【高级篇 / System】(7.0) ❀ 04. 高可用性 HA 配置 ❀ FortiGate 防火墙

　　我们在机柜的最上方安装了一台思科的交换机和思科路由器，用来集中管理所有的设备，在我们配置HA的时候，就会发现它们的功能和作用了。

 前面我已经将思科路由器的接口配置了IP地址10.10.10.10，可以通过Telnet这个地址，再登录到其它设备的控制口。

 然后我们又把交换机的1~12口分配给了VLAN 10，所有设备的管理口都接入VLAN 10，路由器和电脑也接入，电脑的IP地址设置为10.10.10.100，就可以访问路由器的FE0/0口了。

 两台防火墙的CONSOLE口分别接入思科路由器的八爪鱼线，MGMT管理口分别接入思科交换机的VLAN 10。这样所有的物理连接就准备好了。

 电脑网卡IP地址设置为10.10.10.100，启用SecureCRT，点击前面已经建好的Telnet 10.10.10.10的会话链接。

　　① 显示出菜单，输入c2，登录第一台FortiGate 500E防火墙。

　　② 再次按回车，出现FortiGate 500E的登录提示，输入默认管理员帐号admin，如果防火墙是初始配置，那么密码不用输入，直接按回车，因为默认密码为空。防火墙强制要求设置新的密码，输入两次一样的新密码，登录成功。

　　③ 输入config system interface配置系统接口命令，再输入edit mgmt编辑管理接口，用show命令可以查看MGMT接口当前的配置。我们可以看到MGMT接口默认IP是192.168.1.99，由于我们已经把MGMT接口接入到思科交换机的VLAN 10中，因此这里用命令set ip 10.10.10.20 255.255.255.0修改MGMT接口的IP地址，以方便统一管理。最后用end命令保存退出。

　　④ 第一台防火墙初步配置完成，要返回到思科路由器，按Ctrl+Shift+6键，也就是Ctrl+^，返回思科路由器提示，输入rc2回车，清除这条线路。再输入c3登录第二台防火墙。

 　　⑤ 第二台防火墙的登录情况与第一台一样，两台防火墙的密码设置为相同。

 　　⑥ 将第二台防火墙的MGMT接口IP设置为10.10.10.21，第一台是10.10.10.20，这样可以用两个IP分别登录两台防火墙。

 　　⑦ 按Ctrl+Shift+6键，也就是Ctrl+^，返回思科路由器提示，输入rc3回车，清除这条线路。这样命令阶段的配置就完成了。

 打开火狐或谷歌浏览器，由于电脑网卡和防火墙的MGMT口目前都是接入在思科交换机的VLAN 10，而且都是在同一网段，因此直接用http://10.10.10.20，访问第一台FortiGate 500E防火墙，初次访问会显示不是私密连接，点击【高级】。

　　① 点击【继续前往10.10.10.20 (不安全）】，浏览器会从防火墙下载一个证书文件，下次登录的时候就不会出现这个提示了。

　　② 出现身份验证界面，输入帐号admin和在命令行下新建的密码，点击【Login】。

　　③ 提示建议完成上面的系列设置，这里点击【Later】，下次再说。

　　④ 显示FortiOS 7.0的新功能，这里启用【Don't show again】，不再显示，点击【OK】。

　　⑤ 首次登录所有的内容都是英文显示，初始状态界面会显示设备的固件版本号，这里需要注意的是，如果要做HA，必须两台设备的型号相同，固件版本也要是一样的。

　　⑥ 选择菜单【System】-【Settings】，需要修改主机名称，两台防火墙的主机名称不要相同，这样可以区分当前防火墙是哪一台。将时区修改为北京时间，这对以后生成的日志很有作用。将空闲退出时间从5分钟调整为30分钟，这在初始设置的时候很有必要，因为时间一过就会退出登录。最后是将语言设置为简体中文，点击【应用】。

　　⑦ 刷新页面后就显示成中文了。在配置HA之前还需要做一个动作，就是关闭MGMT接口的DHCP服务，致于为什么，后面会有介绍。选择菜单【网络】-【接口】，选择接口mgmt，点击【编辑】。

 　　⑧ 默认情况下mgmt接口的DHCP服务器是开启里，启击关闭，点击【应用】退出。

  　　⑨ 可以开始配置HA了，选择菜单【系统管理】-【高可靠性】，模式下拉选择【主动-被动】，这个模式下，一台防火墙工作，一台防火墙不工作，但是会同步所有的配置。

　　⑩ 设备优先级默认为128，数字越大越优先，如果这台防火墙要作为主机，那么这个数字就要比另一台防火墙大。输入组名称和密码，都是自定义的，两台互为主备的防火墙，组名称和密码都要完全相同。监控接口是用来判断如果被监控的接口出现故障，就启动主备切换，由于目前还没有配置其它接口，所以现在这里暂时不选择，等确认了要监控哪些接口，再回头设置。心跳接口是用来同步两台防火墙数据的，FortiGate 500E上有专门的HA接口，有的型号没有专门HA口，也可以用其它接口来作为心跳接口。最后启用【保留管理接口】，选择mgmt接口，这样mgmt接口就不会同步，两个接口可以设置不同的IP地址，用来分别登录主备防火墙，而之所以前面要关闭MGMT接口的DHCP服务，也是因为这里在选择接口时，如果接口用启用DHCP，是不会在下拉菜单中显示出来的。点击【应用】。

 配置完成HA后，会显示当前设备的HA状态。由于现在只配置了一台设备的HA，所以只有一栏信息。

 　　① 当配置完HA后，防火墙面板上的HA亮红灯。

　　② 访问10.10.10.21，登录第二台FortiGate 500E防火墙。

　　③ 第二台防火墙的主机名称设置为 OldMei-500E-2，第一台主机名为 OldMei-500E-1，这样登录后，就知道登录哪一台防火墙了。

　　④ 同样需要先修改MGMT接口配置。

　　⑤ 这里显示的是默认的启用DHCP服务器状态，点击关闭。

　　⑥ HA的模式也是选择【主动-被动】。

　　⑦ 高可用性界面的配置和第一台是一样的，唯一的不同就是这台设备作为备机，设备优先级数字设置小一些。不用考虑是设100还是80，只要比第一台的128小就可以了。

 用网线将两台设备的HA接直连。

 　　① 在备机上，查看HA状态，立即可以看到主机信息，备机的状态为【不同步】，不过这个不用担心。

　　② 回到主机上，我们可以看到不同步的信息不见了，这个只要耐心的等几分钟就可以了。

　　③ 两台防火墙的HA都亮了绿灯，说明HA工作正常。

 为了证明两台设备能同步配置，我们对主机做一个小小的改动。编辑port7接口。

　　① 给port7接口设置接口名称，配置IP地址，启用访问协议及DHCP服务。

　　② 可以看到port7信息已经更改，注意左上角，这是在OldMei-500E-1，主机上面。

　　③ 登录第二台防火墙，也就是OldMei-500E-2，我们看到port7的信息也是被更改了，这就说明HA起效果了，同步了两台防火墙的配置。由于两台防火墙的信息相同，当主机出现故障时，备机就可以即时顶替上去，保证了网络不断开。

---