Fortinet 1000 User Manual
FortiGate-1000 安装和配置指南 2.50 版
FortiGate-1000 安装和配置指南
57
高可用性
Fortinet 通过使用冗余的硬件设备和 FortiGate 聚合协议 (FGCP)实现高可用性
(HA)的目标。HA 簇中的 FortiGate 设备全部使用完全相同的安全策略,并共享同样
的设置内容。您可以在一个 HA 簇中最多加入 32 个 FortiGate 设备。HA 簇中的每个
FortiGate 设备必须是同一型号的,并且运行同一版本的 FortiOS 固件映像。
FortiGate 设备必须是同一型号的,并且运行同一版本的 FortiOS 固件映像。
FortiGate HA 是一种设备冗余。如果 HA 簇中的某个 FortiGate 设备出现故障而失
效,这个设备的全部功能、所有已经建立的防火墙连接和所有 IPSec VPN 会话
1
将由这
个 HA 簇中的其他 FortiGate 设备维持。
在这个 HA 簇中的 FortiGate 设备使用专用的 HA 以太网接口进行簇会话信息通讯和
报告各自的系统状态。这个 HA 簇中的设备会一直进行 HA 状态信息通讯以保证 HA 簇工
作正常。因此,在这个 HA 簇中全部 FortiGate 设备的 HA 接口之间的连接必须妥善地
维护。这些通讯的任何中断都将导致不可预知的后果。
作正常。因此,在这个 HA 簇中全部 FortiGate 设备的 HA 接口之间的连接必须妥善地
维护。这些通讯的任何中断都将导致不可预知的后果。
您可以连接到主 FortiGate 的任何接口去管理 HA 簇。
FortiGate 设备可以设置为以主动 - 被动 (A-P)模式或主动 - 主动 (A-A)模式
运行。NAT/ 路由模式和透明模式下的 FortiGate 设备都支持主动 - 主动模式和主动 -
被动模式的 HA。
被动模式的 HA。
本章提供了一个关于 HA 功能的概述,并描述了在 NAT/ 路由模式和透明模式下如何
创建一个 HA 簇。
主动 - 被动 HA
主动 - 被动 (A-P) 式的 HA,也可以称作热备份型的 HA,它包含了一个负责处理通
讯的主 FortiGate 设备,和一个或多个不处理通讯的附属 FortiGate 设备。附属
FortiGate 设备通过网络与主 FortiGate 设备连接。
FortiGate 设备通过网络与主 FortiGate 设备连接。
在启动过程中,同一个 HA 簇中的成员会彼此协商,以选出一个主设备。主设备可
以允许其他 FortiGate 设备作为附属设备加入这个 HA 簇,并为每个附属设备分配优先
权。
权。
1.HA 不能为 PPPoE, DHCP, PPTP, 和 L2TP 服务提供会话失效恢复。