Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • 114 vistas

    Fortigate HA ACTIVO PASIVO

    Cargado por

    franklin meran
    Este documento explica cómo configurar dos Fortigate en modo de alta disponibilidad activo-pasivo. Solo el dispositivo primario procesa el tráfico mientras que el secundario está en modo de espera. Se requiere configurar interfaces heartbeat, nombre del cluster, contraseña y prioridades. Esto permite que el secundario asuma el rol de primario de forma automática si el primario falla, sin interrupción del servicio.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd

    Fortigate HA ACTIVO PASIVO

    Cargado por

    franklin meran
    114 vistas12 páginas
    Este documento explica cómo configurar dos Fortigate en modo de alta disponibilidad activo-pasivo. Solo el dispositivo primario procesa el tráfico mientras que el secundario está en modo de espera. Se requiere configurar interfaces heartbeat, nombre del cluster, contraseña y prioridades. Esto permite que el secundario asuma el rol de primario de forma automática si el primario falla, sin interrupción del servicio.

    Descripción original:

    DISPONIBILIDAD HA PASIVO

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Este documento explica cómo configurar dos Fortigate en modo de alta disponibilidad activo-pasivo. Solo el dispositivo primario procesa el tráfico mientras que el secundario está en modo de espera. Se requiere configurar interfaces heartbeat, nombre del cluster, contraseña y prioridades. Esto permite que el secundario asuma el rol de primario de forma automática si el primario falla, sin interrupción del servicio.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    114 vistas12 páginas

    Fortigate HA ACTIVO PASIVO

    Cargado por

    franklin meran
    Este documento explica cómo configurar dos Fortigate en modo de alta disponibilidad activo-pasivo. Solo el dispositivo primario procesa el tráfico mientras que el secundario está en modo de espera. Se requiere configurar interfaces heartbeat, nombre del cluster, contraseña y prioridades. Esto permite que el secundario asuma el rol de primario de forma automática si el primario falla, sin interrupción del servicio.

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Descargar como docx, pdf o txt
    de 12

    Fortigate HA ACTIVO – PASIVO

    Publicada en 20/04/2021 por jramos
    Hola a tod@s,
    En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta
    Disponibilidad) en modo Activo-Pasivo:
     Vamos a utilizar dos Interfaces de cada dispositivo para HA para
    vincularlos y sincronizarlos.
     En HA uno de los Fortigate estará como primario y éste sincronizará su
    información con el otro Fortigate que será el secundario.
     El link para el HA entre los Fortigate, que en este caso usaremos dos
    (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y
    detección entre los equipos.
     Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.
    En este primer post vamos a ver el modo Activo-Pasivo, en este modo solo el
    dispositivo primario procesa el tráfico, el otro dispositivo está en modo de
    espera y sólo entrará a funcionar en caso de caída del primario, toda la
    configuración realizada en el dispositivo primario se sincronizará con el

    dispositivo secundario.

    Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall


    FortiGates:
     Dos Fortigates del mismo modelo

     Misma versión de FortiOS en ambos equipos

     Mismas licencias

     Un link entre los equipos que componen el cluster HA, en este caso
    vamos a utilizar dos
     Las mismas interfaces deben de estar conectadas al mismo dominio de
    broadcast, es decir, los puertos usados deben de ser los mismos en ambos
    dispositivos y conectados en el mismo segmento de red.
     
     Para empezar con la configuración de nuestro cluster HA Activo-Pasivo,
    vamos a realizar las configuraciones básicas sobre uno de nuestros
    Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las
    configuraciones de fábrica, en este link podemos ver la configuración inicial
    y puesta en marcha.
     Aquí vemos como tenemos configurado el hostname y las interfaces de
    red del primer Fortigate (LAN y WAN):
     Del segundo Fortigate, está tal y como viene de fábrica:

     Lo primero que vamos a realizar es configurar sobre el Fortigate01 el


    nombre de las interfaces de red que van a participar en el cluster HA, se
    llaman interfaces de Heartbeat y se utilizan para la sincronización y
    detección entre los equipos, utilizaremos los puertos 4 y 5:
     Ahora sobre System > HA > seleccionamos el modo que nos interese,
    en este caso Active-Passive:

     Sobre High Availability le indicamos el modo y la prioridad,


    sobre Cluster Settings le damos un nombre al cluster, le asignamos un
    password, habilitamos Session pickup para que automáticamente se
    pasen las sesiones de un Fortigate a otro y así los clientes no tengan que
    volver a reconectarse, el Monitor interfaces lo vamos a habilitar más
    adelante y explicaremos de que se trata y sobre Heartbeat
    Interfaces vamos a configurar las interfaces que van a participar en el
    cluster HA, sobre Heartbeat Interface Priority vamos a configurar las
    prioridades de las interfaces de Heartbeat, que en este caso el port4 va a
    tener prioridad sobre el port5:

     Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5
    con un corazón indicando que son los puertos de Heartbeat para el cluster:

     Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas,


    ahora debemos de configurar el Fortigate02, y como el nombre del host no
    se sincroniza, es lo primero que tenemos que configurar, en System >
    Settings:
     Ahora sobre System > HA realizamos las mismas configuraciones que
    hemos hecho sobre el Fortigate01, excepto que en la prioridad del
    dispositivo la vamos a bajar a 100, clic sobre OK:
     Como podemos ver perdemos conexión con nuestro Fortigate02, ya que
    la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos
    dos dispositivos es como si fuesen uno solo y los dos van a tener las
    mismas configuraciones:

     Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya


    tenemos el segundo dispositivo unido al cluster, aunque todavía está
    sincronizando, esto nos lo muestra muy claro el checksum, que como
    podemos observar son números diferentes, ya que al no estar
    sincronizados todavía cada dispositivo tiene una configuración:

     Pasados unos minutos, ya podemos ver que los dos dispositivos están
    sincronizados, el checksum es el mismo, como también podemos ver, el
    Fortigate01 está actuando como primario y el Fortigate02 como secundario:
     Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a
    habilitar el siguiente panel, nos vamos a Dashboard y añadir:

     Añadimos el Widget HA Status:


     Como podemos ver, de un solo vistazo podemos ver el estado del
    cluster HA:
     Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si
    el Fortigate02 coge el control como primario, y como podemos ver, todo
    funciona correctamente sin pérdida de servicio y el que estaba antes como
    secundario pasa a ser primario:

     Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol


    de secundario, ya que el Uptime del Fortigate02 es mayor que el del
    Fortigate01:

     Si queremos que el Fortigate01 vuelva a coger el rol de primario,


    debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que
    hace este comando es resetear el Uptime del dispositivo, en este caso del
    Fortigate02:
     Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

     Para terminar, vamos a configurar el Monitor interfaces en el cluster HA,


    esto significa, que la interface que vamos a monitorizar, si pierde conexión
    con el Firewall primario, automáticamente éste Firewall pasará a ser el
    secundario, tomando el otro Firewall el control, por lo tanto, vamos a
    configurar como Monitor interface, nuestra LAN:
     

    También podría gustarte