Fortinet [LAB 9] Triển khai High Availability ở chế độ Active/Active với 2 FW Fortinet

Triển khai High Availability ở chế độ Active/Active với 2 FW Fortinet​

- Tiếp tục với bài viết [LAB 8] Triển khai High Availability ở chế độ Active/Standby với 2 FW Fortinet

- Trong các hệ thống mạng có lưu lượng lớn hoặc yêu cầu xử lý đồng thời nhiều phiên kết nối phức tạp, việc chỉ để một thiết bị firewall hoạt động (như trong mô hình Active/Standby) sẽ không tận dụng hết tài nguyên và có thể gây nghẽn tại thời điểm tải cao. Để giải quyết vấn đề này, mô hình High Availability (HA) ở chế độ Active/Active trên FortiGate cho phép cả hai thiết bị firewall cùng xử lý lưu lượng, đồng thời vẫn đảm bảo khả năng dự phòng nếu một thiết bị gặp sự cố.

- Khác với chế độ Active/Standby, mô hình Active/Active yêu cầu cấu hình đồng bộ sâu hơn, chia tải thông minh thông qua session sync và load sharing, đồng thời đòi hỏi sự tương thích về kiến trúc mạng để khai thác hiệu quả. Dù phức tạp hơn, nhưng đây là mô hình tối ưu cho các hệ thống cần cả tính sẵn sàng lẫn hiệu năng cao.

- Bài lab này sẽ hướng dẫn bạn triển khai cụm FortiGate HA ở chế độ Active/Active, bao gồm các bước cấu hình cluster, chia sẻ phiên xử lý, đồng bộ trạng thái, và kiểm tra khả năng hoạt động song song của cả hai thiết bị. Đây là bước nâng cao trong xây dựng hệ thống tường lửa doanh nghiệp mạnh mẽ, linh hoạt và ổn định.

Mục lục

I. Khái niệm và nguyên lý hoạt động chế độ Active-Active (AA)​

1. Khái niệm Active-Active (AA)​

- Active-Active là một chế độ trong High Availability (HA) nơi tất cả các thiết bị trong cluster đều xử lý lưu lượng mạng cùng lúc. Chế độ này tối ưu hóa hiệu suất và đảm bảo tính sẵn sàng cao bằng cách phân phối tải giữa các thiết bị, giảm thiểu gián đoạn dịch vụ khi có sự cố.

2. Nguyên lý hoạt động chế độ Active-Active​

• Primary Device: Thiết bị chính quản lý cluster, đồng bộ cấu hình và phân phối lưu lượng (load balancing) cho các thiết bị khác.
• Secondary Device(s): Các thiết bị khác cùng xử lý lưu lượng mạng được phân phối từ Primary, đồng thời sẵn sàng đảm nhận vai trò Primary nếu Primary gặp sự cố.
• Heartbeat Interfaces: Các giao diện heartbeat liên tục trao đổi tín hiệu giữa các thiết bị để đảm bảo đồng bộ trạng thái và phát hiện sự cố.

3. Các yếu tố chính trong thiết kế Active-Active​

• Load Balancing: Lưu lượng mạng được chia đều giữa các thiết bị, tối ưu hóa hiệu suất.
• Failover: Nếu Primary gặp sự cố, một Secondary sẽ tự động đảm nhận vai trò Primary mà không làm gián đoạn dịch vụ.
• Session Synchronization: Đồng bộ các phiên làm việc giữa các thiết bị để duy trì kết nối liền mạch khi có chuyển đổi vai trò.

4. Ưu điểm của chế độ Active-Active​

• Tối ưu hóa tài nguyên bằng cách sử dụng tất cả thiết bị cùng lúc.
• Tăng hiệu suất hệ thống nhờ phân phối tải.
• Đảm bảo tính sẵn sàng cao và giảm thời gian gián đoạn dịch vụ.

II. Mô hình mạng và cấu hình​

- Tương tự như cấu hình HA với chế độ Active/Standby chúng ta sẽ có mô hình như sau



- Chúng ta sẽ cấu hình để cả 2 FW đều là Acitve, quản trị port 2 (LAN) và port 3 4 làm heartbeat
- Lưu ý: phải cùng phiên bản FortiOS

1. Cấu hình​

- Vào System -> HA

- Ban đầu


- Đổi mode thành Active-Active với các thông số dưới đây



- Tương tự như khi cấu hình Active-Passive chúng ta sẽ để port 2 làm Monitor và port 3 4 làm Heartbeat

2. Kiểm tra​

- Vào GUI (System -> HA) xem trạng thái cluster đã hình thành chưa, thiết bị nào là Primary, thiết bị nào là Secondary, và trạng thái đồng bộ (synchronized). Hoặc dùng lệnh CLI: get system ha status. Đây là bước kiểm tra trước khi thử nghiệm failover.
- Sau khi cấu hình tất cả các node sẽ được thêm vào


- Tiến hành tạo VLAN 10 trong port 2



- Kiểm tra trước khi ngắt FW 1


- Sau khi ngắt kết nối FW1

III. Mở rộng với 3 node​

- Chúng ta sẽ mở rộng mô hình với 3 FW Fortigate
Mô hình sử dụng như sau:


- Mô hình này sẽ dùng 3 FW Fortigate quản lý port 1 2 và port 3 làm heartbeat

Cấu hình

- Chúng ta cũng sẽ cấu hình tương tự như cấu hình 2 node


- Sau khi cấu hình tất cả các node sẽ được thêm vào nhóm

IV. Kết luận​

- Mô hình High Availability (HA) ở chế độ Active/Active giúp khai thác tối đa tài nguyên của cả hai thiết bị FortiGate, đảm bảo hiệu năng xử lý cao hơn so với chế độ Active/Standby, đồng thời vẫn duy trì khả năng dự phòng khi có sự cố. Đây là giải pháp lý tưởng cho các hệ thống có lưu lượng lớn, yêu cầu đồng thời cả tính sẵn sàng và khả năng chịu tải.

- Qua bài Lab này, bạn đã thực hành triển khai cụm FortiGate ở chế độ Active/Active, cấu hình HA cluster, đồng bộ phiên kết nối (session sync), phân tải lưu lượng, và kiểm tra tính ổn định của cụm trong quá trình hoạt động song song. Đây là bước quan trọng để xây dựng một hệ thống bảo mật mạng mạnh mẽ, tối ưu hiệu suất, giảm thiểu downtime và phục vụ tốt cho các môi trường doanh nghiệp quy mô lớn.