FortiGate 60d已被用来在这篇文章中进行HA示例。
FortiGate 60D的后面:
FortiGate高可用性的配置步骤是比较其他防火墙供应商的最简单的步骤。 FortiGate Cookbook“高可用性与两个融化物”为大多数情况介绍了足够的详细步骤。在这篇文章中,它记录了我最近的步骤。
拓扑:
WAN1连接到外部交换机,然后连接到Internet。
LAN端口1连接到内部开关。
DMZ和WAN2端口都用作HA心跳界面。两个常规以太网电缆将它们连接在一起,如下图所示:
配置步骤:
目录
1.以主机在独立模式运行的主机启动,并配置了所有接口和策略。
1. 1将主首先从独立到主动被动模式更改。
1.2设置1到255之间的优先级。由于它是主要的,因此我将其设置为250。
1.3键入HAGRUP1作为HA组名称,并输入此组的密码。
1.4选择DMZ和WAN2作为心跳接口。
2.将新的FortiGate 60D添加为辅助设备。
2.3键入HAGROUP1作为HA组名称,并输入此组的密码。
2.4选择DMZ和WAN2作为心跳接口。
3.验证
配置完成后,您应该能够在列表中看到FortiGate 60d。一个是主人,另一个是奴隶。
所有配置都将从初级到辅助程序同步到辅助界面。
注意:要使两个设备HA配置运行良好,您需要确保满足以下要求;
- 相同的硬件
- 同样的fortios版本
- 许可证有一些特殊功能
- LAN开关模式(开关/接口)
手动故障转移测试命令:
诊断SYS HA重置 - 正常运行时间
升级程序:
要升级固件而不通过群集中断通信,则群集通过一系列步骤涉及首次升级在从属单元上运行的固件,然后制作主单元的一个下属单元,最后升级前者的固件主要单位。这些步骤对用户和网络是透明的,但根据您的HA配置可能导致群集选择新的主单元。
来自FortiGate基于Web的经理转到系统>仪表盘>地位。在系统信息窗口小部件中,固件版本将显示FortiOs的更新版本(或从CLI输入获取系统状态 )。
参考: