主防火墙意外重启后，备墙没有自动接管业务，导致网络中

主防火墙意外重启后，备墙没有自动接管业务，导致网络中断。应该如何检查HA配置和状态？

主防火墙意外重启后备墙未自动接管，核心问题出在 HA 配置参数错误、心跳链路异常、状态检测机制失效 或 抢占 / 接管策略未生效 这四类场景。以下是针对深信服 AF 防火墙的分层排查步骤，从状态检查到配置验证，再到故障复现，可直接落地定位问题。
一、 第一步：登录设备，查看 HA 当前状态（快速定位核心异常）
优先通过命令行（CLI）或 Web 控制台查看 HA 的运行状态，确认主备角色、心跳连通性、会话同步状态。
Web 控制台查看 HA 状态
登录主备防火墙的 Web 管理界面，进入 系统 > 高可用 > HA 状态，重点关注以下指标：
主备角色：备墙是否处于 备用 状态，主墙重启后是否未触发角色切换。
心跳链路状态：心跳口是否显示 已连接，若显示 断开，直接指向心跳链路故障。
会话同步状态：是否显示 同步中 或 已同步，若 未同步，备墙无会话表将导致业务中断。
故障检测状态：是否检测到主墙 故障（如接口 Down、服务异常），未检测到则不会触发接管。
CLI 命令行查看 HA 详细状态（深信服 AF 专用）
通过 SSH 登录防火墙，执行以下命令获取精准状态信息：

# 查看HA整体状态（主备角色、心跳、同步情况）
show ha status
# 查看HA配置参数（抢占模式、监测接口、故障阈值）
show ha config
# 查看心跳链路的收发统计（是否有丢包）
show ha heartbeat statistics
# 查看会话同步数量（备墙会话数是否与主墙一致）
show session sync status
若 show ha status 中备墙 role 仍为 slave，且未检测到主墙故障 → 故障检测机制未触发。
若心跳统计中 packet loss rate > 0% → 心跳链路丢包导致备墙无法感知主墙故障。
二、 第二步：排查 HA 核心配置（最易出现问题的环节）
深信服 AF 的 HA 接管逻辑依赖正确的配置参数，重点检查以下关键项：
心跳链路配置
物理链路检查：心跳口是否使用独立网卡（禁止与业务口共用），网线是否松动、交换机端口是否 Down 掉，建议心跳链路直连（不经过三层交换机）。
心跳 IP 配置：主备心跳 IP 是否在同一网段（如主墙心跳 IP 10.0.0.1/24，备墙 10.0.0.2/24），是否配置了 心跳多路径 冗余（避免单心跳链路故障）。
心跳优先级：是否启用 优先使用主心跳口，避免备用心跳口切换延迟。
故障检测机制配置
监测接口：是否配置了业务接口监测（如外网口、内网口），仅监测心跳口会导致主墙业务口 Down 掉后，备墙无法感知故障。
配置路径：高可用 > 故障检测 > 接口监测，勾选核心业务接口，设置 故障阈值（如连续 3 次检测失败判定为故障）。
服务监测：是否启用了关键服务监测（如防火墙、NAT、VPN），主墙服务异常时可触发接管。
BFD 快速检测：是否启用 BFD（双向转发检测），默认检测间隔 500ms，故障判定时间 1500ms，未启用则故障检测延迟（超过默认超时时间才会接管）。
接管策略配置
抢占模式：
若启用 抢占模式，主墙重启恢复后会抢占回主角色，若抢占延迟设置过短（如 < 60s），可能导致二次中断；
若未启用 抢占模式，主墙重启后会变为备角色，备墙保持主角色（正常逻辑）。
异常场景：若备墙未启用 自动接管 开关，主墙故障后不会主动切换。
会话同步配置：
是否启用 全量会话同步 和 增量会话同步，未启用则备墙无用户会话表，接管后用户需重新登录。
同步阈值：是否设置了合理的 同步速率限制（如 1000pps），避免同步流量占用业务带宽。
VRRP 配置（三层路由模式下）
若防火墙工作在路由模式，HA 依赖 VRRP 协议实现网关 IP 漂移，需检查：
VRRP 组是否配置正确（主备同一 VRRP ID、虚拟 IP 一致）。
VRRP 优先级：主墙优先级是否高于备墙（如主墙 120，备墙 100），优先级相同会导致主备选举失败。
VRRP 抢占延迟：是否设置 抢占延迟时间（如 30s），避免主墙重启后立即抢占导致业务抖动。
三、 第三步：排查硬件与环境因素（易被忽略的点）
备墙自身状态异常
备墙是否存在硬件故障：如 CPU / 内存利用率过高（>90%）、磁盘故障、电源异常，导致无法响应接管指令。
备墙是否处于 管理隔离 或 故障隔离 状态：可通过 show system status 查看系统健康度。
网络侧因素
核心交换机是否启用了端口安全或 STP协议，导致备墙接管后，业务口 MAC 地址漂移被交换机阻断（需开启 MAC地址快速更新）。
防火墙与交换机的链路是否配置了 Trunk模式，VLAN 划分是否一致，避免备墙接管后业务流量不通。
四、 第四步：故障复现与日志分析（定位根本原因）
手动触发故障测试
主动断开主墙的外网业务口网线，观察备墙是否在 10s内 切换为主角色，业务是否中断。
若切换成功 → 原故障为主墙重启时故障检测延迟；若切换失败 → 配置或链路存在硬伤。
分析 HA 日志
登录防火墙，进入 系统 > 日志 > HA 日志，筛选主墙重启时间段的日志，搜索关键词：
heartbeat lost → 心跳链路中断
interface down detected → 业务接口故障
failover triggered → 触发接管
failover failed → 接管失败（需查看失败原因，如备墙状态异常）
深信服 AF 的 HA 日志会明确记录接管失败的具体原因（如 备墙心跳未连通、监测接口未配置）。
五、 整改优化方案（避免后续故障）
心跳链路冗余：配置双心跳口（主备独立网卡），直连部署，避免经过三层设备。
故障检测优化：启用 BFD 快速检测 + 业务接口 + 关键服务监测，缩短故障判定时间至 3s内。
接管策略优化：非核心业务场景禁用抢占模式，核心场景设置 抢占延迟60s；启用全量 + 增量会话同步。
网络侧配合：核心交换机开启 MAC地址快速学习，关闭 STP 或启用 RSTP快速收敛。
定期演练：每月手动触发主墙故障，验证备墙接管速度（目标：业务中断时间 < 30s）。

深信服AF无法完全取代核心路由器，其核心定位是下一代防火墙，侧重于安全防护，而非路由器的数据转发与网络互联功能。

确认主备墙心跳接口（独立物理接口或VLAN）线缆连接正常，无松动或损坏。

确认备墙优先级低于主墙（默认优先级相同则按序列号选举），且未启用抢占模式（若启用需检查抢占延迟时间）。

小鱼，在主防火墙意外重启后，备墙没有自动接管业务的情况，可以按照以下步骤检查HA（高可用性）配置和状态：

• 检查心跳接口配置：
  
  确保AF双机部署时，心跳接口已正确配置并连接。心跳接口需要为物理路由口，且在标准版本AF1.0-AF8.0.48版本中，心跳口接口IP格式应为：IP/掩码-HA。
  
• 确认心跳线连接：
  
  使用普通网线（交叉线或直通线）连接两个心跳口，确保连接正常。
  
• 检查HA属性配置：
  
  在管理接口IP后加上“-HA”后缀，以防止接口IP配置同步。若主、备机不需要独立管理，则可以不配置。
  
• 查看系统日志：
  
  检查AF的系统故障日志，查看是否有相关的错误日志，特别是告警和错误日志。
  
• 检查接口状态：
  
  确认接口状态是否为UP，接口协商速率是否正常（一般为千兆或万兆），并检查接口链路检测是否异常。
  
• 检查安全日志：
  
  查看安全日志是否有拦截记录，确认业务经过AF时的IP信息，注意勾选低、信息等级的日志。
  
• 确认路由学习情况：
  
  
  • 检查防火墙上的路由情况，确保没有异常，比如出接口或下一跳与预期不一致
    

结合以上步骤排查来看看，一般来说都能够定位到实际问题。希望能够帮助到你！