Configuração de High Availability em Fortigates


1 comment
Categories : Security

High availability (HA) é geralmente configurado em ambientes onde existe a necessidade de garantir alta-disponibilidade de serviços. Em ambientes com essa exigência, há necessidade de garantir redundância de equipamentos, redundância de ligações externas e internas para garantir que no caso de avaria ou manutenção de um, outros equipamentos/serviços entrem em funcionamento imediatamente.

O FortiGate Clustering Protocol (FGCP) é um protocolo proprietário desenvolvido pela Fortinet que garante failover protection aos seus equipamentos.

Requisitos:

  • No mínimo são necessárias duas Firewall’s para formar um Cluster;
  • As Firewall’s devem ser do mesmo modelo, características e possuir a mesma versão de Firmware;
  • As interfaces das Firewall’s que serão utilizadas para o Heartbeat não devem possuir DHCP/PPOE habilitado;

Configuração:

Topologia montada usando EVE-NG

A topologia utilizada para este laboratório possui HA-FGCP configurado para o lado da Firewall (FW01 e FW02) e HSRP (SW-CORE-001 e SW-CORE-002).

O processo de configuração é bem straightforward, principalmente quando configurado pela GUI.

1.º – Verificação do firmware instalado

Configuração da Firewall Master.

Como mencionei inicialmente, eu dos requisitos para formar um Cluster HA é possuir a mesma versão de firmware em todos os dispositivos que farão parte do Cluster. A versão de firmware pode ser verificada no dashboard inicial ou no menu System>Firmware. As configurações de HA são feitas no menu System>HA.

  • Standalone – Neste modo os dispositivos operam de forma independente, isto é, não é usado o protocolo FGCP para garantir alta-disponibilidade de serviços;
  • Active-Passive – Neste modo existe um nó primário (Master) que responde a todas as solicitações de comunicação e um ou mais nós em secundários (Slave) que assumem a posição de primário em caso de indisponibilidade do nó. Todos os nós secundários sincronizam continuamente as configurações com o nó primário;
  • Active-Active – Neste modo, para além de garantir alta disponibilidade de serviços em caso de falha de um dos nós, o tráfego e funções são balanceadas.

Para o presente artigo foi utilizado o modo Active-Passive.

Após a escolha do modo de operação, seguem-se as configurações relativas ao cluster que são:

Device Priority – A prioridade é utilizada para indicar a Firewall que será primaria. Isso é, em um Cluster a Firewall com a maior prioridade será a primária. Para o caso do exemplo defini o valor de 255.

Group Name – Utilizado para identificar o Cluster. Não deve possuir mais de 32 caracteres e deve ser utilizado o mesmo Group Name em todos os dispositivos pertencentes antes que se possa formar um Cluster. A alteração pode ser feita posteriormente, e visto que as configurações são replicadas, a alteração no nome num nó será replicada nos demais dispositivos.

Password – Assim como para o Group Name a senha é utilizada para identificar o Cluster. A senha deve ser a mesma para todos os FortiGates antes que eles possam formar um Cluster.

Session Pickup – Permite que as Firewalls compartilhem a tabela de estado da sessão para os seus clientes, (ou seja, fornece failover de sessão TCP contínuo).

Heartbeat Interface Reservation – São as interfaces de rede utilizadas para as comunicações entre dos dispositivos do Cluster. Todas as mensages de Hello são compartilhadas em intervalos regulares por essas interfaces.

Management Interface Reservation – portas utilizadas para a gestão separada de cada dispositivo pertencente a um Cluster. (geralmente não é possível acessar a Firewall em espera / secundário para gestão de GUI / SSH, etc.)

Configurações aplicadas e Cluster disponível, porem com apenas 1 dispositivo.

Após a configuração do primeiro dispositivo, é necessário replicar as configurações nos demais dispositivos que farão parte do Cluster.

Configuração do nó secundário.

Para a configuração do nó secundário, as configurações foram replicadas com excepção da prioridade que foi reduzida para 250.

Configuração do HA concluída.

Após configurar o segundo dispositivo, será necessário aguardar entre 10-15 minutos para que o Cluster possa ser habilitado e as configurações sincronizadas.

1 comment on “Configuração de High Availability em Fortigates

    Yatin

    • Maio 2, 2021 at 7:56 pm

    Conteúdo top

Leave a Reply

O seu endereço de email não será publicado.

© 2020 Rota Flutuante. Todos os direitos reservados.