為了避免防火牆故障或者需要重開時造成網路中斷,可以選擇用二台防火牆進行 HA 高可用性設定,以確保 Internet 網際網路或 Site to Site VPN 連線的持續可用,除了避免單一防火牆故障時造成的斷線,也可以在需要更新防火牆韌體或重開防火牆時,避免數分鐘的斷線時間,本文介紹如何設定 Fortigate 的 HA 雙機高可用性功能,請繼續閱讀。
環境:
二台 Fortigate 61F,韌體版本皆更新至:v7.2.2。
接線注意:
每個 WAN 皆透過一台獨立 Switch 或 獨立 VLAN 連結二台防火牆的 WAN。
HA 高可用性設定:
[ 防火牆 1 ] 系統管理 > 基本設定:更改主機名稱,方便辨識為主。
[ 防火牆 1 ] 網路 > 介面:找出未使用中的網路埠,本範例為 internal 的 internal4 與 internal5。
[ 防火牆 1 ] 編輯 internal:介面成員取消 internal4 與 internal5。
[ 防火牆 1 ] 網路 > 介面:確認 internal4 與 internal5 已恢復成為 Physical 介面狀態。
[ 防火牆 1 ] 系統管理 > 高可靠性:模式選擇 Active-Passive,設備優先權數字調高,填入群組名稱與密碼,Heartbeat 介面選擇 internal4 與 internal5,Heartbeat 介面優先權調整為相同即可。
防火牆 1 完成 HA 高可用性設定。
開始設定防火牆 2。
[ 防火牆 2 ] 系統管理 > 基本設定:更改主機名稱,方便辨識為主。
[ 防火牆 2 ] 網路 > 介面:找出未使用中的網路埠,本範例為 internal 的 internal4 與 internal5。編輯 internal:介面成員取消 internal4 與 internal5。
[ 防火牆 2 ] 系統管理 > 高可靠性:模式選擇 Active-Passive,設備優先權數字比防火牆 1 為低,填入群組名稱與密碼,Heartbeat 介面選擇 internal4 與 internal5,Heartbeat 介面優先權調整為相同即可。
防火牆 2 完成 HA 高可用性設定。
回到防火牆 1 的高可靠性介面,將二台防火牆的對應 Heartbeat 介面接起來,會顯示對應的設備資料。
稍等一下後,狀態會顯示為同步,就完成整個 HA 高可用性設定作業了。
在 CLI 模式下查詢 HA 高可用性狀態:
get system ha status
在 CLI 模式下執行手動同步 HA 高可用性:
execute ha synchronize start
Fortigate v7.2.3 High Availability 官方說明頁面:
https://docs.fortinet.com/document/fortigate/7.2.3/administration-guide/666376/high-availability
沒有留言:
張貼留言