防火墙 HA 配置系列文章:
概述
FortiOS 提供 6 种冗余解决方案,工业标准的 VRRP 和 5 种专有的解决方案:
FortiGate Cluster Protocol (FGCP) high availability,
FortiGate Session Life Support Protocol (FGSP) high availability,
Session-Aware Load Balancing Clustering (SLBC),
Enhanced Load Balanced Clustering (ELBC),
Content Clustering.
FGCP HA 是 ForitOS 最常用的 HA 配置方式,也是本文描述的内容。
FGCP HA 参考拓扑:
FGCP HA
FortiGate HA 集群由为 HA 操作配置的两到四个 FortiGate 组成。集群中的每个 FortiGate 称为集群设备。所有集群设备必须是相同的 ForitGate 型号,安装相同的 FortiOS 固件版本。所有集群设备还必须具有相同的硬件配置 (例如,相同数量的硬盘等等),并以相同的操作模式 (NAT 模式或透明模式) 运行。
您可以创建最多由四个 FortiGate 组成的 FGCP 集群。
此外,集群设备必须能够通过心跳接口彼此通信。创建集群并继续运行集群需要这种心跳通信。没有它,集群就像独立 FortiGate 的集合。
在启动时,使用相同的 HA 配置配置集群设备并连接它们的心跳接口之后,集群设备使用 FortiGate 集群协议 (FGCP) 査找为 HA 操作配置的其他 FortiGate,并协商创建集群。在集群操作期间,FGCP 通过心跳接口链接在集群设备之间共享通信和同步信息。这种通信和同步称为 FGCP 心跳或者 HA 心跳。通常,简称为心跳。
集群使用 FGCP 选择主设备,并提供设备、链接和会话故障转移。FGCP 还管理两种 HA 模式:主动 - 被动 (故障转移 HA) 和主动 - 主动 (负载均衡 HA)。
不同步的配置
FGCP 使用增量同步和周期性同步的组合,以确保所有集群设备的配置与主设备的配置同步。这意味着在大多数情况下,你只需进行—次配置更改,就可以将其同步到所有集群设备。这包括包含额外信息的特殊配置设置 (例如,第三方证书、替换消息文本文件和图形等)。
某些配置设置不同步,以支持 FortiGate 某些特定操作。以下设置在集群设备之间不同步:
FortiGate 主机名。允许你识别集群设备。
最低0.47元/天 解锁文章
扫一扫
780
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
