HA

高可靠性（High Availability），简称为HA，能够在通信线路或设备产生故障时提供备用方案，从而保证数据通信的畅通，有效增强网络的可靠性。实现HA功能，用户需要配置两台采用完全相同的硬件平台、固件版本，均启用VR及防病毒功能、安装防病毒许可证的安全网关，组成HA簇。当一台设备不可用或者不能处理来自客户端的请求时，该请求会及时转到另外的可用设备来处理，这样就保证了网络通信的不间断进行，极大地提高了通信的可靠性。

安全网关支持HA的2种工作模式：Active-Passive（A/P）模式和Active-Active（A/A）模式：

• Active-Passive（A/P）模式：在HA簇中配置两台设备组成一个HA组，组内只有一台主设备。主设备处于活动状态，转发报文，同时将其所有网络和配置信息以及当前会话信息传递给备份设备。当主设备出现故障时，备份设备接替主设备工作，转发报文。这种A/P模式具有较强冗余性，而且其网络结构简单，便于维护管理。
• Active-Active（A/A）模式：当安全设备处于NAT模式、路由模式或两者的组合时，可以将HA簇中的两台设备都配置成主动，使两台设备同时运行各自的工作，且相互监测对方的情况。当其中一台设备发生故障时，另外一台设备运行其自身的工作并且接管故障设备的工作，以保证工作不间断，该模式称为Active-Active模式。这种A/A模式具有高性能以及负载均衡的优点。

HA簇

HA簇是实现HA功能的设备的组合。对于外部网络设备而言，一个HA簇是一个单一的设备，处理网络流量和提供安全服务。HA簇通过簇ID进行标识。为设备指定HA簇ID后，设备进入HA状态，执行HA功能。

HA组

系统会对HA簇中相同HA组ID的设备，按照HCMP协议，根据设备的HA配置，进行主备选举。主设备处于活动状态处理网络流量，而当主设备出现故障时，其它设备代替主设备继续工作。当为安全设备设置簇ID时，组ID为0的HA组会自动创建。在Active-Passive（A/P）模式中，设备仅具有HA组0。在Active-Active（A/A）模式中，目前的版本支持用户创建2个HA组，组0和组1。

HA组接口和虚拟MAC

在HA环境中，每个HA组都具有接口，流量通过接口进行传输。每个HA组的主设备维护对应接口的虚拟MAC（VMAC）地址，流量通过这些具有VMAC地址的接口进行转发。HA簇中不同HA组之间不互相转发数据。VMAC地址由簇ID、HA组ID以及物理接口索引确定。

HA选举

HA簇中，拥有同样HA组ID的具有高优先级的设备会被选举为HA组的主设备。

HA同步

为保证备份设备能够在主设备失效时代替主设备工作，主设备需要与备用设备进行同步。同步的信息类型有三种：配置信息、文件以及RDO（Runtime Dynamic Object）。RDO的具体内容主要包括：

• 会话信息（以下类型会话信息不会同步：到设备本身的会话、隧道会话、Deny Session、ICMP会话以及tentative会话）
• IPSec VPN信息
• SCVPN信息
• DNS缓存映射条目
• ARP表
• PKI信息
• DHCP信息
• MAC表
• Web认证信息

系统使用两种方法进行同步，分别是实时同步和批量同步。当主设备刚刚选举成功时，系统会使用批量同步方法，将主设备信息全部同步到备份设备；当配置发生变化时，系统将使用实时同步的方法将变化的信息同步到备份设备。除HA相关配置和本地配置（例如，主机名称配置），其它的配置都会被同步。