Cấu hình HA Cluster trên Fortigate

BlackDrag0n

Moderator
Cấu hình HA Cluster trên Fortigate
Mô hình:

1611743578812.png

ở đây mình sử dụng images "FGT_VM64_KVM-v6-build1190-FORTINET.out.kvm" (version 6.2.7)

Yêu cầu:

  • Cấu hình HA trên thiết bị Fortigate với mode active-passive
  • Cấu hình HA trên thiết bị Fortigate với mode active-active
Thực hiện:

Trên thiết bị Fortigate1 cần thực hiện:

  • Cấu hình IP cho port3
  • Cấu hình IP cho port2
  • Cấu hình Default Route trỏ về Sw4
  • Cấu hình Rule cho phép PC ping thấy loopback0
  • Cấu hình HA.
Trên thiết bị Fortigate2 chỉ cần thực hiện cấu hình HA để tham gia vào HA cluster đồng bộ cấu hình từ Fortigate1.

Cấu hình Sw4:

interface vlan 1
ip add 10.1.1.1 255.255.255.0
no shut
int loopback 0
ip add 8.8.8.8 255.255.255.0
no shut
ip route 0.0.0.0 0.0.0.0 10.1.1.2


Fortigate1:

Cấu hình Hostname

config system global
set hostname Fortigate1


Cấu hình IP:

config system interface
edit port3
set ip 10.2.1.1/24
set allowaccess ping
next
edit port2
set ip 10.1.1.2/24
set allowaccess ping
end


Cấu hình rule cho phép PC ping thấy loopback0:

config firewall policy
edit 1
set name "any"
set srcintf "port3"
set dstintf "port2"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next


Kiểm tra thử PC đã ping được Loopback 0 chưa.

Đặt hostname cho Fortigate2:
config system global
set hostname Fortigate2
Tiếp tục cấu hình HA cho fortigate1.
Mode a-p:

Đối với mode active-passive cần cấu hình priority 2 thiết bị khác nhau, thiết bị nào có priority cao hơn sẽ làm master, thấp hơn sẽ làm slave ( mặc định là 128). Ở đây sẽ sử dụng port 1 và 4 làm port heartbeat.

Fortigate1 (Master)

config system ha
set group-id 10
set group-name "securityzone-ha"
set mode a-p
set password 123
set hbdev "port1" 50 "port4" 50
set override enable
set priority 200\
set sync-config enable
end


Fortigate2 (Slave)

config system ha
set group-id 10
set group-name "securityzone-ha"
set mode a-p
set password 123
set hbdev "port1" 50 "port4" 50
set override enable
set priority 100
set sync-config enable
end


Khi cấu hình xong sử dụng lệnh “diagnose sys ha status” để kiểm tra tình trạng HA cluster. Khi 2 thiết bị join vào HA Cluster sẽ hiển thị như hình

1611743686847.png


Nếu gặp lỗi “slave's configuration is not in sync with master's, sequence:0” thì sử dụng lệnh “execute ha synchronize start” để bắt đầu đồng bộ cấu hình trên Slave (Fortigate2).

1611743692109.png


Mode a-a:

Còn đối với mode active-active thì cần cấu hình HA trên 2 thiết bị giống nhau (Kể cả priority).

Fortigate1:

config system ha
set group-id 10
set group-name "securityzone-ha"
set mode a-a
set password 123
set hbdev "port1" 50 "port4" 50
set override enable
set priority 100
set sync-config enable
end


Fortigate2:

config system ha
set group-id 10
set group-name "securityzone-ha"
set mode a-p
set password 123
set hbdev "port1" 50 "port4" 50
set override enable
set priority 100
set sync-config enable
end


Đối với mode a-a sẽ có thêm phần load-balance có thể kích hoạt thêm nếu không có thiết bị load balance.

config system ha
set load-balance-all enable
set schedule <mode>


Ở đây thuật toán load balance trên Fortigate có sẵn cho chúng ta lựa chọn.

ScheduleMô tả
NoneKhông load balancing, tất cả traffic sẽ đi qua thiết bị đang làm master
HubLoad balancing khi cluster được kết nối với hub. Traffic sẽ được phân loại dựa trên src IP và dst IP.
Least-ConnectionSử dụng khi Cluster được kết nối đến switch, traffic sẽ chuyển đến thiết bị đang có ít kết nối hơn
Round-robinSử dụng khi Cluster được kết nối đến switch, traffic sẽ được luân phiên chuyển đến các thiết bị.
Weighted Round-robinTương tự như round robin, nhưng traffic sẽ được dựa trên cấu hình và số lượng kết nối đến thiết bị.
RandomTraffic sẽ được phân chia ngẫu nhiên đến từng thiết bị
IPTraffic sẽ được phân chia dựa trên IP được cấu hình sẵn
IP portTraffic sẽ được phân chia dựa trên IP và port


Kiểm tra thử chức năng HA đã hoạt động hay chưa. Trên PC thực hiện ping 8.8.8.8 -t , thử tắt nguồn thiết bị đang làm Master thì sẽ thấy Traffic sẽ bị gián đoạn ( Tầm 2 gói tin) và sẽ tiếp tục lưu thông bình thường. Ở mode HA active-passive hay active-active đều bị rớt 2 gói tin khi chuyển đổi

1611743719787.png


Như vậy chúng ta đã hoàn thành việc cấu hình HA Cluster trên thiết bị Fortigate.
 
Top