Es fundamental cuando tenemos en entornos de producción dispositivos de red, tenerlos en HA. Ya sea con protocolos como HSRP o a nivel de HW como es el caso de hoy.

En este laboratorio vamos a aprender a configurar dos fortigates en HA (High availability o alta disponibilidad) para que si uno falla por lo que sea o un simple puerto, el otro firewall pueda responder.

Al final se trata de que un único sistema operativo controle los dos HW.

El “PLAN”

En este ejemplo vamos a poner los firewalls en modo “Activo-Pasivo” es decir, que uno se queda inactivo a no ser que el primero falle. Si elegimos “Activo-Activo” los dos se encargan de proveer el servicio.

Hay una serie de requisitos a lo hora de configurarlo:

  • Poner nombre a los dispositivos
  • Poner nombre al cluster
  • Poner una password al cluster
  • Seleccionar modo de cluster (A-P o A-A)
  • Seleccionar las interfaces del cluster (para heartbeat) Puertos 7 y 8 en ambos FW
  • Seleccionar los puertos a monitorizar, el resto de puertos
  • Habilitar “Session pickup”
  • Opcional, la prioridad de los dispositivos (por defecto 128, cuanto más alta sea mayor prioridad para ser el primario)

Al lío con los comandos

En el primer Firewall ejecutamos lo siguiente para poner el nombre:

config system global
set hostname FW1

En el firewall primario ponermos otro nombre distinto:

config system global
set hostname FW2

En los dos FW ejecutamos lo siguiente:

config system ha
    set group-name cluster
    set mode a-p
    set password PonAquíUnaPassword
    set hbdev "port7" 100 "port8" 90 
    set session-pickup enable
    set override disable
    set priority 150
    set monitor "port1" "port2" "port3" "port7" "port8"

Si queremos poner el firewall en activo-activo, en la línea:

set mode a-p

Pondríamos:

set mode a-a

Esperamos unos minutos y ambos FW se deberían sincronizar y nuestro HA estaría listo.

VIDEO

Archivos

Leave a Reply

error: ooops!