Настроить отказоустойчивость FortiGate
В данном подразделе описывается настройка кластера межсетевых экранов, состоящего из основного устройства и дополнительного. Устройства должны быть связаны физически для обеспечения синхронизации (также это используется для обнаружения вышедших из строя устройств), то есть устройства FortiGate образовывают High Availability (HA) кластер.
Существуют два режима HA:
- Active-Passive — HA-режим, при котором основной FortiGate — единственное устройство FortiGate, которое активно обрабатывает трафик. Вторичное устройство FortiGate остается в пассивном режиме, отслеживая состояние первичного устройства. Если проблема обнаруживается в основном FortiGate, одно из дополнительных устройств принимает на себя основную роль. Это событие называется аварийным переключением HA;
- Active-Active — HA-режим, при котором все устройства FortiGate обрабатывают трафик. Одна из задач основного FortiGate в данном режиме — сбалансировать часть трафика между всеми дополнительными устройствами.
Режимы работы HA определяют:
- что синхронизируется между устройствами;
- все ли устройства FortiGate обрабатывают трафик;
- повышает ли HA доступность или пропускную способность.
Данная возможность может быть полезна пользователям, для которых важна высокая доступность их сервиса.
Для создания VPN-туннеля на межсетевом экране требуется:
- наличие настроенного внешнего интерфейса, через который будут подключаться устройства;
- внутренняя сеть;
- доступ к веб-интерфейсу FortiGate.
В любом из двух режимов работы HA конфигурация вторичных устройств FortiGate синхронизируется с конфигурацией первичного устройства. Кроме того, если проблема обнаружена в основном устройстве, одно из дополнительных устройств возьмет на себя роль основного для обработки трафика.
Требования для HA
-
В кластере может быть от 2 до 4 устройств FortiGate с одинаковыми параметрами:
- прошивка;
- модель оборудования и лицензия. Если одно из устройств FortiGate имеет более низкий уровень лицензирования, чем другие устройства FortiGate в кластере, тогда все устройства FortiGate в кластере вернутся к этому более низкому уровню лицензирования;
- емкость жесткого диска и разделы;