Настроить отказоустойчивость FortiGate

В данном подразделе описывается настройка кластера межсетевых экранов, состоящего из основного устройства и дополнительного. Устройства должны быть связаны физически для обеспечения синхронизации (также это используется для обнаружения вышедших из строя устройств), то есть устройства FortiGate образовывают High Availability (HA) кластер.

Существуют два режима HA:

  • Active-Passive — HA режим, при котором основной FortiGate — единственное устройство FortiGate, которое активно обрабатывает трафик. Вторичное устройство FortiGate остается в пассивном режиме, отслеживая состояние первичного устройства. Если проблема обнаруживается в основном FortiGate, одно из дополнительных устройств принимает на себя основную роль. Это событие называется аварийным переключением HA;
  • Active-Active — HA режим, при котором все устройства FortiGate обрабатывают трафик. Одна из задач основного FortiGate в данном режиме — сбалансировать часть трафика между всеми дополнительными устройствами.

Режимы работы HA определяют:

  • что синхронизируется между устройствами;
  • все ли устройства FortiGate обрабатывают трафик;
  • повышает ли HA доступность или пропускную способность.

Данная возможность может быть полезна пользователям, для которых важна высокая доступность их сервиса.

Для создания VPN туннеля на межсетевом экране требуется:

  • наличие настроенного внешнего интерфейса, через который будут подключаться устройства;
  • внутренняя сеть;
  • доступ к веб-интерфейсу FortiGate.

В любом из двух режимов работы HA конфигурация вторичных устройств FortiGate синхронизируется с конфигурацией первичного устройства. Кроме того, если проблема обнаружена в основном устройстве, одно из дополнительных устройств возьмет на себя роль основного для обработки трафика.

Требования для HA

  1. В кластере может быть от 2 до 4 устройств FortiGate с одинаковыми параметрами:

    • прошивка;
    • модель оборудования и лицензия. Если одно из устройств FortiGate имеет более низкий уровень лицензирования, чем другие устройства FortiGate в кластере, тогда все устройства FortiGate в кластере вернутся к этому более низкому уровню лицензирования;
    • емкость жесткого диска и разделы;
    • режим работы (transparent или NAT).
  2. Должно быть хотя бы одно heartbeat-соединение между устройствами FortiGate. Для избыточности можно создать до восьми heartbeat-интерфейсов. Если одно соединение терпит неудачу, HA будет использовать следующее по приоритету и позиции.

  3. Одинаковые интерфейсы на каждом устройстве FortiGate должны быть подключены к одному коммутатору или сегменту локальной сети.

Создать кластер устройств FortiGate

Для создания кластера устройств FortiGate закажите необходимое количество межсетевых экранов одной модели в одном пуле.

Если уже используется межсетевой экран FortiGate в Selectel, то его также можно объединить с новым. Для этого создайте тикет и укажите, какие устройства (номера neXX) необходимо объединить в High Availability (HA) кластер.

По умолчанию создается два подключения между устройствами. Если вам необходимо другое количество, то укажите, каким количеством связей их обеспечить, то есть сколько heartbeat-соединений создать между устройствами.

После заказа межсетевых экранов и их подключений в тикете будет предоставлена информация для доступа к межсетевым экранам.

После завершения организации кластера в ответном тикете придет уведомление о том, что коммутация между межсетевыми экранами осуществлена. Затем можно начать настройку.

Настроить кластер

  1. Перейдите в раздел System → HA.
  2. В открывшемся окне в параметре Mode выберите режим Active-Active или Active-Passive в выпадающем меню.
  3. По умолчанию FortiGate установлен как Standalone.
  4. Заполните появившиеся параметры.
  5. Device priority — 128 или выше. Данный параметр отвечает за приоритет устройства, который будет участвовать в выборе главного устройства.
  6. Group name — имя группы, в данном случае Test_cluster.
  7. Добавьте связывающие устройства интерфейсы в Heartbeat interfaces, нажав + и выбрав их справа во всплывающем окне.
  8. За исключением приоритета устройства, эти настройки должны быть одинаковыми для всех FortiGate в кластере.
  9. Нажмите кнопку ОК.

FortiGate договаривается о создании кластера HA. Связь с FortiGate может быть временно потеряна, поскольку кластер HA выполняет согласование, а FGCP изменяет MAC-адреса интерфейсов FortiGate.

Повторите шаги для другого устройства.

В результате будет сформирован кластер из двух устройств FortiGate, которые отразятся на во вкладке System → HA

Протестировать работоспособность кластера

Проверьте статус синхронизации кластера, чтобы убедиться, что основной и дополнительный FortiGate имеют одинаковую конфигурацию.

В основном устройстве с помощью команды diagnose sys ha checksum cluster можно отобразить контрольные суммы конфигураций устройств:

#diagnose sys ha checksum cluster

Если оба члена кластера имеют одинаковые контрольные суммы, можно быть уверены, что их конфигурации синхронизированы. Если контрольные суммы отличаются, подождите немного и введите команду еще раз.

Повторяйте, пока контрольные суммы не станут идентичными. Синхронизация некоторых частей конфигурации может занять некоторое время.

Чтобы просмотреть статус устройства в HA кластере используйте команду:

#get system ha status