Описание

В данном подразделе описывается настройка кластера межсетевых экранов, состоящего из основного устройства и дополнительного. Устройства должны быть связаны физически для обеспечения синхронизации (также это используется для обнаружения вышедших из строя устройств), то есть устройства FortiGate образовывают High Availability (HA) кластер.

Существуют два режима HA: active-passive и active-active. Режимы работы HA определяют:

  • что синхронизируется между устройствами;
  • все ли устройства FortiGate обрабатывают трафик;
  • повышает ли HA доступность или пропускную способность.

Данная возможность может быть полезна пользователям, для которых важна высокая доступность их сервиса.

Для создания VPN туннеля на межсетевом экране требуется:

  • наличие настроенного внешнего интерфейса, через который будут подключаться устройства;
  • внутренняя сеть;
  • доступ к веб-интерфейсу FortiGate.

Подробнее читайте в инструкции по подключению.

Глоссарий

В любом из двух режимов работы HA конфигурация вторичных устройств FortiGate синхронизируется с конфигурацией первичного устройства. Кроме того, если проблема обнаружена в основном устройстве, одно из дополнительных устройств возьмет на себя роль основного для обработки трафика.

Термин Определение
Active-Passive HA режим, при котором основной FortiGate — единственное устройство FortiGate, которое активно обрабатывает трафик. Вторичное устройство FortiGate остается в пассивном режиме, отслеживая состояние первичного устройства. Если проблема обнаруживается в основном FortiGate, одно из дополнительных устройств принимает на себя основную роль. Это событие называется аварийным переключением HA
Active-Active HA режим, при котором все устройства FortiGate обрабатывают трафик. Одна из задач основного FortiGate в данном режиме — сбалансировать часть трафика между всеми дополнительными устройствами
FGCP (FortiGate Clustering Protocol) Протокол, который FortiGate использует для связи в кластере, чтобы обнаруживать устройства, принадлежащие одной HA группе, выбирать основное устройства, синхронизировать конфигурацию и другие данные, обнаруживать аварии
Heartbeat link Физические соединения между сгруппированными устройствами FortiGate, по которым работает протокол FGCP. Соединения создаются с помощью обычного кабеля RJ45 или crossover кабеля

Если у вас есть другое устройство между двумя устройствами FortiGate, например, коммутатор, убедитесь, что оно выделено и изолировано от остальной сети. Таким образом, трафик FGCP не должен конкурировать с другим трафиком за пропускную способность.

Устройства FortiGate в кластере используют сеансы Telnet через TCP-порт 23, с Ethernet типа 0x8893 по heartbeat каналам, для синхронизации конфигурации кластера и для подключения к CLI другого FortiGate в кластере. Когда вы вручную перезапускаете или выключаете первичный FortiGate, прежде чем первичный FortiGate фактически выключится, он становится вторичным устройством и ожидает, пока трафик не переключится на новый первичный.

Требования для HA

  1. В кластере может быть от 2 до 4 устройств FortiGate с одинаковыми параметрами:

    • прошивка;
    • модель оборудования и лицензия;
    • емкость жесткого диска и разделы;
    • режим работы (transparent или NAT).

    Если одно из устройств FortiGate имеет более низкий уровень лицензирования, чем другие устройства FortiGate в кластере, тогда все устройства FortiGate в кластере вернутся к этому более низкому уровню лицензирования.

  2. Должно быть хотя бы одно heartbeat-соединение между устройствами FortiGate. Для избыточности можно создать до восьми heartbeat-интерфейсов. Если одно соединение терпит неудачу, HA будет использовать следующее по приоритету и позиции.

  3. Одинаковые интерфейсы на каждом устройстве FortiGate должны быть подключены к одному коммутатору или сегменту локальной сети.

Заказ и предоставление услуги

Для создания кластера устройств FortiGate закажите необходимое количество межсетевых экранов одной модели в одной локации, согласно инструкции по подключению.

Если уже используется межсетевой экран FortiGate в Selectel, то его также можно объединить с новым. Для этого создайте тикет и укажите, какие устройства (номера neXX) необходимо объединить в High Availability (HA) кластер.

По умолчанию создается два подключения между устройствами. Если вам необходимо другое количество, то укажите, каким количеством связей их обеспечить, то есть сколько heartbeat-соединений создать между устройствами.

После заказа межсетевых экранов и их подключений в тикете будет предоставлена информация для доступа к межсетевым экранам.

После завершения организации кластера в ответном тикете придет уведомление о том, что коммутация между межсетевыми экранами осуществлена. Затем можно начать настройку.