Fortigate - Clustering

http://www.bujarra.com/ProcedimientoFortigateCluster.html

Fortigate - Clustering

Configurando en cluster dos o ms Fortigate, En este procedimiento se explica cmo configurar dos firewall Fortigate en modo clster, para alta disponibilidad. Es necesario que ambos firewalls tengan la misma versin de firmware. En mi caso los dos tienen una versin 3, con una built 400. Les he configurado las siguientes caractersticas a cada uno: Nombre del host: Mortadelo IP de la DMZ: 192.168.4.1 IP de la Internal: 192.168.2.1 IP de la WAN1: 192.168.1.155 Nombre del host: Filemon IP de la DMZ: 192.168.4.2 IP de la Internal: 192.168.2.2 IP de la WAN1: 192.168.1.156 Las direcciones IP dan igual cual asignar (logicamente) simplemente lo indico para decir que las dems interfaces estn deshabilitadas.

Bueno, lo que habra que configurar para hacer este clster, vamos a "System" > "Config". En "Mode" indicaremos el estado de este firewall, si es en "Standalone" significa que no pertenecer a ningn clster. Si est en modo "Active-Pasive", el que est en modo pasivo estara como apagado o esperando al que este como activo falle. Lo ms lgico es configurarlo como "Active-Active" para que se hagan cmo un balanceo de carga y se repartan la carga. La prioridad indica, cual ser la prioridad de este firewall en el clster, podemos tener varios con ms o menos prioridad para que lleven ellos la carga, normalmente se ponen todos con la misma prioridad. En "Group Name" es simplemente el nombre del clster, en mi caso "CLUSTER" y le asignamos un password/contrasea para cuando querramos unir ms firewalls a este clster. Habilitamos "Enable Session Pick-up" para indicar que no se pierdan las sesiones si hay alguna caida, esto es lgico, para eso es un clster (High Ability). Ms abajo indicamos las interfaces que queremos monitorizar con los Logs ("Port Monitor") que normalmente son las interfaces externas. Y en "Heratbeat Interface" marcaremos las que estarn conectadas entre los firewalls, en estos fortigate lo normal es conectarlos por algn puerto que tengamos libre, como en mi caso por la DMZ, as que marco este check y conecto los firewall con un clable cruzado entre los

1 de 4

01/12/2007 1:12

Fortigate - Clustering

http://www.bujarra.com/ProcedimientoFortigateCluster.html

interfaces de la DMZ. "OK". Tenemos que ser pacientes y esperar un buen rato a que se cre el clster, ya que el fortigate tendr que reiniciarse. Damos unos cinco minutos para continuar con el siguiente paso.

Ahora hacemos lo mismo en el otro firewall, si antes lo hemos configurado en el 192.168.2.1, ahora lo haremos en el otro 192.168.2.2, metiendo el mismo nombre de clster para unirnos a l con su misma contrasea. "OK". Ahora el FW se reiniciar, somos otra vez pacientes y esperamos a que se una al clster.

2 de 4

01/12/2007 1:12

Fortigate - Clustering

http://www.bujarra.com/ProcedimientoFortigateCluster.html

Una vez reiniciados, veremos que en la consola principal la imagen ya nos ha cambiado y vemos varios juntos, esto significa que hay un clster, en la pantalla ya indica quienes son los miembros del clster. A la hora de crear el clster tenemos que tener en cuenta que el primer que hagamos, desde el que creemos el clster, ser el que mantenga la configuracin, ya que los dems la irn heredando de l.

3 de 4

01/12/2007 1:12

Fortigate - Clustering

http://www.bujarra.com/ProcedimientoFortigateCluster.html

Y desde "System" > "Config" veremos ms opciones y quienes son miembros...

Podemos hacer una prueba, por ejemplo un ping hacia el exterior y apagar uno de forma brusca, quitandole la alimentacin o lo que fuera. Vemos que el ping se corta, por que el clster de fortigate todava le queda mucho por mejorar pero que al de un par de segundos todo vuelve a su cauce con el otro fortigate. As que el clster funciona perfectamente.
v 1.0

4 de 4

01/12/2007 1:12