必须登录备机同步修改;
若主备安全域 / 网段策略不一致,故障切换会出现业务阻断。
3. 确认同步状态校验命令
plaintext
# 查看热备同步开关
display hotbackup config
输出中看到 Auto sync config: Disabled 代表配置同步已关闭。
五、备选方案:局部过滤同步(不推荐,仅做补充)
如果只想过滤 VlanIF / 安全域不同步、保留其余配置同步,可配置同步白名单过滤,但 VLANIF、安全域属于顶层基础配置,过滤容易引发热备异常,优先使用上面全局关闭方案:
plaintext
hotbackup
# 过滤VlanIF、安全域相关配置不同步
hotbackup sync filter exclude interface Vlan-interface
hotbackup sync filter exclude security-zone
六、极简操作总结
主、备两台 IPS 进入hotbackup视图,执行 undo hotbackup auto-sync config;
会话、路由、ARP 同步保持开启,OSPF 业务切换无影响;
主机不再下发 VLANIF、安全域配置,备机自有 103/104 不会被删除;
后续变更策略、网段需双机分别手动维护。
一、 为什么备机配置会被删除?
vlanif 103/104 等配置会被视为不一致项而被清理。二、 如何阻止配置自动同步给备机?
- 操作逻辑:通过命令行禁用故障转移(Failover)或取消双机热备关联。一旦 HA 通道断开或功能关闭,设备将不再作为一对运行,您可以独立地对其中一台设备进行任何修改,且不会触发同步。
- ⚠️ 严重警告:这是一个极其危险的操作。IPS 平台设计为具有硬件冗余的单个逻辑系统,禁用同步意味着丧失了高可用性。如果此时主机发生故障,备机由于配置和状态表项不一致,将无法平滑接管流量,会导致严重的网络中断。
三、 针对您当前环境的优化建议
既然主机会覆盖备机,建议直接在主机上将备机需要的
vlanif 103/104 及其 IP 地址一并创建好。这样既能保证双机配置一致,又能满足您的业务需求。在主备模式下,备机通常不处理业务流量。如果上下行部署的是三层设备(运行 OSPF),当发生主备切换时,新主机的上下行路由器需要一定时间重新学习路由,这会导致业务中断。
- 最佳实践:推荐在上下行的三层路由设备上配置 OSPF Cost 值,将流量主动引导至当前活动的 IPS 主机处理,相当于在网络层形成主备组网,从而避免路由收敛带来的中断问题。
如果您的 IPS 采用了接口对(Interface Pair)部署,建议启用“接口对状态同步”参数。当一端接口状态由 Up 变为 Down 时,对端接口也会随之改变,这可以加快 OSPF 的路由收敛速度。
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论