120G/121G HA心跳口问题

问题现象

在使用FortiOS 7.2.9/7.2.10版本的120G/121G设备上配置HA，且HA心跳接口使用“ha”或“mgmt”接口时，会出现如下问题：

1. “系统管理→高可靠性”页面无法正常打开，一直处于加载状态。

2. 两台120G/121G设备的HA状态一直无法成为“Synchronized”（同步）状态，如下所示（在主机FG120GTKXXYYZZ50查看HA状态），备机FortiGate (FG120GTKXXYYZZ59) 的状态在1721194954秒前更新，checksum dump为00。这表明 FortiGate 设备之间存在心跳连接问题。

   FG120GTKXXYYZZ59 # get system ha status 
   HA Health Status: OK 
   Model: FortiGate-120G 
   ......
    Configuration Status: 
       FG120GTK24001650(updated 1 seconds ago): in-sync 
       FG120GTKXXYYZZ50 chksum dump: 29 e0 e4 32 6c 76 99 68 2b ed 8b bc c1 2d 2c 37  
       //FG120GTKXXYYZZ59(updated 1721194954 seconds ago): out-of-sync//<<----备机无法同步
       //FG120GTKXXYYZZ59 chksum dump: 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00//<<----checksum dump为00
   ......
   HBDEV stats:
       FG120GTK24001650 (updated 1 seconds ago):
           ha: physical/1000auto, up, rx-bytes/packets/dropped/errors=121750988/234138/0/0, tx=120280738/235391/0/0
       //FG120GTKXXYYZZ59 (updated 1721194954 seconds ago)://<<----更新时间异常
   Primary : FortiGate-120G , FG120GTK24001650, HA cluster index = 1 
   Secondary : , FG120GTKXXYYZZ59, HA cluster index = 0 
   number of vcluster: 1 
   vcluster 1: work 169.254.0.2 
   Primary: FG120GTK24001650, HA operating index = 0 
   Secondary: FG120GTKXXYYZZ59, HA operating index = 1

问题原因

当使用“ha”或“mgmt”接口用作HA心跳接口时，FortiGate无法正常更新HA逻辑接口 “port_ha”的MAC地址。这是一个FortiOS 7.2.9/7.2.10版本的bug（参考：https://docs.fortinet.com/document/fortigate/7.2.9/fortios-release-notes/236526/known-issues ，Bug ID 1056138）。

解决方法

1. Workaround：暂时使用“ha”和“mgmt”以外的接口作为HA心跳接口。
2. 该问题已在FortiOS 7.2.11/7.4.5/7.6.1版本解决。