Đối với FortiGate, khi chạy HA hai thiết bị FortiGate sẽ thông qua giao thức FortiGate Clustering Protocol (FGCP) để thiết lập Cluster HA

Yêu cầu 2 thiết bị phải:

•Giống nhau về model

•Giống nhau về firmware

•Giống nhau về cấu hình ổ cứng

Trong FGCP, luôn có một thiết bị Primary sẽ nhận và xử lý kết nối, các thiết bị Subordinate sẽ làm nhiệm vụ:

•Nhận kết nối phân phối từ thiết bị Primary (trong chế độ FGCP Active – Active).

•Standby, đồng bộ các thông tin kết nối để sẵn sàng được bầu làm Primary khi Cluster ở trạng thái Failover.

Dù trong chế độ hoạt động nào thì Subordinate cũng luôn chờ để được chọn làm Primary.


Hình 1. Cặp FortiGate 200D thiết lập HA theo FGCP


II. Cơ chế hoạt động FGCP Active Active

1. Luồng dữ liệu qua Cluster Active-Active

•Phía client gởi gói SYN. Gói này luôn đến Primary unit, dựa vào địa chỉ destination Virtual MAC của Interface Internal (port1)

•Nếu Primary thấy rằng session này cần phải được kiểm tra bởi secondary unit, Primary sẽ gởi SYN packet cho seondary unit kiểm tra. Trong ví dụ này, Source MAC của frame được Primary chuyển tiếp sẽ đổi thành Physical MAC của port1 trên Primary unit, destination MAC sẽ là địa chỉ physical MAC port1 của Secondary unit

•Secondary unit sẽ thiết lập kết nối với server, bằng cách gởi gói SYN ra ngoài thông qua Physcal MAC của port2. Secondary unit cũng phản hồi SYN/ACK đến Client, source MAC của frame này sẽ là Physical MAC của port1 trên Secondary unit.

•Client gởi lại ACK, gói này lại được chuyển đến Primary unit với địa chỉ destination MAC là virtual MAC của port1 Primary unit.

•Primary unit chuyển gói này đến secondary để kiểm tra session, sử dụng Physical MAC port1 của Secondary unit như địa chỉ destination MAC

•Khi server phản hổi lại TCP SYN, lúc này gói tin sẽ được gởi đến Primary unit thông qua Virtual MAC của Port2 Primary unit

•Primary unit sẽ phát tín hiệu cho Secondary

•Secondary trả lời lại cho Server

•Ý tưởng hoạt động là không phải chia tải băng thông. Luồng dữ liệu luôn được gởi đến Primary unit. Mục tiêu là chia sẻ tài nguyên CPU và Memory giữa các thiết bị FortiGate thực hiện kiểm soát dữ liệu.