实验一: 最简单的HA 切换

 

 

首先配置 HA ,相同的HA 组名,相同的HA 密码, 同为 A-P 模式,相同的HA接口。

不同的防火墙设备名称,不同的优先级(FW1 250,FW2 200)。最好先不要配置侦听口。

HA线一插,过一会,登陆HA优先级高的设备。OK。成为主设备。然后在点侦听口。

这里侦听 port11 和 port 12 两个口。

默认情况下 fortigate 是不设置抢占的。所以默认为:

存活侦听口 >  age > 优先级 >防火墙S/N

 初始时,侦听口相同,11、12 都为up,age 相同,看优先级。优先级高的为主。

FW1 成为主设备,然后拔掉 FW1 上的 11口。 设备发生切换。 FW2 成为主设备。(注: 此时FW1 上的所有口物理为UP,可是不发送数据包。)

再将FW1 的 11口插回,设备 FW2 仍为主设备。 因为这里没有设置抢占。

 

实验二 : 设置抢占的HA。

Fortigate 设置抢占必须在命令行下进行。

FW 1#config sys ha

FW 1(ha)# set override enable

注意: HA 配置并不会自动在防火墙间同步。这里我是在优先级高的设备上设置了抢占。也就是在FW1 上。 FW2 对这个配置并没有同步。不过FW2就算是设置了抢占也没有用。

现在当FW 1 的11口再插上去的时候。 FW 1 就将再次成为主设备。

 实验三:VDOM 下的 HA。

将FW, 分成两个VDOM,VDOM1  下有接口port 10 11,VDOM2 下有接口port15 16。分别侦听这四个端口。

 

 

port 9 未侦听,用来 https 配置的。

 

这里重点是 TEST1 和TEST2 都属于同一个虚拟集群。

如果主的 port 10 11 15 16 中的任何一个down了,都会切。 VDOM 1 2 都切。

 

现在我将 TEST-2 放入到虚拟集群2中。

 

 出现了真正的两组墙。(虚拟域。。。虚拟集群)

 

这时候虚拟集群二,我们侦听port 15 16.

这个时候我DOWN掉 主的 port 15 看看。

 

虚拟集群1 中的 root 和 TEST-1 VDOM 没有切。

而 TEST -2 切了。

看来这个是由 虚拟集群来区分的。