1

Fortigate HA ACTIVO – ACTIVO

Hola a tod@s,

En este post vamos a ver como configurar dos Firewall Fortigate en HA (Alta Disponibilidad) en modo Activo-Activo:

  • Vamos a utilizar dos Interfaces de cada dispositivo para HA para vincularlos y sincronizarlos.
  • En HA uno de los Fortigate estará como primario y éste sincronizará su información con el otro Fortigate que será el secundario.
  • El link para el HA entre los Fortigate, que en este caso usaremos dos (HA1 y HA2) se llama Heartbeat y se utiliza para la sincronización y detección entre los equipos.
  • Tenemos dos modos de configurar HA: Activo-Pasivo y Activo-Activo.

En este segundo post vamos a ver el modo Activo-Activo, en este modo todos los dispositivos procesan tráfico, pero seguimos teniendo un dispositivo que actúa como primario y otro como secundario, el dispositivo primario se encarga de distribuir todas las sesiones en el cluster, pero si el primario cae, entonces el secundario pasaría a tener el rol de primario.

Vamos a ver que necesitamos para crear y configurar un cluster HA en Firewall FortiGates:

  • Dos Fortigates del mismo modelo
  • Misma versión de FortiOS en ambos equipos
  • Mismas licencias
  • Un link entre los equipos que componen el cluster HA, en este caso vamos a utilizar dos
  • Las mismas interfaces deben de estar conectadas al mismo dominio de broadcast, es decir, los puertos usados deben de ser los mismos en ambos dispositivos y conectados en el mismo segmento de red.

 

  • Para empezar con la configuración de nuestro cluster HA Activo-Activo, vamos a realizar las configuraciones básicas sobre uno de nuestros Fortigate, que actuará como primario, el otro Fortigate lo dejamos con las configuraciones de fábrica, en este link podemos ver la configuración inicial y puesta en marcha.
  • Aquí vemos como tenemos configurado el hostname y las interfaces de red del primer Fortigate (LAN y WAN):

  • Del segundo Fortigate, está tal y como viene de fábrica:

  • Lo primero que vamos a realizar es configurar sobre el Fortigate01 el nombre de las interfaces de red que van a participar en el cluster HA, se llaman interfaces de Heartbeat y se utilizan para la sincronización y detección entre los equipos, utilizaremos los puertos 4 y 5:

  • Ahora sobre System > HA > seleccionamos el modo que nos interese, en este caso Active-Active:

  • Sobre High Availability le indicamos el modo y la prioridad, sobre Cluster Settings le damos un nombre al cluster, le asignamos un password, habilitamos Session pickup para que automáticamente se pasen las sesiones de un Fortigate a otro y así los clientes no tengan que volver a reconectarse, el Monitor interfaces lo vamos a habilitar más adelante y explicaremos de que se trata y sobre Heartbeat Interfaces vamos a configurar las interfaces que van a participar en el cluster HA, sobre Heartbeat Interface Priority vamos a configurar las prioridades de las interfaces de Heartbeat, que en este caso el port4 va a tener prioridad sobre el port5:

  • Ahora podemos ver que en System > HA nos muestra los puertos 4 y 5 con un corazón indicando que son los puertos de Heartbeat para el cluster:

  • Sobre el Fortigate01 ya tenemos las configuraciones de HA realizadas, ahora debemos de configurar el Fortigate02, y como el nombre del host no se sincroniza, es lo primero que tenemos que configurar, en System > Settings:

  • Ahora sobre System > HA realizamos las mismas configuraciones que hemos hecho sobre el Fortigate01, excepto que en la prioridad del dispositivo la vamos a bajar a 100, clic sobre OK:

  • Como podemos ver, perdemos conexión con nuestro Fortigate02, ya que la dirección IP que tenía, ha desaparecido al unirlo al cluster, ahora estos dos dispositivos es como si fuesen uno solo y los dos van a tener las mismas configuraciones:

  • Sobre el Fortigate01 accedemos a System > HA y podemos ver que ya tenemos el segundo dispositivo unido al cluster, aunque todavía está sincronizando, esto nos lo muestra muy claro el checksum, que como podemos observar, son números diferentes, ya que al no estar sincronizados todavía cada dispositivo tiene una configuración:

  • Pasados unos minutos, ya podemos ver que los dos dispositivos están sincronizados, el checksum es el mismo, como también podemos ver, el Fortigate01 está actuando como primario y el Fortigate02 como secundario:

  • Para ver de un solo vistazo el estado de nuestro Cluster HA, vamos a habilitar el siguiente panel, nos vamos a Dashboard y añadir:

  • Añadimos el Widget HA Status:

  • Como podemos ver, de un solo vistazo podemos ver el estado del cluster HA:

  • Ahora vamos a realizar una prueba, apagando el Fortigate01, para ver si el Fortigate02 coge el control como primario, y como podemos ver, todo funciona correctamente sin pérdida de servicio y el que estaba antes como secundario pasa a ser primario:

  • Si volvemos a iniciar el Fortigate01, podemos ver que ahora tiene el rol de secundario, ya que el Uptime del Fortigate02 es mayor que el del Fortigate01:

  • Si queremos que el Fortigate01 vuelva a coger el rol de primario, debemos de ejecutar este comando diagnose sys ha reset-uptime, lo que hace este comando es resetear el Uptime del dispositivo, en este caso del Fortigate02:

  • Como podemos ver, el Fortigate01 vuelve a tener el rol de primario:

  • Ahora, vamos a configurar el Monitor interfaces en el cluster HA, esto significa, que la interface que vamos a monitorizar, si pierde conexión con el Firewall primario, automáticamente éste Firewall pasará a ser el secundario, tomando el otro Firewall el control, por lo tanto, vamos a configurar como Monitor interface, nuestra LAN:

  • Para terminar, vamos a ver como configurar las interfaces de management de cada Fortigate, ya que siempre que accedemos lo estamos haciendo sobre el dispositivo que tiene el rol de primario, estas interfaces de management nos van a permitir acceder a cada dispositivo por separado, para ello, accedemos a System > HA seleccionamos el Fortigate con el rol de primario y Edit:

  • Habilitamos Management Interface Reservation, le indicamos el puerto, el gateway y la subred, al habilitar esta opción le estamos indicando al cluster que vamso a usar el puerto 9 de cada Fortigate para management y por lo tanto las configuraciones en este puerto no se van a sincronizar entre los dispositivos pertenecientes al cluster:

  • Una vez habilitado el puerto de management en el cluster (puerto9), vamos a configurar este puerto sobre el Fortigate con el rol de primario, para ello, accedemos a Network > Interfaces > port9 > Edit:

  • Le indicamos un Alias, le asignamos el direccionamiento IP correspondiente, habilitamos los accesos y OK:

  • Como podemos ver ya tenemos configurado el puerto de management sobre el Fortigate primario:

  • Ahora ya podemos acceder a través de la IP de management sobre el Fortigate01:

  • Ahora vamos a configurar la interface de management del Fortigate que tiene el rol de secundario, para ello desde la consola web nos abrimos una consola CLI:

  • Ejecutamos el comando execute ha manage ? y cómo podemos ver nos indica que el dispositivo 0 es el secundario:

  • Por lo tanto, para acceder al Fortigate secundario debemos de ejecutar el comando execute ha manage 0 admin el admin es el usuario que tenemos dado de alta en nuestro Fortigate secundario con permisos administrativos, y cómo podemos ver ya estamos dentro del Fortigate secundario (FORTIGATE02):

  • Ahora ya le podemos asignar el direccionamiento IP al puerto que configuramos para management (puerto9), con el comando config system interface accedemos al modo de configuración de interface, con edit port9 accedemos a la configuración del puerto 9, con set ip 192.168.99.221 255.255.255.0 le asignamos el direccionamiento IP, con set allowaccess ping https http ssh fgfm le habilitamos los accesos y con end salimos de las configuraciones:

  • Con el comando show system interface podemos ver las configuraciones realizadas:

  • Ahora ya podemos acceder a través de la IP de management sobre el Fortigate02, y cómo podemos ver ya tenemos el puerto de management configurado (puerto9):

 

Saludos y espero que os resulte de ayuda 😉

Jose Ramon Ramos Gata

Técnico Superior STI

Un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.