Fortinet [LAB 8] Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet

Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet​

- Trong các hệ thống mạng doanh nghiệp đòi hỏi tính sẵn sàng cao, việc chỉ sử dụng một thiết bị firewall duy nhất là một rủi ro nghiêm trọng. Khi firewall chính gặp sự cố (lỗi phần cứng, mất điện, lỗi phần mềm...), toàn bộ lưu lượng truy cập ra/vào hệ thống có thể bị gián đoạn, ảnh hưởng trực tiếp đến hoạt động kinh doanh.

- Để giải quyết bài toán này, giải pháp High Availability (HA) với cấu hình Active/Standby trên FortiGate cho phép triển khai hai thiết bị firewall song song – trong đó một thiết bị hoạt động chính (Active), thiết bị còn lại ở trạng thái chờ (Standby) và tự động tiếp quản khi thiết bị chính gặp sự cố. Quá trình chuyển đổi diễn ra tự động, đảm bảo tính liên tục dịch vụ mà không cần can thiệp thủ công.

- Bài lab này sẽ hướng dẫn bạn cấu hình cụm FortiGate HA ở chế độ Active/Standby, bao gồm các bước thiết lập HA link, đồng bộ cấu hình, kiểm tra trạng thái cluster và kiểm chứng khả năng failover trong môi trường giả lập. Đây là một bước quan trọng để nâng cao độ tin cậy của hệ thống mạng bảo mật doanh nghiệp.

Mục lục

I. Khái niệm High Availability (HA), Nguyên lý hoạt động chế độ Active/Standby​

1. Khái niệm High Availability (HA)​

- High Availability là một tính năng trong các hệ thống mạng và công nghệ thông tin nhằm đảm bảo dịch vụ hoạt động liên tục ngay cả khi xảy ra sự cố phần cứng hoặc phần mềm. Trong bối cảnh doanh nghiệp, tính sẵn sàng cao rất quan trọng để tránh các gián đoạn ảnh hưởng đến hoạt động kinh doanh.

2. Nguyên lý hoạt động chế độ Active/Standby​

1. Active Device: Thiết bị hoạt động chính (Active) chịu trách nhiệm xử lý toàn bộ lưu lượng mạng. Nó đảm bảo kết nối liên tục và xử lý các yêu cầu của người dùng.
2. Standby Device: Thiết bị dự phòng (Standby) sẵn sàng tiếp quản vai trò Active nếu thiết bị chính gặp sự cố. Quá trình này được gọi là "Failover".
3. Heartbeat Interfaces: Các giao diện heartbeat truyền tín hiệu giữa Active và Standby để cả hai luôn đồng bộ trạng thái. Nếu không nhận được tín hiệu từ Active, Standby sẽ tự động tiếp quản.

3. Các yếu tố chính trong thiết kế HA​

• Monitor Interfaces: Các giao diện giám sát trạng thái hoạt động của thiết bị. Nếu một giao diện bị lỗi, hệ thống sẽ kích hoạt failover.
• Failover: Khi xảy ra sự cố với thiết bị Active, quá trình chuyển đổi sang Standby diễn ra tự động và liền mạch.
• Session Synchronization: Chuyển đổi Active/Standby mà không làm gián đoạn các phiên làm việc (session), như VPN hoặc kết nối TCP.

4. Ưu điểm của chế độ Active/Standby​

• Giảm thiểu rủi ro gián đoạn dịch vụ.
• Tăng tính sẵn sàng của hệ thống.
• Không cần can thiệp thủ công trong quá trình chuyển đổi vai trò.

II. Hướng dẫn cấu hình và kiểm tra HA​

1. Cấu hình​

- Chúng ta sẽ cấu hình để FW1 làm Active và FW2 làm Passive quản trị port 2 (LAN) và port 6 7 làm heartbeat
- Lưu ý: phải cùng phiên bản FortiOS

- Cấu hình thiết bị:

Mình sẽ hướng dẫn với FW1 và tương tự với FW2


Vào System -> HA đổi mode thành Active-Passive



Mode: Active-Passive

Device Priority: FW nào có Priority cao hơn sẽ làm Active
Group Name - Password: Đặt Group Name và Password để các FW tham gia HA
Session Pickup: Tính năng này cho phép Secondary đồng bộ các phiên (session) từ Primary, giúp chuyển đổi liền mạch mà không làm gián đoạn kết nối (ví dụ: VPN, TCP sessions)
Monitor Interfaces: Các interface được chọn để giám sát trạng thái của thiết bị. Nếu một trong các interface này bị down, FortiGate sẽ chuyển đổi vai trò (failover)
Heartbeat Interfaces: Các interface dùng để giao tiếp heartbeat giữa Primary và Secondary, đảm bảo hai thiết bị có thể "nói chuyện" với nhau và đồng bộ dữ liệu
Unicast Heartbeat: Thông thường, FortiGate sử dụng multicast để gửi heartbeat. Nếu bật Unicast Heartbeat, bạn có thể cấu hình giao tiếp heartbeat qua unicast (dùng IP cụ thể)
Management Interface Reservation: Đây là một tính năng trong FortiGate HA cho phép bạn dành riêng một giao diện (interface) trên mỗi thiết bị trong HA cluster để quản lý (management) độc lập

2. Kiểm tra​

- Vào GUI (System -> HA) xem trạng thái cluster đã hình thành chưa, thiết bị nào là Primary (Active), thiết bị nào là Secondary (Passive/Standby), và trạng thái đồng bộ (synchronized). Hoặc dùng lệnh CLI: get system ha status. Đây là bước kiểm tra trước khi thử nghiệm failover.
- Sau khi cấu hình tất cả các node sẽ được thêm vào

​

Tiến hành tạo VLAN 10 trong port 2


- Chúng ta sẽ ngắt port 2 của FW1 để kiểm tra tính dự phòng

- Kết nối khi chưa ngắt




- Nó sẽ không bị mất gói nào do mình đã bật Session Pickup

III. Kết luận​

- Triển khai High Availability (HA) ở chế độ Active/Standby với 2 thiết bị FortiGate là một giải pháp thiết yếu để đảm bảo tính liên tục cho hệ thống mạng trong các môi trường yêu cầu độ sẵn sàng cao. Việc thiết lập cụm HA giúp giảm thiểu rủi ro gián đoạn dịch vụ do lỗi phần cứng hoặc sự cố hệ thống, đồng thời tự động chuyển đổi thiết bị mà không làm ảnh hưởng đến luồng dữ liệu.

- Qua bài lab này, bạn đã nắm được cách cấu hình HA trên FortiGate, bao gồm các bước thiết lập giao tiếp giữa hai thiết bị, đồng bộ cấu hình và kiểm tra cơ chế chuyển đổi. Đây là nền tảng quan trọng để xây dựng một hệ thống mạng bảo mật ổn định, có khả năng phục hồi cao và phù hợp với yêu cầu vận hành 24/7 của doanh nghiệp hiện đại.