飞塔防火墙HA详解与配置

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

前言

本文介绍飞塔防火墙的HA配置以及选举机制

一、HA配置

• 拓扑图
  
• 配置

主墙：
config system ha
    set group-id 10
    set group-name "6"
    set mode a-p
    set password 123456
    set hbdev "port1" 0 
    set session-pickup enable
    set override disable
    set priority 250#优先级越大越优先
    set monitor "port2" "port3" #监控接口
end
备墙：
  set group-id 10
    set group-name "6"
    set mode a-p
    set password 123456
    set hbdev "port1" 0 
    set session-pickup enable
    set override disable
    set priority 100
    set monitor "port2" "port3" 
end

二、HA主备选举机制

#注意默认1为主

1. 监控端口中的有效接口数量

有效接口数量即为HA配置中的 set monitor “xxx”
当配置了需要被监控的业务端口之后，具有最多数量的有效监控端口的设备会成为主设备。
在图1中，将R2路由器的eth0/1线路删除后。这时,防火墙2变为主。!（即使此时监控接口重新加入后，防火墙1还不会是主。因为此时没有配置抢占overide）

2. 设备运行时间

运行时间较长到设备会成为主设备。该时间参数是以从上一次设备出现故障以来所正常运行的时间

可通过get system  ha status 命令查看Cluster Uptime: 

因为现在防火墙02为主，通过命令

diagnose sys ha reset-uptime
这也是防火墙手动主备切换的命令

将02防火墙的uptime 重新reset，观察防火墙主备状态,发现01变为主.（注意这里不是把防火墙02的cluster uptime变为0。要理解该时间参数是以从上一次设备出现故障以来所正常运行的时间)
通过get system ha status 命令查看Cluster Uptime:发现01 明显运行时间更长，所以他为主。

3.优先级与序列号

一般情况下，前两个条件已经能够比较出来防火墙的主备
前两个条件相同的情况下，优先级为越大越优先

4.抢占

如果一个设备的优先级较高，同时开启了overide选项，则在有效接口相同的情况下，该设备将始终作为主设备工作。
现在情况下，防火墙01还是为主。并且01优先级为250，02优先级为100

将两端的overide开启之后，断掉R2线路eth0/0

config  system  ha 
set override enable 

此时由于HA选举规则1，所以现在防火墙02为主

恢复线路，因为开启override 此时发现 01状态已经为主