120G/121G HA 心跳口问题

问题现象

在使用 FortiOS 7.2.9/7.2.10 版本的 120G/121G 设备上配置 HA，且 HA 心跳接口使用“ha”或“mgmt”接口时，会出现如下问题：

1. “系统管理 → 高可靠性”页面无法正常打开，一直处于加载状态。

2. 两台 120G/121G 设备的 HA 状态一直无法成为“Synchronized”（同步）状态，如下所示（在主机 FG120GTKXXYYZZ50 查看 HA 状态），备机 FortiGate (FG120GTKXXYYZZ59) 的状态在 1721194954 秒前更新，checksum dump 为 00。这表明 FortiGate 设备之间存在心跳连接问题。

   FG120GTKXXYYZZ59 # get system ha status 
   HA Health Status: OK 
   Model: FortiGate-120G 
   ......
    Configuration Status: 
       FG120GTK24001650(updated 1 seconds ago): in-sync 
       FG120GTKXXYYZZ50 chksum dump: 29 e0 e4 32 6c 76 99 68 2b ed 8b bc c1 2d 2c 37  
       //FG120GTKXXYYZZ59(updated 1721194954 seconds ago): out-of-sync//<<----备机无法同步
       //FG120GTKXXYYZZ59 chksum dump: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00//<<----checksum dump为00
   ......
   HBDEV stats:
       FG120GTK24001650 (updated 1 seconds ago):
           ha: physical/1000auto, up, rx-bytes/packets/dropped/errors=121750988/234138/0/0, tx=120280738/235391/0/0
       //FG120GTKXXYYZZ59 (updated 1721194954 seconds ago)://<<----更新时间异常
   Primary : FortiGate-120G , FG120GTK24001650, HA cluster index = 1 
   Secondary : , FG120GTKXXYYZZ59, HA cluster index = 0 
   number of vcluster: 1 
   vcluster 1: work 169.254.0.2 
   Primary: FG120GTK24001650, HA operating index = 0 
   Secondary: FG120GTKXXYYZZ59, HA operating index = 1

问题原因

当使用“ha”或“mgmt”接口用作 HA 心跳接口时，FortiGate 无法正常更新 HA 逻辑接口“port_ha”的 MAC 地址。这是一个 FortiOS 7.2.9/7.2.10 版本的 bug（参考：https://docs.fortinet.com/document/fortigate/7.2.9/fortios-release-notes/236526/known-issues ，Bug ID 1056138）。

解决方法

1. Workaround：暂时使用“ha”和“mgmt”以外的接口作为 HA 心跳接口。
2. 该问题已在 FortiOS 7.2.11/7.4.5/7.6.1 版本解决。