华为防火墙双机热备：判断配置命令备份与不备份的方法+B （实时备份、批量备份）

 华为防火墙双机热备：判断配置命令备份与不备份的方法+B （实时备份、批量备份）

配置命令实时备份
两台FW正常运行且双机热备关系已建立的情况下，在一台FW上每执行一条支持备份的命令时，此配置命令就会立即备份到另一台FW上。缺省情况下，对于可以备份的配置命令，只能在配置主设备上执行，配置备设备上不能执行。如果希望配置备设备也能执行支持备份的配置命令，可以在配置主设备或配置备设备上执行hrp standby config enable命令，开放配置备设备的配置权限，之后，在配置备设备上执行的配置也会实时备份到配置主设备上。
如果配置命令支持备份，在FW上执行命令时，命令后面会有(+B)的标识符。例如，图中安全策略相关的配置命令支持备份，接口IP地址的配置命令不支持备份。
判断配置命令备份与不备份的方法

运行配置批量备份
以下三种情况会触发运行配置的批量备份：
    双机热备组网中的一台或两台FW重启。
    两台正在运行的FW建立双机热备关系时，会自动触发一次运行配置的批量备份。
    用户在FW上执行hrp sync config命令，手动触发运行配置的批量备份。

批量备份后，配置是保存在运行配置中，未保存到配置文件中，需要用save命令保存配置。在主机上执行save命令，当设备提示“Do you want to synchronically save the configuration to the startup saved-configuration file on peer device?”时，选择“y”，备机自动保存配置。

注意事项
运行配置批量备份是一台FW将支持备份的配置通过心跳线发送到对端设备上，在对端设备上重新执行一次，并不是直接覆盖对端设备的配置。
FW重启触发配置批量备份时，由于配置备运行配置只保留双机热备相关配置和不支持备份的配置，支持备份的配置都不会保留。
配置主备份过来的配置在配置备上重新执行一遍的效果与直接覆盖配置备配置的效果相同，可以让两台FW支持备份的配置达到完全一致的状态。
但其他两种配置批量备份并不能保证两台FW支持备份的配置达到完全一致的状态。
如图所示，FW_A和FW_B的安全策略“abc”的匹配条件中“destination-address”不同。
在FW_A上执行hrp sync config命令批量备份配置后，FW_A的安全策略“abc”的配置会发送到FW_B上执行一次。
FW_B安全策略“abc”的匹配条件中会新增一个匹配条件“destination-address 10.10.1.12 32”，但已有的匹配条件“destination-address 10.10.1.14 32”不会被删除。
FW_A和FW_B的配置仍然存在差异。

如图3所示，FW_A比FW_B多一条安全策略“policy3”。在FW_A上执行hrp sync config命令批量备份配置后，FW_A的“policy3”配置会发送到FW_B上执行一次。FW上新增策略时，策略默认是放在“default”策略之前，最后一条非default策略之后。因此，在FW_B上，“policy3”是在“policy4”之后。FW_A和FW_B的安全策略顺序不一致。
图3 配置批量备份示例二