飞塔防火墙HA配置

FortiGate HA功能说明

1．1 主用－备用模式

FortiGate防火墙HA的主用－备用(A-P)模式提供了一个双机热备份集群的机制来对网络连接进行可用性保护，在HA集群里面只有一台主用设备在处理所有的网络流量，其他的一台或几台则处于备用状态FortiGate不处理任何网络流量只是在实时的监控着主用FortiGate是否仍然正常工作。

备机主要的工作有：

∙实时和主用FortiGate同步配置；

∙监控主用FortiGate状态；

∙如果启用了会话备份功能（session pick-up）的话，备用设备需要实时同步主用设备上的会话以确保在主用设备出现问题是可以透明接替主用

设备，所有主用设备上已经建立的会话不需要重新建立，会话备份功能目前可以支持没有启用防火墙保护内容表的所有TCP/UDP/ICMP/多播/广播数据流；

∙如果没有启用了会话备份功能（session pick-up）的话，备用设备不会实时同步主用设备上的会话，所有主用设备上已经建立的会话在发生HA 切换时需要重新建立；

1．2 主用－主用模式

第1 页共14 页

A-P模式部署的防火墙虽然有多台在网但实际上只有一台设备在工作其他所有的设备都在实时的监控主用机发生故障才会有一台接替工作，这样带来的一个问题是设备资源利用率不足。FortiGate防火墙HA功能同时提供了主用－主用（A-A）模式，也就是在所有HA集群中的所有设备都同时工作以同时达到负载均衡和热备份的功能，在A-A集群里面默认配置下的主设备不会负载均衡没有启用保护内容表的流量给非主工作设备，它只会负载均衡所有的启用了防火墙保护内容表的网络连接，处理时它会先接收下来所有的流量同时根据负载均衡配置把相关连接动态分配给其他的非主工作设备处理。这样处理的原因是：通常启用了防火墙保护内容表的网络连接才是CPU和内存消耗主要来源，这样可以大大增加A-A部分是集群的高层安全处理能力。

实际上也可以开启A-A集群负载所有TCP网络流量的功能，需要进入命令行下面开启HA的load-balance-all功能就可以了。

FortiGate防火墙HA的A-A集群不支持UDP/ICMP/多播/广播流量的负载均衡功能，也不支持VoIP、IM、IPSec VPN、HTTPS和SSL VPN负载均衡功能，所有的以上流量都将只有A-A集群里面的主工作设备处理。

FortiGate防火墙HA的A-A集群会话备份功能（session pick-up）支持没有启用防火墙内容保护表的TCP流量，并不提供基于防火墙内容保护表的流量的会话备份功能（session pick-up），也不支持UDP/ICMP/多播/广播流量会话备份功能（session pick-up）。

第2 页共14 页

第 3 页 共 14 页

下图显示了一个典型的包含了2台FGT3600的HA 部署结构：

2．关于设备故障切换和链路故障切换

2．1 什么是设备故障切换

在FortiGate

防火墙A-P 模式部署中，主用设备处理所有的网络流量，当主用设备出现故障时，如断电，死机，重启等等，备用设备就会自动接替主用设备工作并成为新的主用设备。

2．2 什么是链路故障切换

配置的监控口（monitor interface ）如果出现故障，HA 集群就会知道哪个设备上已有网口故障，如果发生网口故障的是一个主用设备，那么HA 就会发生切换，备用设备就会主 动接替主用设备工作以确保网络的连通性。监控端口（monitor interface ）是FortiGate HA 配置的一部分，建议最好把需要监控的

接口全部都配置上，这样其中任意接口出现故障都可以触发HA切换；可以把一些无关紧要的接口不配置监控功能，这样这些无关紧要的接口出现故障时并不发生HA切换。在所有的HA集群中间，拥有最少的监控的故障接口的设备将会成为主用设备，如果有些设备监控的故障接口数量一致，将按照通常的HA主用设备选举过程产品HA主用设备。备用设备监控接口发生故障时并不发生HA 切换而仅仅是把接口故障信息共享同步到所有的HA集群设备里面去，以备发生其他故障时使用。

3．HA集群的Fireware升级

HA集群Web界面里面或这CLI界面下的升级方法和单机的升级方法是一样的，在升级一个HA集群时，升级程序会把所有的集群里面的FortiGate都升级起来包括A-A或A-P模式里面的主用和备用设备，默认配置下HA集群的升级是一个完全无中断的升级过程，这种情况下，升级程序会先把HA集群里面的备用设备升级，等所有的备用设备一台一台全部升级并且重启完成后重新加入到HA集群的时候才升级主用设备，这个时候备用设备就可以接替主用设备工作从而不会导致fireware升级过程中中断网络。

如果有必要，你也可以手工的停止HA集群默认的无中断升级功能，这样，升级程序会同时升级所有的HA集群设备从而产生网络中断。

注意：使用串口用TFTP服务器烧FortiGate版本的时候不在上述升级范围内。4．HA 配置

第4 页共14 页

4．1 HA的运行模式

包括单机模式，主用-备用模式（A-P）和主用-主用模式（A-A）。

4．2 设备优先级

这是一个可选参数，所有的HA集群里面的设备都可以配置一个不同优先级，在HA协商过程中用来确定谁是主谁是备。

4．3 HA组名

用来区分不同的HA集群，最长支持7个字符。

4．4 HA同步密码

选配参数，用来HA设备间进行认证使用。

4．5 HA会话备份功能（session pick-up）

启用HA会话备份功能（session pick-up）之后，当主用设备出现故障时，备用设备接替工作，所有的非启用保护内容表的连接可以被备用设备接着处理，不重新开始。

4．6 HA接口监控功能

用来监控FortiGate接口是否正常工作从而触发HA集群切换的功能。4．7 HA心跳口及优先级

第5 页共14 页