Tabla de Contenidos

, ,

Cluster de Alta disponibilidad con Fortigate

Requisitos

  1. Dos equipos Fortigate iguales, mismo hardware, mismo disco, etc
  2. Misma versión del Firmware
  3. Mismo modo (NAT o transparente )
  4. Mismo modo VDOM

recomendaciones

  1. Usar diferentes nombres de host para cada nodo
  2. Habilitar load-balance-all
  3. Usar enlaces hearbeat dedicados. Si sólo son dos nodos podemos conectarlos entre si.
  4. Usar al menos dos interfaces para heartbeat
  5. No monitorizar enlaces heartbeats
  6. Usar Session Pickup (seguimiento de las sesiones) sólo con ciertos modelos de Fortigate y además que tengan enlaces de heartbeat dedicados.
  7. Si vamos a usar session pickup utilizar la opción de delay para mejorar el rendimiento.
  8. Usar enlaces agregados (802.3ad) para conectar los nodos a la red.

Cluster Activo - Activo

Paso para crear el cluster:

  1. Backup de la configuración actual.
  2. Habilitar el modo activo-activo
  3. Poner la prioridad del nodo que queramos poner como primario a 255
  4. Conectar el segundo nodo con el primero (interfaces hearbeat)
  5. Habilitar en el segundo no el modo cluster pero dejando la prioridad como está (128)

Las dos unidades del cluster tienen que tener los mismos interfaces conectados a los mismos switchs de manera que NO tengamos un punto único de fallo. La idea es tener varios puerto en trunk en cada cortafuegos conectados a distintos switchs

le ponemos un nombre distinto a cada cortafuegos <sxh> config system global set hostname cortafuegos1 end </sxh>

Para definir quien será el nodo primario hay que poner dicho nodo con mayor prioridad que el otro. <sxh> config system ha set priority 200 end </sxh>

Configuramos el grupo de alta disponibilidad <sxh>config system ha set mode a-a set group-name grupodeha set password contraseñadelgrupo set hbdev port15 50 port16 50 end </sxh>

No se puede crear el cluster si uno de los interfaces está configurado para obtener la dirección ip por DHCP o PPPoE.

Si esto ocurre el equipo Fortigate vuelve al modo standalone cuando presionas ok sin dar ningún mensaje de aviso o error. Para solucionarlo basta con poner en todos los interfaces en modo manual.

De un cluster HA en modo activo-activo desapare la opción de configurar cualquier interfaz como PPPoE

Para ver la configuración del cluster

<sxh>get system ha</sxh>

Para conocer el estado

<sxh>get system ha status</sxh>

Forzar devolver el control al master

<sxh>diag sys ha reset-uptime</sxh> https://kb.fortinet.com/kb/viewContent.do?externalId=FD33114

Reiniciar uno de los nodos de un cluster

Lo primero es saber el id que tiene asignado el fortigate que queremos reiniciar <sxh>get system ha status </sxh>

Una vez que sabemos el id nos conectamos al equipo <sxh>execute ha manage id </sxh> y lo reiniciamos <sxh>execute reboot</sxh>

Actualizar el firmware del cluster

Para actualizar el firmware de cluster tenemos que actualizar el firmware de la unidad master y automáticamente la unidad slave se actualizará.

Solucionar problemas de sincronización

https://kb.fortinet.com/kb/documentLink.do?externalID=FD36494

Referencias