防火墙是位于内部网络与外部网络之间的网络安全系统，对于局域网内的主机来说，如果它要跟外部网络的主机通信，就需要通过路由器/三层交换机等对相关数据包进行转发。防火墙上下行业务接口工作在二层，主备备份方式，交换机接备用防火墙端口xx的discarding状态,当主备切换时交换机的端口xx从discaring到forwarding的状态需要几十秒的时间。如果路由器或交换机出现故障，那么跨网段的通信将会受到影响。那么如何解决华为防火墙主备切换丢包的问题呢？
　　
　　组网拓扑

　　1、交换机和主防火墙在业务接口down,触发防火墙主备倒换,Ping丢包,备防火墙目前处于主的状态,未收到Ping请求,也未收到Ping响应。
　　
　　2、交换机和主防火墙在业务接口undo shutdown,这时主防火墙处于恢复抢占期间(等待抢占时间1分钟),Ping丢包,备防火墙处于主的状态,收到Ping请求并转发去内网,但是未收到Ping响应。
　　
　　3、Ping丢包期间,防火墙流统显示自身未丢包。
　　
　　处理过程
　　
　　在主备防火墙上配置hrp track vlan xx,测试主备倒换的效果。备墙vlan xx不转发任何报文,包括组播和广播报文
　　
　　hrp enable
　　
　　hrp interface GigabitEthernetxx remote xxx
　　
　　hrp mirror session enable
　　
　　hrp auto-sync config static-route
　　
　　hrp standby config enable
　　
　　hrp track interface GigabitEthernet xxx
　　
　　hrp track interface GigabitEthernet xxx
　　
　　hrp track vlan xx
　　
　　经测试,在主备防火墙上配置hrp track vlan xx,主备倒换过程中丢1个包
　　
　　根本原因
　　
　　防火墙工作在二层时，为了让VGMP管理组能够监控二层业务接口的状态，需要将上下行业务接口加入同一个VLAN，并配置hrp track vlan
　　
　　镜像模式双机热备中，主备机都需要配置hrp track vlan，否则备机的VLAN不会被禁用，仍然会转发报文。