经典案例之USG6625E配置双机热备后主备状态无法建立的故障问题

小乔

问题描述：

USG6625E设备作为出口对接运营商网络，设备配置为双机热备主备模式，但HRP配置完成后，双机状态不正常。检查配置一致性，提示“Fail to Send”，检查HRP接口，提示“negotiation failed”：

HRP_M<FW01> display hrp state

Role: standby, peer: unknown     

Running priority: 45000, peer: unknown

Backup channel usage: 0.00%

Stable time: 0 days, 5 hours, 49 minutes

HRP_M<FW01> display hrp interface

Eth-Trunk1 : negotiation failed

处理过程：

1、检查两台防火墙版本和补丁是否一致：

通过检查，确认两台防火墙的版本和补丁均为：两台USG6625E版本补丁一致，不存在差异，排除该原因。

2、检查两台防火墙心跳借口是否配置正确：

由于使用命令：display hrp configuration check hrp，出现错误提示：“ Error: The HRP link is Down.”，故开始检查两个防火墙的心跳接口是否配置正确，通过确认，两台防火墙使用eth-trunk绑定2个GE口作为心跳口，对比eth-trunk接口配置以及通断测试，确认配置一致，且物理接口对应正确。

3、此时现网一台防火墙状态已经变化为HRP_M<FW01>，另一台防火墙状态为HRP_S<FW02>，初步判断HRP的配置正确，不是HRP配置引起的问题，同时查询HRP的状态，显示正常，但有异常告警，如下：

HRP_M<FW01> display hrp state

Role: active, peer: standby

Running priority: 45000, peer: 44998

Backup channel usage: 0.00%

Stable time: 0 days, 0 hours, 24 minutes

Last state change information: 2021-01-19 19:53:09 HRP link changes to down due to send data failed.

4、在主防火墙ping备防火墙的心跳口、业务口地址，地址均可以ping通，链路的连通性测试正常。

5、通过以上分析，HRP的配置以及物理连接均正常，故在全局进行配置检查。

6、在防火墙查看互联接口地址的会话，发现存在会话，表明业务转发正常：

HRP_M<FW01> display firewall session table source inside 100.100.xxx.1

2021-01-19 20:36:40.420

Current Total Sessions : 1

udp  VPN: public --> public  100.100.xxx.1:49152 --> 100.100.xxx.2:18514

HRP_M<FW01> display firewall session table source inside 100.100.xxx.2

2021-01-19 20:36:43.510

Current Total Sessions : 2

udp  VPN: public --> public  100.100.xxx.2:2056 --> 100.100.xxx.1:18514

udp  VPN: public --> public  100.100.xxx.2:16384 --> 100.100.xxx.1:18514

7、在备防火墙上查看接口地址会话，发现对应地址存在nat转换，正常情况下不应该存在nat转换情况。

HRP_S<FW02> display firewall session table source inside 100.100.xxx.2

2021-01-19 20:36:00.570

Current Total Sessions : 1

udp  VPN: public --> public  100.100.xxx.2:49152[100.100.xxx.2:2056] --> 100.100.xxx.1:18514

8、检查备防火墙上的nat配置，发现nat策略的配置比较直接简单，配置如下：

#

nat-policy

rule name 2

  action source-nat easy-ip

#

据了解，该防火墙的主、备设备曾单独配置过，在做nat配置时，为了省事，源区域、目的区域等均配置的any来实现nat转化，但在数据处理过程中，属于DMZ区域的心跳口在心跳报文转发过程中，也匹配上了该nat策略，导致端口被转换，心跳报文无法正常收发。

9、将备防火墙的nat策略的源区域按照实际规划进行修改，指定源、目的安全区域后，在备墙上查询会话，不再显示有nat转换的情况，测试主备状态和数据转发均正常，策略修改配置如下：

#

nat-policy

rule name 2

  source-zone trust

destination-zone untrust

  action source-nat easy-ip

#

问题根因：

防火墙开局配置NAT时，没有按照规划指定源、目的安全区域，心跳口进行互通时也匹配nat进行端口转换处理，导致主备同步异常。

解决方案：

将NAT策略的配置进行优化，按照规划指定源、目的安全区域。