FortiGate II

Alta disponibilidad

5.4.1 FortiGate
© Copyright Fortinet Inc. All rights reserved. Last Modified: 4 December 2018
1
objetivos
• Elija el derecho de alta disponibilidad (HA) Modo de operación
• Implementar y configurar una solución de HA
• Configuración de la sincronización de sesión para la migración
tras error
• Utilizar clústeres virtual para per-alta VDOM disponibilidad
• Actualizar el firmware de un clúster de alta disponibilidad
• Verificar el funcionamiento normal de un clúster de HA

2
¿Cuál es FortiGate alta disponibilidad (HA)?

Dos o más FortiGates

operan como un
clúster HA

3
 Activo-pasivo HA

La configuración de primario es Todas las

sincronizada con uno o más secundarias están
secundarios en modo de espera

Las secundarias

Sólo el tráfico
procesos primaria
Primario

Si falla primaria, una

secundario se hace
cargo

4
HA activa-activa

Todo el tráfico proceso

FortiGates

Primario
sesiones equilibra la
carga de racimo

Si principal falla, una secundaria

toma el trabajo de equilibrio de carga

5
La agrupación Protocolo FortiGate (FGCP)
• Clúster utiliza la agrupación FortiGate pagROTOCOLO (FGCP)
a:
o Descubre otros FortiGates que pertenecen al mismo grupo de HA
o Elegir la primaria
o Sincronizar configuración y otros datos
o Detectar cuando una falla FortiGate

• Sólo se ejecuta a través de los enlaces de los latidos del

corazón
• utiliza TCP Puerto 703 con diferentes valores de tipo Ethernet
• 0x8890 - modo NAT
• 0x8891 - Modo transparente
• Utiliza el puerto TCP 23 con el tipo de Ethernet 0x8893 para la
sincronización de configuración
6
Requisitos de HA
• De dos a cuatro FortiGates idénticos
• Un enlace (preferiblemente dos o más) entre FortiGates para el pulso
cardiaco
• Mismas interfaces en cada FortiGate conectados al mismo dominio de
difusión
• Desde FortiOS 5.2, las interfaces DHCP y PPPoE son compatibles
puerto 1 puerto 2

El latido del corazónEl

1 latido del corazón 2

puerto 1 puerto 2

7
Elección FortiGate primaria: Anulación de
movilidad reducida
• Anular desactivado (por defecto) Iniciar la negociación

• Forzar una conmutación por error mayor

Los
puertos Menos
o diagnosticar sys ha reset-tiempo de actividad supervisad
os

mayor el tiempo Menos

de
actividad

mayor Menos
Prioridad

mayor Número Menos

de serie

FortiGate primaria FortiGate secundaria

8
Elección FortiGate primaria: override
• anulación habilitada Iniciar la negociación

dosistema onfig ha Los

mayor puertos Menos
override conjunto permiten supervisad
os
fin
el tiempo
• Forzar una conmutación por error mayor
Prioridad
de
actividad
Menos

o Cambiar la HA pagRIORIDAD
mayor el tiempo Menos
Prioridad
de
actividad

mayor Número Menos

de serie

FortiGate primaria FortiGate secundaria

9
Tareas FortiGate primarias
• intercambios heartbeat Hola paquetes con todos los
secundarios
• Sincroniza su tabla de enrutamiento y parte de su configuración
a todos los secundarios
• puede sincronizar la información de algunas de las sesiones de
tránsito para la migración tras error
• En activo-activo modo solamente:
o reistributes tráfico entre todos los dispositivos del clúster

10
Las tareas secundarias FortiGate
• Supervisa el primario para signos de insuficiencia utilizando
Hola o supervisión de puertos
o Sise detecta un problema con el primario, los secundarios eligen un nuevo
primario
• En el modo activo-activo solamente:
o PAGrocesos distribuido por el tráfico el primario

11
Las direcciones IP de los latidos del corazón de
interfaz
• Cluster asigna direcciones IP virtuales a los latidos del corazón
interfaces basadas en el número de serie de cada FortiGate:
o 169.254.0.1: Para el más alta en serie número
o 169.254.0.2 : El número de serie más alto segundo
o 169.254.0.3 : Para el tercer más alto de serie número (y así
sucesivamente ...)
• FortiGates mantener su ritmo cardíaco vaborda irtual IP,
independientemente de cualquier cambio en su papel (primaria
o secundaria)
o cambios asignación de dirección IP sólo cuando un FortiGate se va o se
une racimo

12
Puertos latido del corazón y supervisado puertos
• puertos del latido del corazón contener clúster sensible
información de configuración
o Debe tener una interfaz de latido del corazón, pero utilizando dos para
redundancia es recomendado
o FortiGate puerto del conmutador no se puede utilizar para el puerto de
latidos del corazón

• Los puertos supervisados ​son por lo general las redes

(interfaces) de procesamiento de tráfico de alta prioridad
o Evitar la configuración de la supervisión de interfaz para todos las
interfaces
o No supervisar las interfaces de latido dedicada
o Puede monitorear interfaces VLAN
13
 HA sincronización de la configuración completa
La sincronización completa

2. Primary compara su suma de comprobación de

1. Nuevo secundaria
configuración
se añade al clúster.
con la nueva suma de comprobación secundaria.
Si es diferente, se envía su configuración.

nueva secundaria

PAGrimary
config

config

14
HA incremental de sincronización de
configuración
incremental Sincronización
2. Cambio está
se cambia 1. sincronizada a
configuración primaria secundaria

Secundario

Primario

config

config

15
Sincronización de la configuración de HA
• sincronizaciones incrementales también incluyen:
o redatosynamic tales como asignaciones DHCP, tabla de enrutamiento
actualizaciones, SA IPsec, información de la sesión, y así sucesivamente
• Periódicamente, HA comprueba para la sincronización
o Si suma de comprobación CRC valores coinciden, clúster está en sincronía
o Silas sumas de comprobación no lo hacen partido después de cinco
intentos, Will secundaria descargar configuración conjunto desde el
primario

16
Lo que no se sincroniza?
• Los valores de configuración que no son sincronizada entre
clúster miembros:
• Gestión de HA configuración de la interfaz
• HA ruta predeterminada para la interfaz de gestión reservada
• DECIR AH anular
• DECIR AH prioridad del dispositivo
• HA prioridad clúster virtual
• Nombre de host FortiGate
• Ping servidor HA prioridades
• El FortiGate primaria sincroniza todas otra configuración y otros
ajustes configuración detalles relacionados con la configuración
de HA
17
sesión de sincronización
• sesión sincronizada mesa para la mayoría sesiones de VPN
IPSec y TCP
o Sólolas sesiones de no ser manejados por una proxy de UTM se puede
sincronizar
sistema de config ha
set sesión de recogida permiten
fin
• sesiones UDP e ICMP también se pueden sincronizar
sistema de config ha
establece sesión de recogida permiten
Establecer sesión-camioneta de conexión permiten
fin
• sesión de multidifusión y SSL VPN son no sincronizada
18
 Las direcciones MAC virtuales y de conmutación
por error
• Sobre el primario, cada interfaz - excepto interfaces de latidos del
corazón de HA - se le da un MAC virtual dirección
• Sobre conmutación por error, la recién elegido adopta primarias el
mismo virtuales Las direcciones MAC como el ex primaria
interfaces de
latidos del
ElPrimario
ex primaria corazón de HA

Las direcciones MAC virtuales

Después de la conmutación por error,
ARP gratuito informa a la red que la
Secundario
nueva primaria virtual dirección MAC es ahora
accesible a través de una FortiGate
diferente

19
La falta de un FortiGate Secundaria

Active-Passive Active-Active
• Primary updates • Primary updates
list of available list of available
secondary secondary
FortiGates FortiGates
• Redistributes load
to avoid failed
secondaries
20
Tipos de conmutación por error
• dispositivo de conmutación por error
o Si
las paradas principales de enviar heartbeat paquetes, otro FortiGate
automáticamente toma su lugar
• enlace de conmutación por error
o Clúster
puede controlar algunas interfaces para determinar si están
operando y conectado
o Siuna interfaz supervisada en el primario falla, clúster elige un nuevo
primario

• Evento troncos, trampas SNMP, y eventos de conmutación por

error de registro de correo electrónico de alerta
21
carga de trabajo

Active-Passive Active-Active
• Primary receives • Primary receives all
and processes all traffic
traffic • Redirects some
• Secondary waits traffic to secondaries
passively

22
Activa-activa de equilibrio de carga

Proxy HTTP
MAC virtual: 09/01/01
MAC física: 0B-a1-C0
1 - SYN primario
Cliente Servidor
2 - SYN 3a - SYN

3b - SYN / ACK secundario

MAC física: 0B-a4-8c MAC física: 0B-a4-8e

1. dstMAC 09/01/01, srcMAC X, TCP SYN DPORT 80

2. dstMAC 0b-a4-8c, srcMAC 0b-a1-c0, TCP SYN dport 80
3a. dstMAC Y, srcMAC 0b-a4-8e, TCP SYN dport 80
3b. dstMAC X, srcMAC 0b-a4-8c, TCP SYN ACK deporte 80 (de proxy HTTP)

23
Carga activa-activa Equilibrio

Proxy HTTP
MAC virtual: 09/01/01
MAC física: 0B-a1-C0

4 - ACK primario
Cliente Servidor
5 - ACK

secundario
MAC física: 0B-a4-8c

4. dstMAC 09/01/01, srcMAC X, TCP ACK DPORT 80

5. dstMAC 0B-a4-8c, srcMAC 0B-a1-C0, TCP ACK DPORT 80

24
Activa-activa de equilibrio de carga

Proxy HTTP
MAC virtual: 09/01/03
MAC física: 0B-A1-C2

primario 6 - SYN / ACK

Cliente Servidor
7 - SYN / ACK

secundario 8 - ACK

MAC física: 0B-a4-8e

6. dstMAC 01/09/03, srcMAC Y, TCP SYN ACK deporte 80

7. dstMAC 0B-a4-8e, srcMAC 0B-A1-C2, TCP SYN ACK deporte 80
8. dstMAC Y, srcMAC 0b-a4-8e, TCP ACK dport 80

25
La agrupación virtual
• Extensión de FGCP de FortiGate con múltiples VDOMs
o clúster HA debe consistir en sólo dos dispositivos FortiGate
• Permite a un FortiGate a ser el principal para algunos VDOMs y el
secundario para las otras VDOMs

Activo-pasivo HA

Un dominioDominio segundo
Dominio do Un dominioDominio segundo
Dominio do
Primario Primario Secundario Secundario Secundario Primario

26
Malla completa DECIR AH
• reduce el número de puntos únicos de fracaso
o Disponible en algunos FortiGate modelos
• Utiliza interfaces agregadas y redundantes para conexiones
robustas entre todos los componentes de la red

FortiGate

HB 2
HB 1

FortiGate

27
Las actualizaciones de firmware
• Para actualizar un clúster de alta
corriente primaria
disponibilidad, sólo tiene que cargar el nuevo
firmware a la primaria:
o actualización ininterrumpida está activada por
defecto
1. Si el cluster está funcionando en activo-activo 3
1
modo, tráfico balanceo de carga se enciende
La corriente secundaria
apagado. 2
(s)
2. El clúster actualiza el firmware en todos los
secundarios primero.
3. Se eligió un nuevo primario.
4. El clúster actualiza el firmware en la antigua
primaria.
5. Si el clúster está funcionando en activo-activo 28
Comprobación del estado de la HA Uso de la
GUI

Desconectar
del clúster

Editar
configuració
n HA

papeles
de HA

29
Comprobación del estado de la HA A través de
la CLI
# diagnosticar sys estado AH
información de HA
Estadística La información primaria
= Traffic.local S: 0 p: 14211 B: 5343415 y secundaria de HA
= Traffic.total s: 951 p: 14211 B: 5343415
activity.fdb = c: 0 q: 0
Modelo = 5, Mode = 1 Grupo = 0 depuración = 0
nvcluster = 1, ses_pickup = 1, delay = 0, load_balance = 0, schedule = 3, ldb_udp
= 0, upgrade_mode = 0.

[Información Debug_Zone HA]

HA información miembro del grupo: is_manage_master = 1.
FGVM010000030273: Maestro, serialno_prio = 0, usr_priority = 200, nombre de host
= Estudiantes
FGVM010000030272: Slave, serialno_prio = 1, usr_priority = 100, hostname = remoto

[Información Kernel HA]

vcluster 1, estado = trabajo, master_ip = 169.254.0.1, master_id = 0:
FGVM010000030273: Maestro, ha_prio / o_ha_prio = 0/0 El latido del corazón interfaz IP
FGVM010000030272: Slave, ha_prio / o_ha_prio = 1/1 169.254.0.1: asignado al número de
serie más alto

30
El cambio a una CLI de Secundaria
• El uso de la CLI del primario, se puede conectar a cualquier
CLI secundaria:
# Execute ja administrar <HA_device_index>
• Para una lista de números de índice para cada FortiGate, utilice
el signo de interrogación:
# ejecutar ja gestionar ?
<id> favor índice de cuadro de pares de entrada.
<1> Unidad Subsidiaria FGVM0100000xxxxx

31
Interfaz de administración de HA Reservados
• Disponible tanto en modo NAT y el modo transparente
• Se puede conectar directamente y por separado a cada
FortiGate - CLI y GUI
o Poderconfigurar una dirección IP diferente para esta interfaz para cada
FortiGate
o Loscambios de configuración relacionados con la interfaz de
administración de HA no se sincronizan con los otros dispositivos FortiGate
en un clúster HA

32
Comprobación de la sincronización de la
configuración
• Ejecutar el siguiente comando en el ejemplo de suma de
comprobación Cluster
miembro (s) de clúster:
# diagnosticar sys ha checksum
Mostrar racimo HA suma de comprobación de
clúster
Show DECIR AH suma de comprobación de los
logs
en FortiGate
recalcular volver a calcular la suma de
comprobación de HA

• Todos los compañeros deben tener las

mismas secuencias de números de
suma de comprobación 33
revisión
 El modo activo-pasivo y activo-activo
 ¿Cómo un clúster HA elige la primaria
 sincronización de la configuración
 sincronización de sesión
 failover HA
 Active-activo balanceo de tráfico
 agrupación virtual
 HA actualización del firmware
 Comprobación del estado de un clúster de HA

34