Hola a todos. En esta publicación les compartiré algunas preguntas frecuentes que recibimos con respecto a la función de Activo/En espera o Hot Standby para el caso de algunas fallas que se han presentado.
¿Por qué se interrumpen los servicios TCP cuando se habilita la copia de seguridad de sesión rápida en caso de rutas de avance y retorno inconsistentes?
En caso de rutas de ida y vuelta inconsistentes, la sincronización puede fallar o retrasarse debido a ráfagas de tráfico, lo que puede resultar en un retraso o interrupción del servicio. Por ejemplo, un firewalls reenvía paquetes TCP SYN y el otro reenvía paquetes TCP ACK. Si la tabla de sesiones no está sincronizada, los paquetes ACK pueden descartarse.
Si esta condición tiene un gran impacto en los servicios, desactive la inspección de estado en el firewall.
¿Por qué las sesiones del firewalls activo actual se marcan como remoto después de la conmutación activa / en espera?
Las sesiones marcadas como remoto se sincronizan desde el firewall activo original. Después de la conmutación activa / en espera, las sesiones sincronizadas todavía se marcan con remoto hasta que las sesiones vencen.
¿Por qué no puedo ejecutar comandos en el firewalls en espera?
Una vez configurado el estado activo/en espera en los dos firewalls, puede ejecutar los comandos que se pueden sincronizar automáticamente solo en el firewalls activo, no en el firewalls en espera.
Para ejecutar manualmente estos comandos en el firewall en espera, ejecute el comando undo hrp auto-sync config para deshabilitar la función de sincronización automática.
¿Por qué los comandos no se ejecutan en el firewall activo sincronizados con el firewall en espera?
Si desactiva la función de sincronización automática de la configuración, las configuraciones no se sincronizan. Además, no todos los comandos se pueden sincronizar. Por ejemplo, las configuraciones de interfaz y enrutamiento no se pueden sincronizar.
Para obtener información sobre los comandos que se pueden sincronizar, consulte la Lista de configuraciones que admiten copia de seguridad y que no la admiten. (Contenido en Ingles)
¿Por qué falla el ping a la dirección IP virtual del grupo VRRP?
Las posibles causas son las siguientes:
l Conflicto de VRID.
l Hacer ping a direcciones IP virtuales está deshabilitado. Los firewalls de Huawei le permiten hacer ping a direcciones IP virtuales de forma predeterminada. Si la dirección IP virtual de ping está desactivada, ejecute el comando vrrp virtual-ip ping enable.
Saludos.
FIN.
ambién te puede interesar:
Conociendo el concepto de HWTACACS en el ámbito de la seguridad informática
Escenarios de aplicación borde de red y detección fuera de ruta para NIP6000
Compilación de publicaciones sobre configuraciones rápidas para firewalls de Huawei
Una introducción a las zonas de seguridad en un firewall de Huawei
Guía de dimensionamiento firewall USG6000 Series NGFW
Conoce más de esta línea de productos en:
O pregúntale al robot inteligente de Huawei, conócelo aquí:
Infografía: Conoce a iKnow, el robot inteligente