Rotaflutuante.com

Configuração de High Availability em Fortigates

---

High availability (HA) é geralmente configurado em ambientes onde existe a necessidade de garantir alta-disponibilidade de serviços. Em ambientes com essa exigência, há necessidade de garantir redundância de equipamentos, redundância de ligações externas e internas para garantir que no caso de avaria ou manutenção de um, outros equipamentos/serviços entrem em funcionamento imediatamente.

O FortiGate Clustering Protocol (FGCP) é um protocolo proprietário desenvolvido pela Fortinet que garante failover protection aos seus equipamentos.

Requisitos:

• No mínimo são necessárias duas Firewall’s para formar um Cluster;
• As Firewall’s devem ser do mesmo modelo, características e possuir a mesma versão de Firmware;
• As interfaces das Firewall’s que serão utilizadas para o Heartbeat não devem possuir DHCP/PPOE habilitado;

Configuração:

A topologia utilizada para este laboratório possui HA-FGCP configurado para o lado da Firewall (FW01 e FW02) e HSRP (SW-CORE-001 e SW-CORE-002).

O processo de configuração é bem straightforward, principalmente quando configurado pela GUI.

1.º – Verificação do firmware instalado

Como mencionei inicialmente, eu dos requisitos para formar um Cluster HA é possuir a mesma versão de firmware em todos os dispositivos que farão parte do Cluster. A versão de firmware pode ser verificada no dashboard inicial ou no menu System>Firmware. As configurações de HA são feitas no menu System>HA.

• Standalone – Neste modo os dispositivos operam de forma independente, isto é, não é usado o protocolo FGCP para garantir alta-disponibilidade de serviços;
• Active-Passive – Neste modo existe um nó primário (Master) que responde a todas as solicitações de comunicação e um ou mais nós em secundários (Slave) que assumem a posição de primário em caso de indisponibilidade do nó. Todos os nós secundários sincronizam continuamente as configurações com o nó primário;
• Active-Active – Neste modo, para além de garantir alta disponibilidade de serviços em caso de falha de um dos nós, o tráfego e funções são balanceadas.

Para o presente artigo foi utilizado o modo Active-Passive.

Após a escolha do modo de operação, seguem-se as configurações relativas ao cluster que são:

Device Priority – A prioridade é utilizada para indicar a Firewall que será primaria. Isso é, em um Cluster a Firewall com a maior prioridade será a primária. Para o caso do exemplo defini o valor de 255.

Group Name – Utilizado para identificar o Cluster. Não deve possuir mais de 32 caracteres e deve ser utilizado o mesmo Group Name em todos os dispositivos pertencentes antes que se possa formar um Cluster. A alteração pode ser feita posteriormente, e visto que as configurações são replicadas, a alteração no nome num nó será replicada nos demais dispositivos.

Password – Assim como para o Group Name a senha é utilizada para identificar o Cluster. A senha deve ser a mesma para todos os FortiGates antes que eles possam formar um Cluster.

Session Pickup – Permite que as Firewalls compartilhem a tabela de estado da sessão para os seus clientes, (ou seja, fornece failover de sessão TCP contínuo).

Heartbeat Interface Reservation – São as interfaces de rede utilizadas para as comunicações entre dos dispositivos do Cluster. Todas as mensages de Hello são compartilhadas em intervalos regulares por essas interfaces.

Management Interface Reservation – portas utilizadas para a gestão separada de cada dispositivo pertencente a um Cluster. (geralmente não é possível acessar a Firewall em espera / secundário para gestão de GUI / SSH, etc.)

Após a configuração do primeiro dispositivo, é necessário replicar as configurações nos demais dispositivos que farão parte do Cluster.

Para a configuração do nó secundário, as configurações foram replicadas com excepção da prioridade que foi reduzida para 250.

Após configurar o segundo dispositivo, será necessário aguardar entre 10-15 minutos para que o Cluster possa ser habilitado e as configurações sincronizadas.