在本文中,Fortigate 60D已用于做HA示例。
抵制 60D的背面:
与其他防火墙供应商相比,Fortigate High Availability的配置步骤最简单。 抵制 食谱“具有两个FortiGate的高可用性”已经为大多数情况提供了足够详细的步骤。在这篇文章中,它记录了我最近所做的步骤。
拓扑结构:
WAN1先连接到外部交换机,然后再连接到Internet。
LAN端口1正在连接到内部交换机。
DMZ和WAN2端口均用作HA心跳接口。两条常规以太网电缆将它们连接在一起,如下图所示:
配置步骤:
1.从以独立模式运行并已配置所有接口和策略的主服务器开始。
1. 1将主要优先模式从独立模式更改为主动-被动模式。
1.2将优先级设置为1至255。由于它是主要优先级,因此将其设置为250。
1.3键入HAGroup1作为HA组名称,然后输入该组的密码。
1.4选择DMZ和WAN2作为心跳接口。
2.添加新的Fortigate 60D作为辅助设备。
2.3键入HAGroup1作为HA组名称,然后输入该组的密码。
2.4选择DMZ和WAN2作为心跳接口。
3.验证
配置完成后,您应该能够在列表中看到两个Fortigate 60D。一个是主人,另一个是奴隶。
所有配置将通过心跳接口从主要同步到次要。
注意:为了使两个设备的HA配置都能正常运行,您需要确保满足以下要求;
- 相同的硬件
- 相同的FortiOS版本
- 某些特殊功能的许可
- LAN交换模式(交换/接口)
手动故障转移测试命令:
诊断系统重置时间
升级程序:
为了在不中断通过群集的通信的情况下升级固件,群集需要执行一系列步骤,其中包括首先升级在从属单元上运行的固件,然后将一个从属单元作为主要单元,最后在前者上升级固件主要单位。这些步骤对用户和网络都是透明的,但是根据您的HA配置,群集可能会选择新的主设备。
从基于网络的FortiGate管理器中转到 系统> Dashboard > Status。在系统信息小部件中,固件版本将显示FortiOS的更新版本(或从CLI输入 获取系统状态 )。
参考:
