Es fundamental cuando tenemos en entornos de producción dispositivos de red, tenerlos en HA. Ya sea con protocolos como HSRP o a nivel de HW como es el caso de hoy.
En este laboratorio vamos a aprender a configurar dos fortigates en HA (High availability o alta disponibilidad) para que si uno falla por lo que sea o un simple puerto, el otro firewall pueda responder.
Al final se trata de que un único sistema operativo controle los dos HW.
El “PLAN”
En este ejemplo vamos a poner los firewalls en modo “Activo-Pasivo” es decir, que uno se queda inactivo a no ser que el primero falle. Si elegimos “Activo-Activo” los dos se encargan de proveer el servicio.
Hay una serie de requisitos a lo hora de configurarlo:
- Poner nombre a los dispositivos
- Poner nombre al cluster
- Poner una password al cluster
- Seleccionar modo de cluster (A-P o A-A)
- Seleccionar las interfaces del cluster (para heartbeat) Puertos 7 y 8 en ambos FW
- Seleccionar los puertos a monitorizar, el resto de puertos
- Habilitar “Session pickup”
- Opcional, la prioridad de los dispositivos (por defecto 128, cuanto más alta sea mayor prioridad para ser el primario)
Al lío con los comandos
En el primer Firewall ejecutamos lo siguiente para poner el nombre:
config system global
set hostname FW1
En el firewall primario ponermos otro nombre distinto:
config system global
set hostname FW2
En los dos FW ejecutamos lo siguiente:
config system ha
set group-name cluster
set mode a-p
set password PonAquíUnaPassword
set hbdev "port7" 100 "port8" 90
set session-pickup enable
set override disable
set priority 150
set monitor "port1" "port2" "port3" "port7" "port8"
Si queremos poner el firewall en activo-activo, en la línea:
set mode a-p
Pondríamos:
set mode a-a
Esperamos unos minutos y ambos FW se deberían sincronizar y nuestro HA estaría listo.