在本文中,Fortigate 60D已用于做HA示例。

抵制 60D的背面:

与其他防火墙供应商相比,Fortigate High Availability的配置步骤最简单。 抵制 食谱“具有两个FortiGate的高可用性”已经为大多数情况提供了足够详细的步骤。在这篇文章中,它记录了我最近所做的步骤。

拓扑结构:

WAN1先连接到外部交换机,然后再连接到Internet。
LAN端口1正在连接到内部交换机。

DMZ和WAN2端口均用作HA心跳接口。两条常规以太网电缆将它们连接在一起,如下图所示:

 

接通电源后,前面板如下所示:

配置步骤:

1.从以独立模式运行并已配置所有接口和策略的主服务器开始。

1. 1将主要优先模式从独立模式更改为主动-被动模式。
1.2将优先级设置为1至255。由于它是主要优先级,因此将其设置为250。
1.3键入HAGroup1作为HA组名称,然后输入该组的密码。
1.4选择DMZ和WAN2作为心跳接口。

2.添加新的Fortigate 60D作为辅助设备。 

由于它是新的,因此您无需进行任何配置。 
2.1将辅助Fortigate 60D从独立模式更改为主动-被动模式。
2.2将优先级设置为1到255之间。由于它是次要的,因此将其设置为50。
2.3键入HAGroup1作为HA组名称,然后输入该组的密码。
2.4选择DMZ和WAN2作为心跳接口。

3.验证

配置完成后,您应该能够在列表中看到两个Fortigate 60D。一个是主人,另一个是奴隶。

所有配置将通过心跳接口从主要同步到次要。 

注意:为了使两个设备的HA配置都能正常运行,您需要确保满足以下要求;

  • 相同的硬件
  • 相同的FortiOS版本
  • 某些特殊功能的许可
  • LAN交换模式(交换/接口)

手动故障转移测试命令:
诊断系统重置时间
升级程序:

为了在不中断通过群集的通信的情况下升级固件,群集需要执行一系列步骤,其中包括首先升级在从属单元上运行的固件,然后将一个从属单元作为主要单元,最后在前者上升级固件主要单位。这些步骤对用户和网络都是透明的,但是根据您的HA配置,群集可能会选择新的主设备。
从基于网络的FortiGate管理器中转到 系统> Dashboard > Status。在系统信息小部件中,固件版本将显示FortiOS的更新版本(或从CLI输入 获取系统状态 )。

参考:

通过 约翰

发表评论