Configuração de High Availability em Fortigates

Maio 2, 2021 Derson Manhique 10 comments
Categories : Security
Tags :

High availability (HA) é geralmente configurado em ambientes onde existe a necessidade de garantir alta-disponibilidade de serviços. Em ambientes com essa exigência, há necessidade de garantir redundância de equipamentos, redundância de ligações externas e internas para garantir que no caso de avaria ou manutenção de um, outros equipamentos/serviços entrem em funcionamento imediatamente.

O FortiGate Clustering Protocol (FGCP) é um protocolo proprietário desenvolvido pela Fortinet que garante failover protection aos seus equipamentos.

Requisitos:

  • No mínimo são necessárias duas Firewall’s para formar um Cluster;
  • As Firewall’s devem ser do mesmo modelo, características e possuir a mesma versão de Firmware;
  • As interfaces das Firewall’s que serão utilizadas para o Heartbeat não devem possuir DHCP/PPOE habilitado;

Configuração:

Topologia montada usando EVE-NG

A topologia utilizada para este laboratório possui HA-FGCP configurado para o lado da Firewall (FW01 e FW02) e HSRP (SW-CORE-001 e SW-CORE-002).

O processo de configuração é bem straightforward, principalmente quando configurado pela GUI.

1.º – Verificação do firmware instalado

Configuração da Firewall Master.

Como mencionei inicialmente, eu dos requisitos para formar um Cluster HA é possuir a mesma versão de firmware em todos os dispositivos que farão parte do Cluster. A versão de firmware pode ser verificada no dashboard inicial ou no menu System>Firmware. As configurações de HA são feitas no menu System>HA.

  • Standalone – Neste modo os dispositivos operam de forma independente, isto é, não é usado o protocolo FGCP para garantir alta-disponibilidade de serviços;
  • Active-Passive – Neste modo existe um nó primário (Master) que responde a todas as solicitações de comunicação e um ou mais nós em secundários (Slave) que assumem a posição de primário em caso de indisponibilidade do nó. Todos os nós secundários sincronizam continuamente as configurações com o nó primário;
  • Active-Active – Neste modo, para além de garantir alta disponibilidade de serviços em caso de falha de um dos nós, o tráfego e funções são balanceadas.

Para o presente artigo foi utilizado o modo Active-Passive.

Após a escolha do modo de operação, seguem-se as configurações relativas ao cluster que são:

Device Priority – A prioridade é utilizada para indicar a Firewall que será primaria. Isso é, em um Cluster a Firewall com a maior prioridade será a primária. Para o caso do exemplo defini o valor de 255.

Group Name – Utilizado para identificar o Cluster. Não deve possuir mais de 32 caracteres e deve ser utilizado o mesmo Group Name em todos os dispositivos pertencentes antes que se possa formar um Cluster. A alteração pode ser feita posteriormente, e visto que as configurações são replicadas, a alteração no nome num nó será replicada nos demais dispositivos.

Password – Assim como para o Group Name a senha é utilizada para identificar o Cluster. A senha deve ser a mesma para todos os FortiGates antes que eles possam formar um Cluster.

Session Pickup – Permite que as Firewalls compartilhem a tabela de estado da sessão para os seus clientes, (ou seja, fornece failover de sessão TCP contínuo).

Heartbeat Interface Reservation – São as interfaces de rede utilizadas para as comunicações entre dos dispositivos do Cluster. Todas as mensages de Hello são compartilhadas em intervalos regulares por essas interfaces.

Management Interface Reservation – portas utilizadas para a gestão separada de cada dispositivo pertencente a um Cluster. (geralmente não é possível acessar a Firewall em espera / secundário para gestão de GUI / SSH, etc.)

Configurações aplicadas e Cluster disponível, porem com apenas 1 dispositivo.

Após a configuração do primeiro dispositivo, é necessário replicar as configurações nos demais dispositivos que farão parte do Cluster.

Configuração do nó secundário.

Para a configuração do nó secundário, as configurações foram replicadas com excepção da prioridade que foi reduzida para 250.

Configuração do HA concluída.

Após configurar o segundo dispositivo, será necessário aguardar entre 10-15 minutos para que o Cluster possa ser habilitado e as configurações sincronizadas.

«

10 comments on “Configuração de High Availability em Fortigates

    zoritoler imol

    • Março 7, 2025 at 7:48 pm

    Can I just say what a relief to find someone who actually knows what theyre talking about on the internet. You definitely know how to bring an issue to light and make it important. More people need to read this and understand this side of the story. I cant believe youre not more popular because you definitely have the gift.

    Reply

    صناعة العراق

    • Dezembro 31, 2023 at 12:38 pm

    Fantastic beat ! I would like to apprentice while you amend your web site, how could i subscribe for a blog site? The account helped me a acceptable deal. I had been a little bit acquainted of this your broadcast offered bright clear concept

    Reply

    genlock

    • Dezembro 30, 2023 at 10:33 am

    genlock xyandanxvurulmus.sJTe3Ib7MxGT

    Reply

    slouchinesses

    • Dezembro 29, 2023 at 10:55 pm

    xbunedirloooo.mWM4VIf2IPUn

    Reply

    palaeoliths

    • Dezembro 29, 2023 at 10:08 pm

    xyandanxvurulmus.CH7BLNvcbIBQ

    Reply

    viagra

    • Dezembro 29, 2023 at 7:04 pm

    yandanxvurulmus.t8qTFx9aIRlh

    Reply

    Hemerson

    • Novembro 28, 2022 at 5:18 pm

    Muito bom a explanação do assunto.

    Reply

    Rodrigo Sousa

    • Agosto 20, 2022 at 5:27 am

    è Possivel fazer HA com três Firewall ou somente em par ou multiplo de 2 ?

    Reply

      Derson Manhique

      • Outubro 12, 2022 at 6:38 pm

      Viva Rodrigo,

      SIm, é possivel adicionar 3 nodes.

      Reply

    Yatin

    • Maio 2, 2021 at 7:56 pm

    Conteúdo top

    Reply

Leave a Reply

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

© 2020 Rota Flutuante. Todos os direitos reservados.