快速恢复动作
在不确定故障点的情况下,或者没有时间窗对故障点进行详细分析的情况下,基于快速恢复业务考虑,可以采用如下快速恢复动作对业务进行尝试恢复。
以下操作,请联系华为工程师确定后实施。
快速恢复动作 | 操作指导 | 使用场景&注意事项 |
|---|---|---|
安全策略全放通 | [sysname] security-policy [sysname-policy-security] default action permit | 适用于所有场景。默认策略最后匹配,所以需要确保没有其他明细deny策略存在阻断相关业务。 |
[sysname-policy-security] rule name xx [sysname-policy-security-rule-xx] action permit [sysname-policy-security] rule move xx top | 若中间存在deny策略,可在故障业务域间配置一条全放通策略,并把该全放通策略顺序调整到最前面,注意开启策略备份加速功能时,新配置的策略需要等待策略备份加速完成后才能生效(约2分钟左右,具体时间根据策略规则的数量而定)。 | |
关闭链路状态检测 | [sysname] undo firewall session link-state check | 适用于来回路径不一致的场景。 |
关闭所有攻击防范 | [sysname] interface GigabitEthernet xxx [sysname-GigabitEthernetxxx] undo anti-ddos flow-statistic enable | 适用于确认或怀疑攻击防范丢包的场景。 |
关闭智能感知引擎 | [sysname] engine bypass | 适用于确定或怀疑NGE丢包的场景。 |
隔离备用设备 | Shutdown备用设备所有接口(先Shutdown业务接口,再Shutdown心跳接口),或将备用设备下电隔离 | 适用于主备组网出现双主的场景。 |
双机倒换 | Shutdown主用设备的上下行链路,或将主用设备的物理接线拔出,或执行hrp switch active/standby指令 | 适用于所有双机热备场景。 |
复位路由协议 | <sysname> reset ospf process <sysname> reset bgp all | 适用于路由协议状态异常的场景,如果路由无法恢复,可考虑临时增加静态路由配置恢复业务。 |
清空所有会话 | <sysname> reset firewall session table | 适用于会话异常导致业务故障的场景。 |
清空IPSec隧道 | <sysname> reset ike sa <sysname> reset ipsec sa | 适用于部署了IPSec隧道的场景。 |
清空Server-map表信息 | [sysname-diagnose] reset firewall server-map | 适用于承载多通道协议业务不通的场景。 |
主备主控倒换 | <sysname> system-view [sysname] slave switchover enable [sysname] slave switchover | 适用于框式设备主控板异常的场景。 |
隔离单板/子卡(LPU/SPU) | <sysname> power off slot xxx [card xxx ] | 适用于单板/子卡反复复位,或单板/子卡不注册的场景,隔离后需要将相关业务割接到其他槽位单板,注意主备场景下单板故障后会自动主备倒换。 |
开启license紧急状态 | <sysname> system-view [sysname] license emergency | 适用于License文件过期而影响设备正常业务的场景。License紧急状态功能只可以开启3次,超过3次后,执行本命令将不再生效。本功能的有效期为7天,到期后资源项和功能项都将恢复到先前状态。本功能不能重复激活,只能在宽限保护期的最后一天或者过宽限保护期后才允许再次执行该命令。例如在第1天执行了此功能,则第2天就不能再执行,需要到第6天之后才可以执行。 在宽限保护期内,如果重新申请License并在设备上激活,宽限保护期会自动结束,设备按照新的License文件授权运行。 |
整机重启 | <sysname> reboot | 适用于所有场景,重启前建议使用命令display diagnostic-information采集诊断信息。 |
紧急切换备用链路 | 通过调整上下行设备的路由,或者调整物理链路,使流量切换到备用链路上。 | 适用于整机托管、瘫痪。 |
双机切换指导
在单点故障的场景中,最常见的恢复方法就是防火墙主备设备切换,将流量从主平用面引导到备用平面,由备用平面接管处理业务。
常见的接口板硬件故障、HRP监控的接口和链路故障都可以触发防火墙侧自动主备切换,这些能够触发防火墙主备平面自动切换的情况,平时只要关注主备配置的一致性和配置组网规范,确保备用平面可以正常承载业务。
在光模块/光纤故障、部分业务模块故障等情况时,设备可能就不会自动主备切换,这个时候就需要手动进行主备倒换,手动倒换的方式包括命令切换(主用设备上执行hrp switch standby或备用设备上执行hrp switch active),将主用设备业务口shutdown或将业务口对应的网线/光纤/光模块拔出等方式。
切换前准备工作。
在确定要进行主备切换时,一定要先确定主备设备当前优先级,看优先级是否一样,如果不一样,需要先检查原因,将优先级调整一致,然后再做切换操作。
影响防火墙主备设备优先级不一样的因素有:设备板卡个数不对应, HRP监控接口状态两边不一致,HRP监控IP-Link、BFD状态发生变化、VRRP接口状态不一致。
执行display hrp state verbose命令,确定主备设备优先级是否一致。主备设备的优先级必须一致,才能进行后续的操作。
HRP_M<sysname> display hrp state verbose Role: active, peer: standby /*本端设备和对端设备的角色*/ Running priority: 45000, peer: 45000 /*本端设备和对端设备的VGMP组的优先级*/ Backup channel usage: 0.00% /*当前心跳接口的带宽使用率*/ Stable time: 0 days, 0 hours, 11 minutes Last state change information: 2018-05-06 14:31:24 HRP core state changed, old_state = abnormal(active), new_state = normal, local_priority = 45000, peer_priority = 45000. /*本端VGMP组最后一次状态切换的相关信息*/ Configuration: hello interval: 1000ms /*VGMP报文、HRP心跳报文、HRP链路探测报文的发送时间间隔*/ preempt: 60s /*VGMP组抢占延迟时间*/ mirror configuration: off /*镜像模式是否开启*/ mirror session: off /*会话快速备份是否开启*/ track trunk member: on /*VGMP监控Eth-Trunk或IP-Trunk成员接口功能是否开启*/ auto-sync configuration: on /*配置命令自动备份功能是否开启*/ auto-sync connection-status: on /*状态表项自动备份功能是否开启*/ adjust ospf-cost: on /*根据主备状态调整OSPF发布路由COST值功能是否开启*/ adjust ospfv3-cost: on /*根据主备状态调整OSPFv3发布路由COST值功能是否开启*/ adjust bgp-cost: on /*根据主备状态调整BGP发布路由MED值功能是否开启*/ nat resource: off /*NAT资源分段使用功能是否开启*/ Detail information: GigabitEthernet1/0/2 vrrp vrid 1: active /*VRRP备份组状态*/ IP-Link abc(VSYS:public): up /*VGMP组监控IP-Link的状态*/ BFD session 1: up /*VGMP组监控BFD会话的状态*/ vlan 20: enable /*VGMP组监控VLAN的状态*/ GigabitEthernet1/0/3: up /*VGMP组监控接口的状态*/ GigabitEthernet1/0/2(OSPF peer IP:2.2.2.2): Full /*VGMP组监控OSPF邻居的状态*/ BGP peer IP(3.2.2.2): Established /*VGMP组监控BGP邻居的状态*/ ospf-cost: +0 /*OSPF对外发布路由的COST值*/ ospfv3-cost: +0 /*OSPFv3对外发布路由的COST值*/ bgp-cost: +0 /*BGP对外发布路由时增加的MED值*/
执行防火墙主备切换操作。
双机状态切换方法有多种,下边两种主备切换方法备选,结合自己使用习惯选择其中一个执行。
双机主备切换操作
说明
命令
shutdown接口(配置VRRP的接口,或者HRP监控的接口)
在主用设备上shutdown配置VRRP的接口,或者HRP监控的接口,使得主用设备的优先级减2,低于备用设备的优先级,从而触发主备倒换。
hrp track一个物理状态为Down的接口
在主用设备上hrp track一个物理状态为Down的接口,使得主用设备的优先级减2,低于备用设备的优先级,从而触发主备倒换。
在主用设备上执行命令display interface brief,找到PHY状态为down的接口。
<sysname> display interface briefPHY: Physical *down: administratively down ^down: standby (l):loopback (s):spoofing (b): BFD down (e): ETHOAM down (d):Dampening Suppressed InUti/OutUti: input utility/output utility Interface PHY Protocol InUti OutUti inErrors outErrors GigabitEthernet 1/0/1 down down 0% 0% 0 0 GigabitEthernet 1/0/2 up up 50% 60% 23 125
从以上输出信息可以看出,GigabitEthernet 1/0/1的接口状态为Down。
在系统视图下执行命令hrp track interface GigabitEthernet 1/0/1。
在主用设备上执行命令display hrp state verbose,在输出信息中查看Detail information部分的信息,找到配置VRRP的接口或HRP监控的接口。
Detail information: GigabitEthernet1/0/2 vrrp vrid 1: active /*GigabitEthernet1/0/2为配置VRRP的接口*/ GigabitEthernet1/0/3: up /*GigabitEthernet1/0/3为HRP监控的接口*/
在VRRP接口或者hrp track的接口的接口视图下执行shutdown命令,以GigabitEthernet1/0/2为例。
[HUAWEI] interface GigabitEthernet 1/0/2 [HUAWEI-GigabitEthernet1/0/2] shutdown
- 上一篇:华为防火墙清除Console密码USG6000E, USG6000, USG9500, NGFW Module V500, V600
- 下一篇:单板故障(约30分钟)USG6000E, USG6000, USG9500, NGFW Module V500, V600
请立即点击咨询我们或拨打咨询热线: 17804441181,我们会详细为你一一解答你心中的疑难。项目经理在线
客服1 