HA 共享单一 License
HA 共享单一 License
重要
- 此功能在 FortiOS 7.2.9、7.4.6、7.6.1 及更高版本支持。
- 在 FortiOS 7.2.12 和 7.4.9 及之后版本上,支持把 FortiToken 绑定到 vSN。之前的版本无法将 FortiToken 绑定在 vSN 上。
功能介绍
FortiGate A - P 模式的 HA 现在支持为以下型号的 HA 成员共享单个 FortiGuard 服务 License:
- 40F - HA 及衍生型号
- 60F - HA 及衍生型号
- 70F - HA 及衍生型号
- 80F - HA 及衍生型号
- 100F - HA 及衍生型号(100F - HA 在 7.2.12、7.4.8、7.6.3 及更高版本支持)
在这之前,客户需要为 HA 成员的每台设备单独购买 License,如果两台设备的服务到期时间不一致,会以较短的那台为准。
现在,当客户购买两台 FortiGate 设备组成 A - P HA 集群时(如 2 x FortiGate-40F-HA),以上型号可以共享一个 FortiGuard 服务 License(如 1x FC-10-0040F-809-02-DD),无需为每台设备单独购买,可共享的服务只支持如下三种:
- Enterprise Protection
- Unified Threat Protection (UTP)
- Advanced Threat Protection (ATP)
两个 FortiGate 序列号将在 FortiCare 中关联,FortiCare 系统会将两台设备的序列号绑定,生成一个虚拟序列号(vSN),上述服务将注册至这个 vSN,而非单个设备的序列号。
实施步骤
重要
HA vSN 集群的建立方式有所限制:
- 仅支持 HA A - P 模式,其他部署模式(如 Active-Active)不适用。
- FortiGate-HA(如 FortiGate-40F-HA)是单独的 SKU,您必须购买带有“HA”后缀的特定型号设备(如 2 * FortiGate-40F-HA,这种设备是成对出售的),才能组成 HA vSN 集群。
- 不带“HA”后缀的普通型号设备(如 FortiGate-40F)无法组成 HA vSN 集群。即使您之前已经购买了两台不带“HA”后缀的设备,它们也无法组成 HA vSN,这种设备必须单独购买服务。
注册 HA 设备
访问 https://support.fortinet.com/asset/#/dashboard 并使用要注册设备的 FortiCloud 账号登录。
点击页面上的“Register Now”按钮。
在“Registration Code”中,输入一对 FortiGate-HA 其中任意一台(Device 1)的序列号,选择“End User Type”,然后点击“Next”。
填入“FortiCloud Key”(从机身粘贴的标签上获取),HA single license 的注册代码(从购买的 HA license PDF 文件中获取),然后点击“Next”。
随后会生成 HA 的 vSN,并显示 HA 另一台设备(Device 2)的序列号。
注册完成,显示 HA 的 vSN 和两台成员设备的真实序列号。
注册完成后,vSN 会出现在设备列表中。
订阅的服务授权(如 UTP/ATP)绑定到了 vSN,而非成员设备。
HA 设备配置
将两台设备组成 A - P 模式的 HA,参考“HA 双机热备 → HA 典型基础配置(FGCP)”。
在 HA 任意一台设备的 CLI 下敲入如下命令(主备机会同步该配置):
config system ha set mode a-p //仅适用于A-P HA集群,其他部署模式(Active-Active集群)不适用// set logical-sn enable //必须启用以支持共享许可证// endHA 与 FortiGuard 同步完成后,通过如下 CLI 可以看到 HA 的
logical serial number,这就是 HA 的 vSN。FortiGate-70F # get system ha status HA Health Status: OK Model: FortiGate-80F Mode: HA A-P Group Name: Branch1-HA Group ID: 100 Debug: 0 Cluster Uptime: 0 days 2h:33m:2s ...... vcluster 1: work 169.254.0.1 Primary: FGT70FTK22023xxx, HA operating index = 0 Secondary: FGT70FTK20000xxx, HA operating index = 1 Logical Serial Number: FGT70FHA24090xxx FortiGate-70F # diagnose system ha dump-by debug-zone HA information. is_manage_primary=1,manage_vd=root,ip=169.254.0.1,num=2,nvcluster=1,jiffies=938038. logical serial number is FGT70FHA24090xxx, local serial number is FGT70FTK22023xxx, member's serial number is FGT70FTK20000xxx如果 HA 未启用
logical-sn,License 将会无法更新成功,diagnose debug application update -1会有以下报错。upd_status_extract_contract_info[1309]-pending registration(1) support acct() company() industry() upd_status_extract_contract_info[1317]-valid contract percent=11% installUpdObjRest[846]-Step 9:Delete backup /tmp/update.backup upd_install_pkg[1404]-FSCI000(contract) installed successfully upd_pkg_get_obj_resp_code[1669]-No response code for obj FSSI000 upd_install_pkg[1372]-Failed to find resp code for FSSI000 upd_status_save_status[135]-try to save on status file upd_status_save_status[201]-Wrote status file __upd_act_update[312]-Failed installing pkg upd_comm_disconnect_fds[498]-Disconnecting FDS 149.5.232.66:443 [206] __ssl_data_ctx_free: Done [1094] ssl_free: Done [198] __ssl_cert_ctx_free: Done [1104] ssl_ctx_free: Done [1085] ssl_disconnect: Shutdown upd_act_HA_contract_info[747]-Error updating FSCI -1 __update_upd_comp_by_settings[495]-Disabling NIDSDB/ISDB/MUDB components. do_update[720]-UPDATE failed calculate_next_update_time_auto[192]-interval=60, cur_time=Fri Jun 13 18:21:00 2025 , next_update=Fri Jun 13 18:21:00 2025此外,“系统管理 → FortiGuard”和“系统管理 → 高可靠性”页面也可以查看 HA 的 vSN。
注意事项
如果 HA 型号的设备加入了 FortiGate Cloud,如下所示。
config system central-management set type fortiguard endFortiGate Cloud 可能会自动向 HA 设备推送 HA 配置(不需要手动配置,使用的 HA 心跳接口为设备接口数字最大的接口),如下所示,其中也包含
logical-sn配置。config system ha set group-id 994 set group-name "ZTP-VSN-HA-194" set mode a-p setpassword ENC xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx set hbdev "lan3" 50 set override disable set logical-sn enable end默认配置下,推送的 HA 配置无法修改(即使手动修改也会被 FortiGate Cloud 推送的模板配置覆盖)。如果需要 HA 两台设备单独使用,或自定义 HA 配置,则需要关闭 FortiGate Cloud 的配置推送功能(默认开启),之后就可以手动配置 HA 功能。
config system central-management set allow-push-configuration disable end也可以关闭 FortiGate Cloud 管理功能。
config system central-management set type none end