华为USG防火墙双机热备: 配置主备与业务主备

华为USG防火墙双机热备: 配置主备与业务主备

介绍FW的业务主备和配置主备的概念以及两者之间的关系。

FW的主备角色区分业务主备和配置主备：

业务主备决定FW是否会承载业务。主备备份组网中，只有一台FW会承载业务，另一台FW作为备份。承载业务的FW是业务主、另一台FW是业务备。负载分担组网中，两台FW都会承载业务，两台FW都是业务主。

配置主备决定了哪台FW可以执行配置命令。除save命令外，支持备份的配置命令默认只能在配置主设备上执行，这些命令会自动备份到配置备设备上。例如，安全策略配置命令、NAT策略配置命令等。如果用户在配置备设备上执行这些命令，设备会提示错误：“Error: The device is in HRP standby state, so this command can not be executed”。不支持备份的命令在配置主和配置备设备上都可以执行。例如，display命令、debug命令等。

如果希望配置备设备也能执行支持备份的配置命令，可以在配置主和配置备设备上执行hrp standby config enable命令，开放配置备设备的配置权限。

使用display hrp state命令可以查看FW的业务主备状态。Role表示本端的业务主备状态，peer表示对端的业务主备状态。例如，Role: standby, peer: active表示本端是业务备、对端是业务主，两台FW形成主备备份组网。Role: active, peer: active表示本端和对端都是业务主，两台FW形成负载分担组网。

从命令行提示符前缀可以判定FW的配置主备状态。命令行提示符前缀为HRP_M的FW为配置主设备，命令行提示符前缀为HRP_S的FW为配置备设备。

在主备备份和镜像模式组网中，业务主就是配置主、业务备就是配置备。在负载分担组网中，两台FW按如下原则协商出配置主备。

由主机名（sysname）ASCⅡ码的大小来决定配置主备。ASCⅡ码较小的成为配置主，ASCⅡ码较大的成为配置备。例如两台FW的主机名分别为FW_A和FW_B。FW_A成为配置主，FW_B成为配置备。

两台FW的主机名（sysname）相同时，配置主备由启用双机热备功能时的时钟大小决定。时钟小的设备成为配置主，时钟大的设备成为配置备。

如果FW在启用双机热备功能后被重启，启用双机热备功能时的时钟以hrp enable命令配置恢复时的时钟为准。