前置条件

设备和固件

HA群集中的设备（主设备和辅助设备）必须具有相同的型号和版本。例如，XG 210 rev3只能连接到另一个XG 210 rev3。XG230甚至SG 210都不能使用。

所有设备必须具有相同数量的端口或接口。这包括何时安装任何FleXi端口扩展模块。

这些设备必须安装相同的固件版本。这包括维护版本和修补程序。

在A-A模式下，两个设备都需要许可证。

在A-S模式下，您只需要主设备的许可证。辅助设备不需要许可证。

如果使用软件或虚拟设备，则只需购买一个基本许可证。注册序列号后，SFOS管理被动设备的创建；无需为被动设备购买单独的基本防火墙许可证或单独的序列号。在这种情况下，您可以在使用安装助手时将设备添加到HA。

HA群集上不支持以下配置：

DHCP和PPPoE：当使用DHCP或PPPoE动态配置接口时，仅支持主动-被动模式下的HA。不支持处于活动模式的HA。在任何HA模式下都不支持蜂窝WAN配置。

专用HA端口上的别名IP地址或VLAN。

覆盖专用端口上的MAC地址。

活动模式下任何接口上的动态IP地址。

在主动-被动模式下使用动态接口进行会话故障切换。

专用HA接口上的延迟（LACP或LLDP）。

配置过程

###您必须确保两个设备在初始化QuickHA模式时具有不同的IP地址。例如，不能同时使用默认172.16.16.16地址的两个设备。###

1. 使用插入两台设备上专用HA端口的网络电缆连接Sophos防火墙设备。
2. 登录Sophos主防火墙设备的web管理控制台，进入系统服务>高可用性。选择主（主动-被动）作为初始设备角色
3. 确保选择了QuickHA。您将看到默认设置（您可以更改），如以下步骤所述。
4. QuickHA自动生成密码短语。您还可以手动更改密码短语。                                                                                                                                                                                                     ###密码短语仅用于生成SSH密钥一次，SSH密钥用于加密HA链路上的通信。然后就被删除了。###                                                                                                                                              
5. QuickHA自动选择专用HA链接。您也可以手动选择一个界面。
6. 默认情况下，QuickHA选择第一个未绑定的接口。如果这不可用，它将使用第一个DMZ端口。此接口重命名为QuickHA模式接口，并从链路本地范围169.254.0.0/16分配了IPv4地址。                                                                                                                                          ###警告：如果QuickHA选择已在使用的DMZ端口，则其当前配置将被覆盖。###
7. 单击启动HA。
8. 从PortA登录辅助Sophos防火墙的web管理控制台，然后进入网络>接口。确保PortA的IP地址与Sophos主防火墙的PortA位于同一子网中。
9. 转到，系统服务>高可用性。
10. 选择辅助作为设备角色。
11. 选择QuickHA并输入Sophos主防火墙设备上使用的相同密码短语。
12. 单击启动HA。您会看到一条关于配置被覆盖的消息。这是因为配置将从Sophos主防火墙设备同步。

HA状态

登录Sophos防火墙  进入系统服务-高可用性

模式选择主备（Active-Passive）

主防火墙选择Primary

备防火墙选择Axiliary

心跳接口以及被监控接口两边配置需一致 如下图

等待协商完成即可

 

 主备协商成功后的状态如下图