Đối với FortiGate, khi chạy HA hai thiết bị FortiGate sẽ thông qua giao thức FortiGate Clustering Protocol (FGCP) để thiết lập Cluster HA

Yêu cầu 2 thiết bị phải:

-Giống nhau về model

-Giống nhau về firmware

-Giống nhau về cấu hình ổ cứng

Trong FGCP, luôn có một thiết bị Primary sẽ nhận và xử lý kết nối, các thiết bị Subordinate sẽ làm nhiệm vụ:

-Nhận kết nối phân phối từ thiết bị Primary (trong chế độ FGCP Active – Active).

-Standby, đồng bộ các thông tin kết nối để sẵn sàng được bầu làm Primary khi Cluster ở trạng thái Failover.

Dù trong chế độ hoạt động nào thì Subordinate cũng luôn chờ để được bầu làm Primary.


 

Hình 1. Cặp FortiGate 200D thiết lập HA theo FGCP


Cơ chế hoạt động FGCP Active-Passive


Luồng gói tin từ client đến web server.

1.Máy client yêu cầu 1 kết nối từ 10.11.101.10 đến 172.20.120.130

2.Đường route mặc định trên máy client sẽ nhận địa chỉ 10.11.101.100 như là gateway ra mạng bên ngoài, đến web server.

3.Máy client gửi một ARP request đến 10.11.101.100

4.Thiết bị Primary chặn ARP request, và phản hồi cho địa chỉ MAC_V_ext tương ứng với địa chỉ IP của 172.20.120.141.

5.Sau đó web server sẽ gửi những gói tin phản hồi tới interface ngoài của thiết bị Primary

 

6.Thiết bị Primary xử lý gói tin.

7.Thiết bị Primary chuyển tiếp gói tin từ interface ngoài tới web server.

8. Thiết bị Primary sẽ tiếp tục xử lý gói tin nếu không xảy ra Failover.


Luồng gói tin từ web server đến client

1.Khi web server phản hồi gói tin của client, địa chỉ IP interface ngoài của Cluster (172.20.120.141) được xem như là gateway đến mạng bên trong.

2.Web server gửi ra một ARP request tới 172.20.120.141

3.Thiết bị Primary nhận ARP request, và phản hồi với địa chỉ MAC_V_ext tương ứng với địa chỉ IP của 172.20.120.141

4.Sau đó web server sẽ gửi những gói phản hồi tới interface ngoài của thiết bị Primary..

 


5.Thiết bị Primary xử lý gói tin

6.Thiết bị Primary chuyển tiếp gói tin từ interface phía trong của nó tới client.

 

7.Thiết bị Primary sẽ tiếp tục xử lý các gói tin nếu không xảy ra Failover


Khi xảy ra Failover

Các bước dưới đây sẽ diễn ra khi một thiết bị hoặc link của thiết bị Primary bị lỗi, và cơ chế Failover được kích hoạt.

1.Nếu thiết bị Primary bị fail, thì thiết bị subordinate sẽ trở thành thiết bị Primary.

2.Thiết bị Primary mới sẽ thay đổi địa chỉ MAC trên tất cả interface của nó thành các HA vitual MAC. Như vậy, Thiết bị Primary mới sẽ có địa chỉ IP và địa chỉ MAC giống như thiết bị Primary đã bị fail

3.Thiết bị Primary mới sẽ gửi những gói gratuitous ARP từ interface bên trong tới mạng 10.11.101.0 cùng với địa chỉ IP và MAC_V_int của nó.

4.Thiết bị Primary mới sẽ gửi những gói gratuitous ARP tới địa chỉ 172.20.120.0 cùng với địa chỉ IP và MAC_V_ext của nó.

5.Lúc này, traffic đến các địa chỉ IP của Cluster sẽ được tiếp nhận và xử lý bởi thiết bị Primary mới.

Nếu có nhiều hơn 2 thiết bị FortiGate trong Cluster, thì những thiết bị còn lại sẽ trở thành subordinate