HA 配置命令集
2025/10/29大约 4 分钟
HA 配置命令集
HA 配置命令 config system ha,如下是常用的配置命令。
| 配置参数 | 参数说明 |
|---|---|
| set group-id 0 | 配置 HA 机群的组 ID,一个机群内的成员必须有相同的组 ID。该 ID 会成为生成防火墙接口的的虚拟 MAC 的一个组成因素,因此当同一个广播域有2组以上的 HA 机群的时候需要配置不同的组 ID, 防止 MAC 地址冲突 |
| set group-name "FGT - HA" | 一个集群内的成员必须有相同的组名字 |
| set mode standalone/a-a/a-p | HA 工作模式,常用为 a-p 模式。AA 模式下在 HA 状态中查看到 HA 的角色,有主设备及从设备, 通常会被认为工作在主被模式下, 实际上主主下设备虽然都在工作, 仍会有一台作为集群的主设备用来控制和分配流量和会话给集群中的其他设备。AA 模式默认情况下仅负载均衡 UTM 的流量, 所以在下不使用 UTM 功能时建议使用 AP 模式 |
| set password | 一个集群内的成员必须有相同的密码 |
| set hbdev "port1" 50 "port2" 50 | 配置心跳接口。其中 50 为优先级,优先级高的被优先使用 |
| unset session-sync-dev | 可以配置专门的心跳接口用于会话信息同步,默认和控制信息为同一心跳接口 |
| set route-ttl 10 | 当一个备机被选举成主机后,其从原主机同步来的转发表的存活时间,单位秒。 HA 设备之间只同步转发表,不同步路由表。随后新主机通过静态或动态路由协议生成新的转发表,继续工作。 建议在 HA + 动态路由环境下,配置为较长时间(可以覆盖新主机动态路由邻居建立与学习的时间,如 120s)。 |
| set route-wait 0 | 主设备收到新的路由条目后,会等待 x 秒后,再同步给从设备 |
| set route-hold 10 | 主设备进行2次路由同步之间的间隔,防止路由震荡而造成反复更新路由 |
| set sync-config enable | 配置文件自动同步,需要开启 |
| set encryption disable | 是否允许使用 AES-128 和 SHA1 对心跳信息进行加密和完整性验证 |
| set authentication disable | 是否使用 SHA1 算法验证心跳信息的完整性 |
| set hb-interval 2 | 发送心跳数据包的间隔,单位为每 100ms. 如配置 2, 则每 200ms 发送一个心跳信息 |
| set hb-lost-threshold 6 | 心跳信息连续丢失6个后则认为对方不再存活 |
| set helo-holddown 20 | Hello 状态时间。设备加入 HA 机群前等待的时间,防止由于未能发现所有的机群成员而造成 Ha 的反复协商 |
| set arps 5 | 设备成为主设备后,要发送免费 arp 来宣布自己的 MAC 地址,以便相连的交换机能够及时更新 MAC 地址表,该参数用于配置其发送的数量 |
| set arps-interval 8 | 发送免费 arp 的间隔,单位秒 |
| set session-pickup enable/disable | 关闭或者开启会话同步,默认为 disable。一般需要开启 |
| set session-pickup-delay {enable/disable} | 仅对存活 30 秒以上的会话进行同步。开启后会对性能有所优化,但小于 30 秒的会话在 HA 切换的时候会丢失。默认为关闭,谨慎使用 |
| set link-failed-signal disable | 防火墙上发生被监控端口失效触发 HA 切换的时候,是否将除心跳口外的所有端口 shutdown 一秒钟的时间,便于与之相连的交换机及时更新 MAC 表。 |
| set uninterruptable-upgrade enable | 是否允许无中断升级 OS。系统自动分别对机群内的设备升级,并自动切换,不会造成业务的中断 |
| set ha-uptime-diff-margin 300 | 当进行 HA 选举时,启动时间为一个选举的一个参数,当2台设备启动时间差小于 300 时则将该部分差异忽略,视为相同 |
| set override disable | 默认为 disable,HA选举按如下顺序进行比较:有效接口数量 > 运行时间 > HA 优先级 > 设备序列号。Enable 情况下,讯据顺序改变。有效接口数量 > HA 优先级 > 运行时间 > 设备序列号。每次设备加入或者离开机群,都会强制整个机群重新进行主设备的选举 |
| set priority 128 | HA 优先级,为便于管理,建议主设备 200, 从设备 100 |
| set monitor port3 port4 | 配置需要被监控的端口,其有效数量多的设备成为主设备 |
| unset pingserver-monitor-interface | 是否设置 pingserver 监控端口 |
| set pingserver-failover-threshold 0 | pingserver 触发的阀值,0 则意味着任何的 pingserver 失效都会触发 HA 的切换 |
| set pingserver-flip-timeout 60 | 两次 pingserver 失效切换之间的间隔。如 A 发生失效,切换到 B. 切过去之后发现 B 也是失效的,则需要等待 60 分钟的时间允许切换回 A |
| set ha-mgmt-status enable HA 的带外管理配置命令 | set ha-mgmt-status enable set ha-mgmt-interface port1 set ha-mgmt-interface-gateway x.x.x.x |