HA是為了避免當你的設備故障時，你的網路可能就會下線了，等你換好設備上去開完機，也許就幾個小時過去了，這時候你就需要HA(可以用Active-Passive模式)。當然你的fortigate效能不足時，也可以用HA的方式來分擔效能，這也是另外的一個做法(這就要走Active-Active模式)

何謂AA跟AP?

防火牆HA可以支援到兩台或是四台防火牆做HA。但是前提是

• 這幾台設備型號要一致
• 韌體版本要一致
• 授權要一致
• 每台fortigate設備上連接的各個port位置要一樣(如:同樣的wan1 同樣的Internal1之類)

設定可以設定Active-Active跟Active-Passive兩種Active-Passive就是你不管有幾台防火牆組HA，永遠只會有一台防火牆當成主要的primary防火牆，其他台就都只是待命狀態，當這台主要的故障時，他才會在挑一台起來當主要的。而AA模式的就是大家一起上，雖然流量還是都會先跑到某一台防火牆去(因為user大家gateway都設在他那)，但是他會把運算再丟去其他台分擔運算。

斷線時誰繼位當primary?

當主要的Fortigate下線或是斷線時，系統不是隨機選一台來上位，而是根據下面的流程看誰贏來決定誰要上位來接手。(Override停用時)

1. monitored port 你在設定HA時就可以設定了，是看誰上線的多誰贏
2. HA Uptime是看誰開機比較久，表示誰比較穩，就贏
3. Priority你在設定HA時就可以設定了，是看誰數字大誰贏，預設給128
4. 序號: 要是你啥都沒改… 最終也會在設備序號這邊分出勝負

Override啟用時

這時候你就會發現Priority這個規則被移到前面一點了，其餘一樣。

HA不同步的部分

• 主機名稱
• 管理介面
• 首頁儀錶板小工具
• HA override
• HA 設備的priority
• 設備的授權Licence

虛擬MAC 地址

當你啟用HA時，每個介面都會被分配一個虛擬MAC地址(不包含heartbeat介面)，這是為了在故障轉移時，才不會遇到其他上下層路由器發現怎mac 改變了而被鎖之類