F-G1. HA 双机热备 ❀ 飞塔 (Fortinet) 防火墙

         【简介】双机热备特指基于高可用系统中的两台设备的热备（或高可用），设备可以包括交换机、防火墙、服务器等，因两机高可用在国内使用较多，故得名双机热备。双机高可用按工作中的切换方式分为：主-备方式（Active-Standby方式）和双主机方式（Active-Active方式），主-备方式即指的是一台设备处于某种业务的激活状态（即Active状态），另一台设备处于该业务的备用状态（即Standby状态)。而双主机方式即指两种不同业务分别在两台设备上互为主备状态（即Active-Standby和Standby-Active状态）。

  HA 原理

        互为备份的两台设备会通过备份链路定时向另一台设备发送状态协商报文，协商进入同步状态后开始备份对端设备上的会话、ALG表项和黑名单等重要信息，进入同步状态后某段时间中两台设备上的业务状态是一致的。当其中一台设备发生故障时，在转发层面利用VRRP或动态路由（例如OSPF）机制将业务流量切换到另一台设备，由于另一台设备已经备份了故障设备上的会话等信息，业务数据流便可以从另一台设备上直接通过，从而在很大程度上避免了网络业务的中断。　

        飞塔防火墙的双机热备，要求两台设备的型号、OS版本都完全一致。

  HA 网络结构

        根据企业规模以及需求，我们通常可以将HA双机热备的网络结构这样设计：

        ① 小型企业只做防火墙的双机热备，宽带通过交换机一分为二，分别接入到做双机热备的防火墙，从防火墙出来后接入共用的交换机；

        ② 中型企业分别做防火墙与交换机的的两层双机热备，通过双机热备的核心交换机连接远程网络，再经过防火墙机的双机热备，最后连接多个接入交换机；

        ③ 大型企业则别做防火墙与交换机的的三层双机热备，通过双机热备的核心交换机连接远程网络，再经过防火墙机的双机热备，流出接再接交换机的双机热备。

  HA 主机设置

        飞塔防火墙的HA设置界面比较简单。

        ① 选择菜单【系统管理】－【配置】－【高可靠性】，就可以看到HA的设置界面；

        ② 模式里可选择【主动－被动】和【主动－主动】，通常选择【主动－备动】。在主备模式中，从设备与主设备一样连接到网络，但不处理任何的数据包，从设备处于备用状态。从设备会自动同步主设备的配置，并时刻监视主设备到运行状态。整个失效保护的过程是透明的，一旦主设备失效，从设备会自动接替其工作。如果设备的接口或链路出现故障，集群内会更新链路状态数据库，重新选举新的主设备。在主主模式中，集群中的主设备负责对所有通信会话的处理，然后将部分负载分发到所有从设备上。从设备可以说是活动的，因为要处理UTM的相关会话。但从设备只处理由主设备分配的数据，不会响应arp等。

        ③ 修改单机模式为HA模式的时候，需要确保所有接口的"IP地址模式"处于"自定义"的方式，不能有启用PPPOE和DHCP的方式。选择主备模式后，会出现【储备管理端口的集群成员】选项，这里选择一个接口作为管理端口。

        ④ 输入组名称和密码，选择【启动会话交接】；启用会话交接，主墙和备墙之间实时进行会话信息的同步，当发生HA切换到时候，备墙上有同样的会话信息会对原来的会话进行处理，不会产生会话中断。

        ⑤ 心跳线是用来连接主设备和从设备的，用于配置同步，会话同步，对方存活心跳检测等，建议配置２条或以上的心跳线，以免设备的某个接口损坏而使心跳线不起作用。在用多条心跳线的情况下，优先级高的端口连接的线路优先使用。

        业务端口需要被防火墙监控，当端口出现故障时会进行切换，具有数量多的有效监控端口的设备会作为主墙处理数据。

        端口监控的选项里只出现了独立的端口，并没有出现交换接口，也就是说HA监控不了交换接口，但防火墙默认所有接口的都是交换接口，所以建议将防火墙的接口从交换接口改为独立接口，具体操作方法可以参考：

　　飞塔 (Fortinet) 防火墙配置－修改接口模式

        端口监控应该选择哪个？是内网接口还是外网接口？这和你的HA网络结构有很大关系，比如小型网络，外网通过交换机分别接入主备防火墙，那么端口监控选择外网口，就没有什么意义了，因为连接外网的交换机坏了，或外网断了，就算切换到备机，外网还是一样的断。同理，在小型网络中，防火墙都是接同一个内网交换机，那么端口监控选择内网，交换坏了，就算切换了备机还是接不了内网。只有一种情况下能起作用，那就是防火墙的接口或连接网线出现问题。

        但是如果有二层或三层双机热备，端口监控就可以起到作用了，当交换机的主机出现问题后，整条线路可以切换到备机，不影响使用。

        ⑥ 飞塔防火墙默认交换控制器是打开的，但HA却需要禁用交换控制器；

        ⑦ 通过以上命令可以关闭交换控制器；

        ⑧ 再进行一次完整的设置，首先释放90D的14个内网口，其中13、14口作为心跳线接口，12口作为管理口，1口内网口进行端口监控。

        ⑨ 显示出集群成员界面，说明HA设置好了。

  HA 备机设置

        备机的设置和主机的设置完全一样，唯一不同的是设备优先级，备机的要小一些。

        ① 主机设备优先级是128，备机要比它小，所以设为100。如果两个优先级是一样的，就会以序号大小做为优先级；

        ② 应用成功后，也会出现象主机一样的显示界面，只是序号不同，这个时候可以插上心跳线，注意心跳线不能是直通线，必须是交换线；插上心跳线后，主机的配置就开始导入到备机了，由于储备管理端口还没有设置IP，因此需设置管理端口才能访问备机。

        ③ 在命令模式下设置储备管理端口internal12的IP地址；

        ④ 通过备机的储备管理端口登录，可以看到高可靠性里出现两台设备的信息，主备是按优先级排列的；

  HA 面板灯

        在设备上会一个HA的指示灯，HA没有设置是灯是不亮的。

        当主机或备机设置了HA，但没有接心跳线连接时，设备上的HA灯为红色；

        当主机与备机连接后，HA正常启动，设备上的HA灯为绿色，看到HA灯为绿色，也就知道HA已经开始工作了。

  HA 测试

　　当断开主机连接internal1的网线或关闭主机时，备机自动启动，接替工作。

        可以看到优先级为100的设备现在为主机了，设备之间转换的影响几乎可以忽略。HA双机热备之后，两台设备除了储备管理端口的IP地址可以不同外，其它所有的参数都是相同的。