HA 工作模式和配置要求

工作模式

Active-Passive (A - P) 模式

1. 集群中的所有防火墙必须工作在同一个模式下。可以对运行中的 HA 集群进行模式的修改，但会造成一定的延时，因为集群需要重新协商并选取新的主设备。A - P 模式提供了备机保护。HA 集群中由一台主设备，和一台以上的从设备组成。

2. 从设备与主设备一样连接到网络，但不处理任何的数据包，从设备处于备用状态。从设备会自动同步主设备的配置，并时刻监视主设备的运行状态。整个失效保护的过程是透明的，一旦主设备失效，从设备会自动接替其工作。如果设备的接口或链路出现故障，集群内会更新链路状态数据库，重新选举新的主设备。

3. 通常建议部署 A - P 模式。

Active-Active (A - A) 模式

1. A - A 模式下会对占用资源较多的进程进行在各个设备中进行分担。需要处理协议识别、病毒扫描、ips、网页过滤、邮件过滤、数据防泄露、应用程序控制、VoIP 内容扫描、协议保护（HTTP/HTTPS/FTP/IMAP/IMAPS/POP3/SMTP/SMTPS/IM/NNTP/SIP/SIMPLE/SCCP）、协议控制等。通过对如上内容的负载均担，A - A 模式可以提供更高的 UTM 性能。安全策略中的终端控制，流控，用户认证功能，在 A - A 模式下没有什么提高效果。其他非 UTM 功能不会进行负载分担，还是由主设备进行处理。
2. A - A 模式下，集群中的主设备负责对所有通信会话的处理，然后将部分负载分发到所有备机上。备机可以说是活动的，因为要处理 UTM 的相关会话。但备机只处理由主设备分配的数据，不会响应 ARP 等。其他方面 A - A 模式和 A - P 模式是相同的。
3. 除非单台设备的 UTM 性能不满足要求，通常建议部署 A - P 模式。

单机配置同步、单机会话同步模式（FGSP）

从 5.0 版本开始，全新 NGFW 下一代防火墙支持单机配置同步、会话同步功能，在一些应用场景中它可以代替双机 HA 功能，实现控制异步流量的目的。

注意在 FGSP + 虚拟接口对（VWP）/透明模式 + UTM 检测开启的部署环境下，只支持 TCP 流量，不支持 UDP/ICMP 协议流量。

HA 配置要求

1. 进行 HA 配置， 硬件和软件版本需满足如下要求：

   • 防火墙硬件型号相同。
   • 同型号硬件要求硬件版本、内存容量、CPU 型号、硬盘容量等相同。
   • 相同的固件版本。 -HA 的所有成员必须注册在同一 FortiCloud 账号下，否则 HA 虽然可以建立，但无法通过 FortiGuard 更新。

2. 假如 HA 的两台 FGT 存在上述不一致的情况，那么会出现两端无法同步或无法更新等问题。