HA工作模式和配置要求
工作模式
Active-Passive (A-P) 模式
集群中的所有防火墙必须工作在同一个模式下。可以对运行中的HA集群进行模式的修改,但会造成一定的延时,因为集群需要重新协商并选取新的主设备。A-P模式提供了备机保护。HA集群中由一台主设备,和一台以上的从设备组成。
从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备的运行状态。整个失效保护的过程是透明的,一旦主设备失效,从设备会自动接替其工作。如果设备的接口或链路出现故障,集群内会更新链路状态数据库,重新选举新的主设备。
Active-Active (A-A) 模式
- A-A模式下会对占用资源较多的进程进行在各个设备中进行分担。需要处理协议识别、病毒扫描、ips、网页过滤、邮件过滤、数据防泄露、应用程序控制、voip内容扫描、协议保护(HTTP/HTTPS/FTP/IMAP/IMAPS/POP3/SMTP/SMTPS/IM/NNTP/SIP/SIMPLE/SCCP)、协议控制等。通过对如上内容的负载均担,A-A模式可以提供更高的UTM性能。安全策略中的终端控制,流控,用户认证功能,在A-A模式下没有什么提高效果。其他非UTM功能不会进行负载分担,将由主设备进行处理。除了UTM功能外,还可以实现对TCP会话进行分担。
- AA模式下,集群中的主设备负责对所有通信会话的处理,然后将部分负载分发到所有从设备上。从设备可以说是活动的,因为要处理UTM的相关会话。但从设备只处理由主设备分配的数据,不会响应arp等。其他方面AA模式和AP模式是相同的。
单机配置同步、单机会话同步模式(FGSP)
从5.0版本开始,全新NGFW下一代防火墙支持单机配置同步、会话同步功能,在一些应用场景中它可以代替双机HA功能,实现控制异步流量的目的。
HA配置要求
进行 HA 配置, 硬件和软件版本需满足如下要求:
- 防火墙硬件型号相同。
- 同型号硬件要求硬件版本、内存容量、CPU 型号、硬盘容量等相同。
- 相同的软件版本。
假如HA的两台FGT存在上述不一致的情况,那么会出现两端无法同步等问题。