Fortinet FortiGate 500, Installation And Configuration Manual, Page: 71 / 276

FortiGate-500 安装和配置指南 2.50 版
FortiGate-500 安装和配置指南
59
高可用性
Fortinet 通 过使用 冗余 的 硬 件设备和 FortiGate 聚 合 协议 （ FGCP ） 实 现高可用性
（ HA ）的目标。 HA 簇 中的 FortiGate 设备全部使用 完 全 相 同 的安全 策略 ， 并 共享 同样
的设置内容。您可以在一个 HA 簇 中 最 多 加 入 32 个 FortiGate 设备。 HA 簇 中的 每 个
FortiGate 设备 必 须 是同 一型号的， 并 且 运 行 同 一版本的 FortiOS 固 件 映像 。
FortiGate HA 是 一 种 设备 冗余 。如果 HA 簇 中的 某 个 FortiGate 设备出现 故障 而失
效 ， 这 个设备的全部 功 能、所有 已 经 建立 的防火墙连接和所有 IPSec VPN 会 话
1
将由 这
个 HA 簇 中的其他 FortiGate 设备 维 持。
在 这 个 HA 簇 中的 FortiGate 设备使用专用的 HA 以 太 网接口 进 行 簇 会 话 信息 通讯 和
报告各自的系统 状态 。 这 个 HA 簇 中的设备会一 直 进 行 HA 状态 信息 通讯 以保证 HA 簇 工
作 正常 。因 此 ，在 这 个 HA 簇 中全部 FortiGate 设备的 HA 接口之 间 的连接 必 须 妥 善 地
维 护。 这 些通讯 的任何中 断 都 将导致不可 预 知 的 后 果。
您可以连接到 主 FortiGate 的任何接口 去 管理 HA 簇 。
FortiGate 设备可以设置 为 以 主 动 - 被 动 （ A-P ）模式或 主 动 - 主 动 （ A-A ）模式
运 行。 NAT/ 路由模式和透明模式 下 的 FortiGate 设备 都 支持 主 动 - 主 动模式和 主 动 -
被 动模式的 HA 。
本 章 提 供了 一个关于 HA 功 能的 概 述 ， 并 描 述 了 在 NAT/ 路由模式和透明模式 下 如何
创建 一个 HA 簇 。
· 主 动 - 被 动 HA
· 主 动 - 主 动 HA
· NAT/ 路由模式 下 的 HA
· 透明模式 下 的 HA
· 管理 HA 组
· 高 级 HA 选项
主 动 - 被 动 HA
主 动 - 被 动 (A-P) 式的 HA ， 也 可以 称 作 热 备 份 型的 HA ，它包含 了 一个 负责 处理 通
讯 的 主 FortiGate 设备，和一个或多个不处理 通讯 的 附 属 FortiGate 设备。 附 属
FortiGate 设备 通 过网络 与主 FortiGate 设备连接。
在启动过程中， 同 一个 HA 簇 中的 成员 会 彼 此协 商，以选出一个 主 设备。 主 设备可
以 允 许其他 FortiGate 设备 作为 附 属 设备 加 入 这 个 HA 簇 ， 并为 每 个 附 属 设备 分 配 优 先
权。
1.HA
不能 为
PPPoE, DHCP, PPTP,
和
L2TP
服务提 供 会 话失效恢复 。