BlackDrag0n
Administrator
Cấu hình HA Cluster trên Fortigate
Mô hình:
ở đây mình sử dụng images "FGT_VM64_KVM-v6-build1190-FORTINET.out.kvm" (version 6.2.7)
Yêu cầu:
Trên thiết bị Fortigate1 cần thực hiện:
Cấu hình Sw4:
Fortigate1:
Cấu hình Hostname
Cấu hình IP:
Cấu hình rule cho phép PC ping thấy loopback0:
Kiểm tra thử PC đã ping được Loopback 0 chưa.
Đặt hostname cho Fortigate2:
Tiếp tục cấu hình HA cho fortigate1.
Mode a-p:
Đối với mode active-passive cần cấu hình priority 2 thiết bị khác nhau, thiết bị nào có priority cao hơn sẽ làm master, thấp hơn sẽ làm slave ( mặc định là 128). Ở đây sẽ sử dụng port 1 và 4 làm port heartbeat.
Fortigate1 (Master)
Fortigate2 (Slave)
Khi cấu hình xong sử dụng lệnh “diagnose sys ha status” để kiểm tra tình trạng HA cluster. Khi 2 thiết bị join vào HA Cluster sẽ hiển thị như hình
Nếu gặp lỗi “slave's configuration is not in sync with master's, sequence:0” thì sử dụng lệnh “execute ha synchronize start” để bắt đầu đồng bộ cấu hình trên Slave (Fortigate2).
Mode a-a:
Còn đối với mode active-active thì cần cấu hình HA trên 2 thiết bị giống nhau (Kể cả priority).
Fortigate1:
Fortigate2:
Đối với mode a-a sẽ có thêm phần load-balance có thể kích hoạt thêm nếu không có thiết bị load balance.
Ở đây thuật toán load balance trên Fortigate có sẵn cho chúng ta lựa chọn.
Kiểm tra thử chức năng HA đã hoạt động hay chưa. Trên PC thực hiện ping 8.8.8.8 -t , thử tắt nguồn thiết bị đang làm Master thì sẽ thấy Traffic sẽ bị gián đoạn ( Tầm 2 gói tin) và sẽ tiếp tục lưu thông bình thường. Ở mode HA active-passive hay active-active đều bị rớt 2 gói tin khi chuyển đổi
Như vậy chúng ta đã hoàn thành việc cấu hình HA Cluster trên thiết bị Fortigate.
Mô hình:
ở đây mình sử dụng images "FGT_VM64_KVM-v6-build1190-FORTINET.out.kvm" (version 6.2.7)
Yêu cầu:
- Cấu hình HA trên thiết bị Fortigate với mode active-passive
- Cấu hình HA trên thiết bị Fortigate với mode active-active
Trên thiết bị Fortigate1 cần thực hiện:
- Cấu hình IP cho port3
- Cấu hình IP cho port2
- Cấu hình Default Route trỏ về Sw4
- Cấu hình Rule cho phép PC ping thấy loopback0
- Cấu hình HA.
Cấu hình Sw4:
| interface vlan 1 ip add 10.1.1.1 255.255.255.0 no shut int loopback 0 ip add 8.8.8.8 255.255.255.0 no shut ip route 0.0.0.0 0.0.0.0 10.1.1.2 |
Fortigate1:
Cấu hình Hostname
| config system global set hostname Fortigate1 |
Cấu hình IP:
| config system interface edit port3 set ip 10.2.1.1/24 set allowaccess ping next edit port2 set ip 10.1.1.2/24 set allowaccess ping end |
Cấu hình rule cho phép PC ping thấy loopback0:
| config firewall policy edit 1 set name "any" set srcintf "port3" set dstintf "port2" set srcaddr "all" set dstaddr "all" set action accept set schedule "always" set service "ALL" next |
Kiểm tra thử PC đã ping được Loopback 0 chưa.
Đặt hostname cho Fortigate2:
| config system global set hostname Fortigate2 |
Mode a-p:
Đối với mode active-passive cần cấu hình priority 2 thiết bị khác nhau, thiết bị nào có priority cao hơn sẽ làm master, thấp hơn sẽ làm slave ( mặc định là 128). Ở đây sẽ sử dụng port 1 và 4 làm port heartbeat.
Fortigate1 (Master)
| config system ha set group-id 10 set group-name "securityzone-ha" set mode a-p set password 123 set hbdev "port1" 50 "port4" 50 set override enable set priority 200\ set sync-config enable end |
Fortigate2 (Slave)
| config system ha set group-id 10 set group-name "securityzone-ha" set mode a-p set password 123 set hbdev "port1" 50 "port4" 50 set override enable set priority 100 set sync-config enable end |
Khi cấu hình xong sử dụng lệnh “diagnose sys ha status” để kiểm tra tình trạng HA cluster. Khi 2 thiết bị join vào HA Cluster sẽ hiển thị như hình
Nếu gặp lỗi “slave's configuration is not in sync with master's, sequence:0” thì sử dụng lệnh “execute ha synchronize start” để bắt đầu đồng bộ cấu hình trên Slave (Fortigate2).
Mode a-a:
Còn đối với mode active-active thì cần cấu hình HA trên 2 thiết bị giống nhau (Kể cả priority).
Fortigate1:
| config system ha set group-id 10 set group-name "securityzone-ha" set mode a-a set password 123 set hbdev "port1" 50 "port4" 50 set override enable set priority 100 set sync-config enable end |
Fortigate2:
| config system ha set group-id 10 set group-name "securityzone-ha" set mode a-p set password 123 set hbdev "port1" 50 "port4" 50 set override enable set priority 100 set sync-config enable end |
Đối với mode a-a sẽ có thêm phần load-balance có thể kích hoạt thêm nếu không có thiết bị load balance.
| config system ha set load-balance-all enable set schedule <mode> |
Ở đây thuật toán load balance trên Fortigate có sẵn cho chúng ta lựa chọn.
| Schedule | Mô tả |
| None | Không load balancing, tất cả traffic sẽ đi qua thiết bị đang làm master |
| Hub | Load balancing khi cluster được kết nối với hub. Traffic sẽ được phân loại dựa trên src IP và dst IP. |
| Least-Connection | Sử dụng khi Cluster được kết nối đến switch, traffic sẽ chuyển đến thiết bị đang có ít kết nối hơn |
| Round-robin | Sử dụng khi Cluster được kết nối đến switch, traffic sẽ được luân phiên chuyển đến các thiết bị. |
| Weighted Round-robin | Tương tự như round robin, nhưng traffic sẽ được dựa trên cấu hình và số lượng kết nối đến thiết bị. |
| Random | Traffic sẽ được phân chia ngẫu nhiên đến từng thiết bị |
| IP | Traffic sẽ được phân chia dựa trên IP được cấu hình sẵn |
| IP port | Traffic sẽ được phân chia dựa trên IP và port |
Kiểm tra thử chức năng HA đã hoạt động hay chưa. Trên PC thực hiện ping 8.8.8.8 -t , thử tắt nguồn thiết bị đang làm Master thì sẽ thấy Traffic sẽ bị gián đoạn ( Tầm 2 gói tin) và sẽ tiếp tục lưu thông bình thường. Ở mode HA active-passive hay active-active đều bị rớt 2 gói tin khi chuyển đổi
Như vậy chúng ta đã hoàn thành việc cấu hình HA Cluster trên thiết bị Fortigate.
Bài viết liên quan