在主动/被动 HA 对中, 在添加/重新启动被动设备时, 现有会话是否同步?
Resolution
概述
环境有一个可以在高可用性 (HA) 中配置的单一防火墙。在添加第二个防火墙并配置为在同一 HA 组中时, 现有防火墙上的当前会话是否将同步到新的被动设备?
详细
当第二个防火墙配置为高可用性 (HA) 并添加到组中时, 它以初始状态开始。一旦设备完成初始化并建立了 HA 控制链接, 防火墙就会转换为被动状态。一旦防火墙处于被动状态, 它就开始接收活动设备上所有 * 会话 (ICMP 除外) 的会话同步信息。请注意, 只有在不存在阻止防火墙正常运行的故障条件时, 才会发生这种情况。下图显示了上述场景中的第二个防火墙可能的状态转换。
如果防火墙转换为被动状态, 它将接收活动防火墙上当前会话的会话信息以及创建的任何新会话。例如, 下面的输出显示了两个防火墙的会话表。请注意, 虽然会话数相同, 但每个防火墙的单个会话 id 将有所不同。
| 现有防火墙 (活动) | 第二个防火墙 (被动) |
|---|---|
admin@Firewall1 (活动) > 显示会话全部 -------------------------------------------------------------------------------- ID 应用程序状态类型标志 Src [体育]/区域/原始 (翻译的 IP [端口]) Vsys Dst [Dport] / 区 (翻译 IP[Port]) -------------------------------------------------------------------------------- 46743 dns 活动流 NS 192.168.83.250 [64193]/L3-信任/17 (10.30.6. 83 [11659]) vsys1 4.2. 2.2 [53]/L3-不 (4.2. 2.2 [53]) 46744 ntp 活动流 192.168.83.250 [123]/V-信任/17 (192.168.83.250 [123]) vsys1 17.171.4. 36 [123]/V-不 (17.171.4. 36 [123]) 45039网络浏览活动流 NS 192.168.83.138 [1536]/L3-信任/6 (10.30.6. 83 [32177]) vsys1 74.125.239.136 [80]/L3-不 (74.125.239.136 [80]) 46565 ldap 活跃流程 NS 192.168.83.138 [1603]/L3-信任/17 (10.30.6. 83 [27608]) vsys1 192.168.123.122 [389]/L3-不 (192.168.123.122 [389]) 45904网络浏览活动流 192.168.83.250 [49587]/V-信任/6 (192.168.83.250 [49587]) vsys1 74.125.239.40 [80]/V-不 (74.125.239.40 [80]) 46742 dns 活跃流程 192.168.83.250 [64193]/V-信任/17 (192.168.83.250 [64193]) vsys1 4.2. 2.2 [53]/V-不 (4.2. 2.2 [53]) 46745 ntp 活动流 NS 192.168.83.250 [123]/L3-信任/17 (10.30.6. 83 [57714]) vsys1 17.171.4. 36 [123]/L3-不 (17.171.4. 36 [123]) 45040网络浏览活动流 NS 192.168.83.138 [1537]/L3-信任/6 (10.30.6. 83 [33599]) vsys1 74.125.239.136 [80]/L3-不 (74.125.239.136 [80]) 45906网络浏览活动流 NS 192.168.83.250 [49587]/L3-信任/6 (10.30.6. 83 [4051]) vsys1 74.125.239.40 [80]/L3-不 (74.125.239.40 [80]) 46250 ldap 活跃流程 192.168.122.59 [4685]/V-不/17 (192.168.122.59 [4685]) vsys1 192.168.123.122 [389]/V-信任 (192.168.123.122 [389]) 46555 ms ds-smb 活动流 192.168.83.250 [49745]/V-信任/6 (192.168.83.250 [49745]) vsys1 192.168.83.138 [445]/V-不 (192.168.83.138 [445]) | Firewall2 (被动) > 显示会话全部 ID 应用程序状态类型标志 Src [体育]/区域/原始 (翻译的 IP [端口]) Vsys Dst [Dport] / 区 (翻译 IP[Port]) -------------------------------------------------------------------------------- 17 dns 活动流 NS 192.168.83.250 [64193]/L3-信任/17 (10.30.6. 83 [11659]) vsys1 4.2. 2.2 [53]/L3-不 (4.2. 2.2 [53]) 18 ntp 活动流 192.168.83.250 [123]/V-信任/17 (192.168.83.250 [123]) vsys1 17.171.4. 36 [123]/V-不 (17.171.4. 36 [123]) 1网络浏览活动流 NS 192.168.83.138 [1536]/L3-信任/6 (10.30.6. 83 [32177]) vsys1 74.125.239.136 [80]/L3-不 (74.125.239.136 [80]) 6 ldap 活跃流程 NS 192.168.83.138 [1603]/L3-信任/17 (10.30.6. 83 [27608]) vsys1 192.168.123.122 [389]/L3-不 (192.168.123.122 [389]) 8网络浏览活动流 192.168.83.250 [49587]/V-信任/6 (192.168.83.250 [49587]) vsys1 74.125.239.40 [80]/V-不 (74.125.239.40 [80]) 16 dns 活跃流程 192.168.83.250 [64193]/V-信任/17 (192.168.83.250 [64193]) vsys1 4.2. 2.2 [53]/V-不 (4.2. 2.2 [53]) 19 ntp 活动流 NS 192.168.83.250 [123]/L3-信任/17 (10.30.6. 83 [57714]) vsys1 17.171.4. 36 [123]/L3-不 (17.171.4. 36 [123]) 10网络浏览活动流 NS 192.168.83.138 [1537]/L3-信任/6 (10.30.6. 83 [33599]) vsys1 74.125.239.136 [80]/L3-不 (74.125.239.136 [80]) 11网络浏览活动流 NS 192.168.83.250 [49587]/L3-信任/6 (10.30.6. 83 [4051]) vsys1 74.125.239.40 [80]/L3-不 (74.125.239.40 [80]) 12 ldap 活跃流程 192.168.122.59 [4685]/V-不/17 (192.168.122.59 [4685]) vsys1 192.168.123.122 [389]/V-信任 (192.168.123.122 [389]) 13 ms ds-smb 活动流 192.168.83.250 [49745]/V-信任/6 (192.168.83.250 [49745]) vsys1 192.168.83.138 [445]/V-不 (192.168.83.138 [445]) |
所有者: cstancill