一、查看HA状态

1.1 Web界面查看HA状态

HA是否工作正常，可以从几个关键点看到

1、首先从“系统管理/控制面板/状态”， 系统信息中看到主从两台设备。如果这里显示只有一台设备，表明HA失去了对方状态，或者配置没有同步。

2、进入“系统管理/配置/高可靠性”中可以看到两台设备，并且表明主从，说明HA状态正常。

3. 点击进入“HA集群”，可以看到主从数据处理情况。

如果1、2两步只能看到主设备，但是看不到从设备，但是第3步可以看到主从两台设备，表明主设备可以获取从设备信息，但是配置没有同步成功。

1.2 命令行诊断HA状态

1、snapshot查看HA状态

sn sys ha status

该命令实际上与web界面第1、2步的HA状态是一致的。

2. dump命令查看HA状态

改命令实际上与web界面的第三步是一致

2. 如何登陆到备机上查看配置

如果我们在主机上看不到备机了，一种可能性是备机完全断开，另外一种可能是主备同步信息出了问题。如果是后一种情况，我们可以从主机登陆到备机看看状态。

首先弄清主机和备机的ID

如果当前的防火墙的ID是0的话，登陆到另外一台墙命令如下：

run ha manage 1

该命令是全局下的，如果是有vdom，首先切换到全局状态。

define global

run ha manage 1

进入备机后，看看备机的状态，比如

查看内存和cpu占用率：sn sys per status

查看接口IP地址： sn sys int

查看策略：display firewall policy

如果以上操作没有异常，表明备机是正常的。

 

2. 主备切换

主备切换有多种方法，比如断接口，修改优先级。

 

3.1 关闭接口实现切换

防火墙是通过检测接口进行主备切换的，所以如果断开防火墙上联或者下联的接口，就能实现切换。

如下图所示，防火墙监控的接口是在“系统管理/配置/高可靠性”里面设置的。

值得注意的是，关闭接口如果在是防火墙里操作，是起不到切换作用的。应该断开物理连接，或者在交换机内shutdown接口。如果所监控的接口是聚合接口的话，必须把聚合组内接口全部down。

3.2 调整优先级实现切换

我们也可以通过调整防火墙的优先级实现切换。优先级高的设备为主，所以我们需要把主设备的优先级调低。如下图所示，主机和备机的优先级都是140，我们可以将主机的优先级设置100。

 

完成设置后，如果没有设置抢占模式的话，仍旧不会切换。需要把HA的时间清零，触发HA的重新选举，完成切换。

清零命令如下：

dump sys ha reset-uptime

同样该命令也是全局下命令。如果有vdom，首先执行define global进入全局模式。