FortiGate-300 安装和配置指南 2.50 版
FortiGate-300 安装和配置指南
55
高可用性Fortinet 通过使用冗余的硬件设备和 FortiGate 聚合协议(FGCP)实现高可用性
(HA)的目标。HA 簇中的 FortiGate 设备全部使用完全相同的安全策略,并共享同样
的设置内容。您可以在一个 HA 簇中最多加入32 个FortiGate 设备。HA 簇中的每个
FortiGate 设备必须是同一型号的,并且运行同一版本的 FortiOS 固件映像。
FortiGate HA 是一种设备冗余。如果HA 簇中的某个FortiGate 设备出现故障而失
效,这个设备的全部功能、所有已经建立的防火墙连接和所有 IPSec VPN 会话1将由这
个HA 簇中的其他 FortiGate 设备维持。
在这个HA 簇中的 FortiGate 设备使用专用的 HA 以太网接口进行簇会话信息通讯和
报告各自的系统状态。这个HA 簇中的设备会一直进行HA 状态信息通讯以保证 HA 簇工
作正常。因此,在这个HA 簇中全部 FortiGate 设备的 HA 接口之间的连接必须妥善地
维护。这些通讯的任何中断都将导致不可预知的后果。
您可以连接到主FortiGate 的任何接口去管理 HA 簇。
FortiGate 设备可以设置为以主动-被动(A-P)模式或主动-主动(A-A)模式
运行。NAT/ 路由模式和透明模式下的FortiGate 设备都支持主动-主动模式和主动-
被动模式的 HA。
本章提供了一个关于 HA 功能的概述,并描述了在NAT/ 路由模式和透明模式下如何
创建一个 HA 簇。
·主动-被动 HA
·主动-主动 HA
·NAT/ 路由模式下的HA
·透明模式下的HA
·管理 HA 组
·高级HA 选项
主动-被动 HA
主动-被动 (A-P) 式的HA,也可以称作热备份型的 HA ,它包含了一个负责处理通
讯的主FortiGate 设备,和一个或多个不处理通讯的附属FortiGate 设备。附属
FortiGate 设备通过网络与主FortiGate 设备连接。
在启动过程中,同一个 HA 簇中的成员会彼此协商,以选出一个主设备。主设备可
以允许其他 FortiGate 设备作为附属设备加入这个HA 簇,并为每个附属设备分配优先
权。
1.HA 不能为 PPPoE, DHCP, PPTP, 和 L2TP服务提供会话失效恢复。