FortiGate 60d已被用来在这篇文章中进行HA示例。

FortiGate 60D的后面:

FortiGate高可用性的配置步骤是比较其他防火墙供应商的最简单的步骤。 FortiGate Cookbook“高可用性与两个融化物”为大多数情况介绍了足够的详细步骤。在这篇文章中,它记录了我最近的步骤。

拓扑:

WAN1连接到外部交换机,然后连接到Internet。
LAN端口1连接到内部开关。

DMZ和WAN2端口都用作HA心跳界面。两个常规以太网电缆将它们连接在一起,如下图所示:

 

在设备驱动后,前面板如下所示:

配置步骤:

1.以主机在独立模式运行的主机启动,并配置了所有接口和策略。

1. 1将主首先从独立到主动被动模式更改。
1.2设置1到255之间的优先级。由于它是主要的,因此我将其设置为250。
1.3键入HAGRUP1作为HA组名称,并输入此组的密码。
1.4选择DMZ和WAN2作为心跳接口。

2.将新的FortiGate 60D添加为辅助设备。

由于它是新的,因此您无需执行任何配置。
2.1将辅助FortiGate 60d从独立模式更改为主动被动模式。
2.2设置1到255之间的优先级。由于它是次要的,因此我将其设置为50。
2.3键入HAGROUP1作为HA组名称,并输入此组的密码。
2.4选择DMZ和WAN2作为心跳接口。

3.验证

配置完成后,您应该能够在列表中看到FortiGate 60d。一个是主人,另一个是奴隶。

所有配置都将从初级到辅助程序同步到辅助界面。

注意:要使两个设备HA配置运行良好,您需要确保满足以下要求;

  • 相同的硬件
  • 同样的fortios版本
  • 许可证有一些特殊功能
  • LAN开关模式(开关/接口)

手动故障转移测试命令:
诊断SYS HA重置 - 正常运行时间
升级程序:

要升级固件而不通过群集中断通信,则群集通过一系列步骤涉及首次升级在从属单元上运行的固件,然后制作主单元的一个下属单元,最后升级前者的固件主要单位。这些步骤对用户和网络是透明的,但根据您的HA配置可能导致群集选择新的主单元。
来自FortiGate基于Web的经理转到系统>仪表盘>地位。在系统信息窗口小部件中,固件版本将显示FortiOs的更新版本(或从CLI输入获取系统状态 )。

参考:

经过 Jon.

发表评论