Ví dụ này hướng dẫn cách thêm một thiết bị Forigate dự phòng vào trong topo mạng với một thiết bị Foritgate đang hoạt động tạo thành 1 cụm dự phòng High Availability (HA) để cải thiện độ tin cậy của mạng.

Trước khi bắt đầu, bạn hãy kiểm tra lại và chắc chắn rằng các thiết bị Fortigate đang chạy cùng 1 phiên bản firmware và các interface WAN phải cài đặt IP tĩnh không được để DHCP hoặc PPPoE.

Ví dụ này sử dụng giao thức Fortigate Clustering (FGCP) cho HA. Sau khi cấu hình xong, thiết bị Fortigate ban đầu sẽ tiếp tục hoạt động như một Firewall chính, thiết bị Fortigate mới thêm vào sẽ hoạt động ở chế độ dự phòng.

 

I. Đăng ký và khai báo License cho thiết bị Fortigate mới:
  • Đảm bảo rằng 2 thiết bị Fortigate đang chạy cùng phiên bản firmware của FortiOS.
  • Đăng ký và khai báo License cho thiết bị mới trước khi thêm cụm HA.

Khai báo License: FortiCare Support, IPS, AntiVirus, Web Filtering, Mobile Malware, FortiClient, FortiCloud, và thêm các virtual domains (VDOMs).

Tất cả các thiết bị Fortigate trong cụm HA phải có license tính năng giống nhau cho FortiGuard, FortiCloud, FortiClient, và VDOMs. Bạn có thể thêm license FortiToken bất kì lúc nào vì chúng sẽ được đồng bộ hoá với tất cả thiết bị Fortigate trong cụm HA.

Bạn cũng có thể cài đặt bất kỳ chứng chỉ nào của bên thứ ba trên thiết bị Fortigate chính trước khi cấu hình cụm HA. Khi cụm HA hoạt động, giao thức FGCP sẽ đồng bộ hoá các chứng chỉ đó vào trên thiết bị dự phòng


II. Cấu hình thiết bị Fortigate chính trong cụm HA:

Cấu hình host name trên thiết bị Fortigate chính đang hoạt động:

Vào System > Settings trong mục Host name: Điền tên để xác định đây là thiết bị firewall chính trong cụm HA.

Cài đặt thông số Priority và cấu hình cụm HA:

  • Vào System > HA. Mục Mode:chọn Active-Passive.
  • Mục Device Priority. Chọn giá trị cao hơn giá trị mặc định (trong ví dụ này: 250). Giá trị này đảm bảo thiết bị Fortigate này luôn là thiết bị Fortigate chính trong cụm HA.
  • Cấu hình cụm HA. Trong mục Cluster Settings khai báo tên nhóm HA Group namepassword
  • Trong mục Heartbeat interface Priority (Trong ví dụ này là port 3 và port 4). Đặt giá trị Priority là 50 cho mỗi port


Vì thiết bị Fortigate dự phòng chưa được thêm vào, khi lưu cấu hình HA, thiết bị Fortigate chính sẽ hình thành 1 cụm HA các thiết bị Fortigate nhưng Fortigate chính vẫn hoạt động bình thường.


Nếu đã có 1 cụm FortiOS HA khác được cấu hình trong mạng, bạn có thể cần thay đổi group ID của cụm, sử dụng câu lệnh CLI sau:

config system ha                                                                                                                                                                                                  

set group-id 25                                                                                                                                                                                       

end     
                                                                                                                                                                                                            

III. Kết nối thiết bị Fortigate dự phòng vào mô hình mạng:

Thêm thiết bị Fortigate dự phòng vào mạng và kết nối với thiết bị Fortigate chính.

Vì các kết nối này sẽ làm giám đoạn lưu lượng truy cập mạng, bạn nên thực hiện các kết nối khi mạng không xử lý nhiều lưu lượng. Nếu có thể, hãy sử dụng 2 sợi cap Lan để kết nối 2 interfaces heartbeat giữa 2 thiết bị Fortigate với nhau như hình trên.

Từ 2 thiết Fortigate thuộc cụm HA phải kết nối qua 1 thiết bị Switch để ra ngoài internet. Và từ mỗi thiết bị Fortigate kết nối xuống mạng nội bộ phải thông qua 1 thiết bị Switch để tách lưu lượng truy cập từ các mạng khác nhau và tăng tính dự phòng ( như mô hình ở đầu ví dụ).

Bạn có thể dùng bất kỳ thiết bị switch để kết nối. Bạn cũng có thể chỉ sử dụng 1 thiết bị switch do các kết nối chỉ cần bạn cấu hình sao cho tách biệt traffic từ những mạng khác nhau.

Gõ câu lệnh bên dưới để khởi động lại thiết bị FortiGate dự phòng về cài đặt mặc định của nhà sản xuất.

execute factoryreset

Bạn có thể bỏ qua bước này nếu thiết bị FortiGate mới mua nhưng nếu cấu hình thiết bị đã từng có thay đổi thì tốt nhất nên khởi động lại để tránh những rắc rối về đồng bộ..

Đăng ký và áp dụng các licenses vào thiết bị dự phòng trước khi cấu hình , bao gồm FortiCare Support, IPS, AntiVirus, Web Filtering, Mobile Malware, FortiClient, FortiCloud, Security Rating, Outbreak Prevention, và virtual domains (VDOMs). Tất cả thiết bị Fortigate trong cụm HA phải cùng level cho các license FortiGuard, FortiCloud, FortiClient, và VDOMs. License FortiToken có thể thêm bất cứ khi nào vì license FortiToken đồng bộ xuống tất cả các thiết bị trong cụm.

Truy cập thiết bị Fortigate dự phòng bằng giao diện GUI. Vào System > Settings và điền tên vào mục Host name để hiện thị được đây là thiết bị dự phòng của cụm HA.

Cài đặt thông số Priority và cấu hình cụm HA: Cấu hình tương tự như đã cấu hình cho thiết bị Fortigate chính.

  • Vào System > HA. Mục Mode:chọn Active-Passive.
  • Mục Device Priority. Chọn giá trị cao hơn giá trị mặc định (trong ví dụ này: 250). Giá trị này đảm bảo thiết bị Fortigate này luôn là thiết bị Fortigate chính trong cụm HA.
  • Cấu hình cụm HA. Trong mục Cluster Settings khai báo tên nhóm HA Group namepassword như đã khai báo trên thiết bị Fortigate chính.
  • Trong mục Heartbeat interface Priority (Trong ví dụ này là port 3 và port 4). Đặt giá trị Priority là 50 cho mỗi port

 


Nếu đã có 1 cụm FortiOS HA khác được cấu hình trong mạng, bạn có thể cần thay đổi group ID của cụm, sử dụng câu lệnh CLI sau:

config system ha                                                                                                                                                                                                  

set group-id 25                                                                                                                                                                                       

end                                                                                                                                                                                                                 

Khi cấu hình HA xong, bạn lưu cấu hình nếu các interface heartbeat đã được kết nối, các thiết bị Fortigate sẽ nhìn thấy nhau và hình thành cụm HA. Lưu lượng mạng có thể bị gián đoạn trong một vài giây trong khi cụm HA đang đàm phán với nhau.


VI. Kiểm tra trạng thái của cụm HA

Kết nối với Forigate chính qua giao diện GUI. Mục tiện ích HA Status sẽ hiện thị thông tin Mode-chế độ hoạt động của cụm HA và Group name- tên nhóm

Tiện ích này cũng hiển thị tên của thiết bị chính và backup tham gia HA (Master – Slave), bạn cũng có thể di chuột qua để kiểm tra xem cụm HA có được đồng bộ hoá và hoạt động bình thường không.  Bạn cũng có thể nhấn chuột vào tiện ích này để thay đổi cấu hình cụm HA hoặc xem thống kê các sự kiện được ghi lại gần đây ví dụ như các thiết bị mới tham gia hoặc rời khỏi cụm HA.

  • Để xem trạng thái cụm HA

Trên trang chính Dashboard click vào tiện ích HA Status và chọn Configure settings in System > HA (Hoặc vào System > HA).

Nếu các thiết bị trong cụm HA có tham gia mô hình Security Fabric, các mục FortiView PhysicalLogical Topology sẽ hiện thị thông tin về trạng thái cụm HA


VII. Kết quả:


Lưu lượng hiện tại đang đi qua thiết bị Fortigate chính, tuy nhiên khi thiết bị Fortigate chính gặp vấn đề không khả dụng, lưu lượng truy cập không thành công. Lúc này thiết bị Fortigate dự phòng sẽ hoạt động và xử lý lưu lượng.

Khi thiết bị Fortigate chính hoạt động trở lại, thiết bị Fortigate chính và dự phòng sẽ chuyển đổi lại vai trò cho nhau

Kiểm tra tính dự phòng của cụm HA, trên PC trong mạng nội bộ ping đến 1 địa chỉ IP ngoài internet ( trong ví dụ này là 8.8.8.8 )

Sau một khoảng thời gian ngắn, tắt nguồn thiết bị Fortigate chính. Kết quả ping tạm dừng trong khi lưu lượng truy cập không thành công để cụm HA chuyển sang thiết bị Fortigate dự phòng và sau đó kết quả lưu lượng đã ping thành công trở lại.


VII. Nâng cấp firmware cho cụm HA (Tuỳ chọn):

Khi chọn nâng cấp firmware trên thiết bị fortigate chính, sẽ tự động nâng cấp firmware trên cả thiết bị Fortigate dự phòng. Cả 2 thiết bị Fortigate được cập nhật với sự gián đoạn lưu lượng tối thiểu.

Đọc kĩ Release Notes trước khi cài đặt firmware mới.


Để cài đặt firmware, vào tiện ích System Information và chọn Update firmware trong System > Firmware. Backup file cấu hình cũ và cập nhật firmware mới từ FortiGuard hoặc chọn Upload 1 file firmware image đã được chuẩn bị sẵn. Firmware sẽ được cập nhật trên cả 2 thiết bị Fortigate.

Sau khi nâng cấp hoàn thành, kiểm tra lại firmware mới đã cài đặt thành công, vào tiện ích System Information