HA 主动/被动最佳做法

连接 HA1 和 HA2-A/P

• 在平台上使用专用的 HA 接口。
• 如果防火墙位于同一站点/位置。将 HA1 和 HA2 链接连接回后台。这有助于收敛。
• 始终连接 HA1 和 HA2 的备份链接
• HA1 接口应该比 HA2 快。
• 推荐 HA 心跳备份。

配置 HA 设置-被动链接设置

• 将被动链接状态设置为 "自动".  自动设置将使被动防火墙上的接口达到物理状态, 接口不会传递任何数据通信。  这有助于更快的故障转移时间。

HA 计时器

• 建议从 "建议的" HA 计时器设置开始。如果需要, 用 "积极" 的设置。

HA 对网络故障采取行动-链接和路径监视

• 已启用链接和路径监视。
• 链接监视–监视在链接关闭时需要进行故障转移的所有重要链接。
• 路径监视-监视多个路径 (前缀)。只是不要依赖于一条路。

Networking–最佳实践

• 默认情况下, 在 BGP 和 OSPF 上启用了优雅重启 (GR)。在相邻的路由器上也应启用 GR 功能, 以便它能够正常工作。

• GR 有助于在切换过程中维护转发表, 并且不刷新它们。这是一种更快的机制, 而不是依赖于路由协议来收敛。

• 如果使用 LACP 的聚合以太网接口 (端口通道), 则启用 LACP 预协商功能以加快收敛 + 被动链路状态为自动。

• LACP 预协商功能有助于通过在被动固件端口通道上发送 LACP 消息, 并预先将 AE 链接到, 以帮助快速故障转移。