FortiGate konfiguracja klastra wysokej dostępności
High Availability (HA) cluster
W dzisiejszych czasach istotna jest ciągłość działania infrastruktury IT oraz dostępu do internetu. Wprowadzenie nadmiarowych elementów infrastruktury wysokej dostępności, rozwiązania HA (High Availability) sprawia, że dostępność sieci wzrasta.
Aby skonfigurować klaster HA, zapasowe urządzenie FortiGate musi być podłączone do wcześniej skonfigurowanego FortiGate (primary).
Przed rozpoczęciem konfiguracji trzeba sprawdzić czy obie jednostki FortiGate działają w tej samej wersji oprogramowania (FortiOS).
Należy też upewnić się, że interfejsy nie używają DHCP czy PPPoE. Adresacja na interfejsach musi być statyczna. Również wszystkie jednostki FortiGate w klastrze muszą mieć te same licencje.
Następnie wymagana jest nazwa grupy i hasło.
W niektórych urządzeniach FortiGate mogą być dedykowane porty HA, ale można wykorzystać dowolny port fizyczny (jeden lub kilka) dostępnych na tym urządzeniu. Na przykład będzie dodany port3 i port4 do monitorowania statusu w klastrze HA pomiędzy urządzeniami FortiGate.
Ponieważ zapasowy FortiGate nie jest jeszcze skonfigurowany, to w klastrze będzie normalnie działał tylko jeden FortiGate.
Podczas podłączenia zapasowego urządzenia FortiGate do głównego, przetwarzanie ruchu sieciowego będzie zatrzymane (ponieważ spowoduje zakłócenie ruchu) na jakiś czas (podczas synchronizacji firewalli).
Konfiguracja zapasowego firewalla w klastrze wygląda w podobny sposób. Zostanie zmieniony tylko priorytet na niższy.
Jeśli interfejsy heartbeat są połączone, to oba urządzenia FortiGate odnajdą się (zsynchronizują się) i utworzą klaster HA.
W głównym dashboardzie firewalla pojawi się informacja o klastrze HA. Pozwala to w szybki sposób sprawdzić czy klaster jest zsynchronizowany i czy działa normalnie.
Jeśli klaster jest częścią Security Fabric, to da się zobaczyć logiczny oraz fizyczny widok topologii.
Cały ruch siecowy przechodzi przez główny FortGate. Jeśli główny (primary) FortiGate będzie niedostępny – to zapasowy FortiGate będzie w role primary dopóki poprzedni się powróci.
Jeżeli jesteś zainteresowany wdrożeniem FortiGate w swojej organizacji, to skontaktuj się z nami.
Nasz dział techniczny odpowie na wszelkie Twoje pytania i wesprze Cię w doborze najlepszego rozwiązania.
Autorem wpisu jest
Vladyslav Diadenko – NOC Engineer
W Network Expert nadzoruje i utrzymuje właściwe działanie sieci u klientów. Jego zawodową pasją są sieci, programowanie i automatyzacja, a w ramach odpoczynku od codzienności lubi czytać książki i grać na gitarze.
