23T44 Klaster HA 2 x Fortigate w 6 min. [Konfiguracja Fortinet]

Link do artykułu.

0:00 Wprowadzenie

0:29 Topologia

1:36 Konfiguracja

5:34 Podsumowanie

Transkrypcja

W dzisiejszym odcinku szybka konfiguracja HA dla dwóch Firewalli Fortigate żeby sprawdzić jak się to środowisko zachowa w momencie symulowanej awarii czyli wyłączenia jednego z tych Firewalli i sprawdzenia jak odpowiada nam cały system i do którego z nich aktualnie się łączymy.

To zacznijmy od topologii. Mamy tutaj dwa Fortigate. Jeżeli chodzi o to ćwiczenie to istotne będą porty, które wychodzą z Fortigate w stronę sąsiada czyli port 4, 2, 3. Port2 na Fortigate 1 jak i na Fortigate 2 to będzie link bezpośrednio łączący te dwa Firewalle i będzie to właśnie połączenie monitorujące czy heartbeaty będą wysłane pomiędzy sąsiadami tym linkiem. Oprócz tego będziemy wykorzystywać porty 4 i 3 na jednym jak i na drugim Firewallu do monitorowania czy nie nastąpił Split-brain czyli czy ten link pomiędzy, łączący nie uległ awarii. Jeżeli ulegnie awarii to chodzi o to, żeby było to wykryte i żeby jeden z tych Firewalli został wyłączony albo przynajmniej żeby były zablokowane porty tak, żeby jeden tylko działał. W tym przynajmniej scenariuszu o którym mówimy tutaj w dzisiejszym odcinku czyli Active – Passive.

No to zacznijmy konfigurację. Przechodzimy do konfiguracji: System, HA Na Fortigate 1 i tutaj przechodzimy w tryb Active – Passive. To co musi się zgadzać to nazwa grupy, HA Admin i hasło tej grupy. To musi być identyczne na obu Fortigate. Oprócz tego trzeba dodać jakie porty będą wykorzystywane do monitorowania czyli to co powiedziałem do wykrywania Split-brain czyli rozdzielenia tego połączenia pomiędzy Fortigate. Heartbeat Interface to jest interfejs, który będzie wykorzystywany do wysyłania pakietów świadczących o tym, że jest połączenie. Session pickup to jest informacja o przekazywaniu sesji pomiędzy różnymi Fortigate tak, żeby w razie awarii informacje o aktualnych sesjach były dostępne na sąsiedzie czyli przełączenie z jednego na drugi Fortigate żeby nie wymagało budowania tablicy sesji.

Mamy konfiguracje zakończoną. Ok. No i teraz chwilę trzeba poczekać na uzyskanie statusu. Widzimy, że jest już teraz stworzona grupa. Ma w tej grupie jednego sąsiada czyli jest Fortigate 1 jest zsynchronizowany, ma priorytet domyślny 128, nazwę Fortigate, Serial No, rolę czyli jest podstawowy – Primary, dodatkowe informacje o sesjach i Troughtput. Teraz konfiguracja drugiego Fortigate, włączamy Fortigate 2. Tak samo: system, HA tryb Active-Passive. Zmieniamy tylko nazwę grupy, hasło. Zaznaczamy Session pickup. Porty monitorowania odpowiednio. Na tym Fortigate numery portów są takie same jak na pierwszym ale tutaj trzeba zaznaczyć oczywiście porty lokalne, które będą wykorzystywane do danej funkcji.

Ok. No i możemy teraz zobaczyć, że już mamy dwóch członków tego klastra. Po chwili będzie synchronizacja włączona i mamy możliwość zobaczenia jaka rola jest każdego z tych Fortigate. Zauważ, że Fortigate 1 jest teraz w roli Secondary czyli jest podrzędny, passive. Tu po lewej stronie widać również te porty, które służą do monitorowania. 3 i 4 do monitorowania tego połączenia klastrowego i teraz sprawdźmy mając już ten zestawiony klaster wyłączamy Fortigate 2 i patrzymy czy Fortigate 1, który był w roli Secondary przełączy się na Primary i czy będziemy mogli się do niego dostać przez wirtualny adres IP. Wyłączamy Fortigate 2 i teraz tutaj łączymy się na adres wirtualny. Czyli końcówka 141 i zobaczmy na jaki Fortigate się zalogujemy.

No i widać, że Fortigate 1 jest teraz odpowiadającym na adresie 141. Widzimy w ustawieniach klastra, że jest tylko jeden członek tego klastra. Zgodnie z oczekiwaniem. Rola Primary. Teraz jeżeli włączymy Fortigate 2 i jeszcze raz na ten sam adres spróbujemy się zalogować, końcówka 141… To jesteśmy zalogowani na Fortigate 2. No i widać, że klaster HA jest zestawiony z dwóch członków tego klastra i Fortigate 2 jest w roli Primary. Czyli jest głównym obsługującym ten wirtualny adres IP.

Na dzisiaj to tyle. Jeżeli masz jakieś pytania do tego tematu to oczywiscie pisz w komentarzu i do zobaczenia w kolejnym odcinku.