实验一: 最简单的HA 切换
首先配置 HA ,相同的HA 组名,相同的HA 密码, 同为 A-P 模式,相同的HA接口。
不同的防火墙设备名称,不同的优先级(FW1 250,FW2 200)。最好先不要配置侦听口。
HA线一插,过一会,登陆HA优先级高的设备。OK。成为主设备。然后在点侦听口。
这里侦听 port11 和 port 12 两个口。
默认情况下 fortigate 是不设置抢占的。所以默认为:
存活侦听口 > age > 优先级 >防火墙S/N
初始时,侦听口相同,11、12 都为up,age 相同,看优先级。优先级高的为主。
FW1 成为主设备,然后拔掉 FW1 上的 11口。 设备发生切换。 FW2 成为主设备。(注: 此时FW1 上的所有口物理为UP,可是不发送数据包。)
再将FW1 的 11口插回,设备 FW2 仍为主设备。 因为这里没有设置抢占。
实验二 : 设置抢占的HA。
Fortigate 设置抢占必须在命令行下进行。
FW 1#config sys ha
FW 1(ha)# set override enable
注意: HA 配置并不会自动在防火墙间同步。这里我是在优先级高的设备上设置了抢占。也就是在FW1 上。 FW2 对这个配置并没有同步。不过FW2就算是设置了抢占也没有用。
现在当FW 1 的11口再插上去的时候。 FW 1 就将再次成为主设备。
实验三:VDOM 下的 HA。
将FW, 分成两个VDOM,VDOM1 下有接口port 10 11,VDOM2 下有接口port15 16。分别侦听这四个端口。
port 9 未侦听,用来 https 配置的。
这里重点是 TEST1 和TEST2 都属于同一个虚拟集群。
如果主的 port 10 11 15 16 中的任何一个down了,都会切。 VDOM 1 2 都切。
现在我将 TEST-2 放入到虚拟集群2中。
出现了真正的两组墙。(虚拟域。。。虚拟集群)
这时候虚拟集群二,我们侦听port 15 16.
这个时候我DOWN掉 主的 port 15 看看。
虚拟集群1 中的 root 和 TEST-1 VDOM 没有切。
而 TEST -2 切了。
看来这个是由 虚拟集群来区分的。
