通过展示FortiGate HA的能力,你将能够在网络中配置冗余防火墙集群,验证其运行状态,并进行更改以满足你的业务和安全要求。
集群包括一个充当主FortiGate(也称为活动FortiGate)的设备。主设备将其完整配置发送给加入集群的其他成员,覆盖其配置(少数设置除外)。它还将会话信息、FIB条目、FortiGuard定义和其他操作相关信息同步到辅助设备,这些设备也称为备用设备。
该集群在所有设备(也称为成员)之间共享一个或多个心跳接口,用于同步数据并监控每个成员的健康状况。
有两种HA操作模式可供选择:主动-主动和主动-被动。现在,你将了解它们之间的区别。
在两种HA操作模式中的任何一种中,主FortiGate的操作信息(会话、FIB条目等)都与备用设备同步。如果在主FortiGate上检测到问题,其中一个备用设备将接管主要角色。此事件称为HA故障转移。
如果备用FortiGate设备出现故障,主设备将更新其可用的备用FortiGate设备列表。它还开始监控失败的备用设备,等待它再次上线。
与主动-被动HA一样,在主动-主动HA中,与操作相关的数据在集群中的设备之间同步。此外,如果在主设备上检测到问题,其中一个备用设备将接管主设备的角色来处理流量。
然而,与主动-被动模式的主要区别之一是,在主动-主动模式下,所有集群成员都可以处理流量。也就是说,根据HA设置和流量类型,主FortiGate可以将受支持的会话分发到备用设备。如果其中一个备用设备出现故障,主设备也会将会话重新分配到不同的备用FortiGate。
● 型号:相同的硬件型号或虚拟机型号
● 固件版本
● 许可:包括FortiGuard许可证、虚拟域(VDOM)许可证、FortiClient许可证等
● 硬盘配置:相同的驱动器和分区数量和大小
● 操作模式:操作模式-管理VDOM的NAT模式或透明模式。VDOM将FortiGate设备划分为两个或多个虚拟单元,基本上将一个物理防火墙划分为额外的逻辑设备。
如果成员之间的许可级别不相同,集群将决定使用所有成员中最低的许可级别。例如,如果你只为集群中的一个成员购买FortiGuard Web过滤,那么任何成员在组成集群时都不会支持FortiGuard Web过滤。
从配置和设置的角度来看,你必须确保每个成员的HA设置具有相同的组ID、组名、密码和心跳接口设置。尝试将所有心跳接口放置在同一个广播域中,或者对于双元集群,直接连接它们。出于冗余目的,配置至少两个心跳接口也是最佳做法。这样,如果一个心跳链接失败,集群将使用下一个,如心跳接口列表中的优先级和位置所示。优先级定义如上图所示,更高的值意味着更高的优先级。
如果你正在使用DHCP或以太网点对点协议(PPPoE)接口,请在集群初始设置期间使用静态配置,以防止错误的地址分配。集群形成后,你可以恢复到原始界面设置。
1. 集群比较了状态为up的受监控接口的数量。拥有最多可用监控接口的成员成为主要成员。
2. 该集群比较每个成员的HA正常运行时间。HA正常运行时间最高的成员,至少五分钟,成为主要成员。
3. 优先级最高的成员成为主要成员。
4. 序列号最高的成员成为主要成员。
当HA覆盖被禁用时,HA正常运行时间优先于优先级设置。这意味着,如果你必须手动故障转移到备用设备,你可以通过减少主FortiGate的HA正常运行时间来做到这一点。你可以通过在主FortiGate上运行诊断sys ha reset-uptime命令来做到这一点,该命令将其HA正常运行时间重置为0。
请注意,诊断sys ha reset-uptime命令重置HA正常运行时间,而不是系统正常运行时间。此外,请注意,如果监控接口失败或成员重新启动,该成员的HA正常运行时间将重置为0。
上图还展示了如何识别成员之间的HA正常运行时间差异。正常运行时间列中带有0的成员表示正常运行时间最低的设备。该示例显示,序列号以92结尾的设备的HA正常运行时间比HA集群中的其他设备高7814秒。reset_cnt列表示该设备的HA正常运行时间重置次数。
这种方法的优点是,你可以通过将设备配置为最高的HA优先级值来指定每次(只要它已启动并运行)的首选主设备。缺点是,不仅当主服务器失败时,而且当主服务器再次可用时,也会触发故障转移事件。也就是说,当主角色再次可用时,它从暂时取代它的次要FortiGate中夺回其主要角色。
启用覆盖后,触发故障转移的最简单方法是更改HA优先级。例如,你可以增加其中一个备用设备的优先级,也可以降低主设备的优先级。
覆盖设置和设备优先级值不会同步到集群成员。你必须手动启用覆盖并调整每个成员的优先级。
它通过广播hello数据包和监听集群中其他成员的hello数据包来监控集群。成员使用hello数据包来识别其他FortiGate设备是否活跃且可用。
主FortiGate还将其操作相关数据同步到备用设备。一些同步的数据包括其配置、FIB条目、DHCP租赁、ARP表、FortiGuard定义和IPsec隧道安全关联(SA)。请注意,配置的某些部分是不同步的,因为它们是特定于设备的。例如,主机名、HA优先级和HA覆盖设置不同步。
或者,你可以配置主FortiGate,将限定会话同步到所有备用设备。当你启用会话同步时,新的主设备可以在故障转移事件后恢复会话的通信。目标是让现有会话继续通过新的主FortiGate,中断最小或没有中断。你可以在后面的课程了解哪些类型的会话启用同步。
仅在主动-主动模式下,主FortiGate也负责将会话分发到备用成员。
与主设备一样,备用设备也广播hello数据包,用于发现和监控目的。
此外,在主动-被动模式下,辅助设备充当备用设备,接收同步数据,但实际上不处理任何流量。如果主FortiGate失败,备用设备将选择一个新的主设备。一旦集群同步,在备用设备上所做的配置更改就会传播到其他成员。换句话说,对于同步的集群,你可以对其任何成员进行更改——不仅仅是主设备——并且所有更改都在集群成员之间同步。但是,建议你在主设备上进行配置更改,因为如果集群成员之间存在同步问题,这可以防止配置更改丢失。
在主动-主动模式下,备用设备不会被动等待。他们处理主设备分配给他们的所有流量。
当FortiGate设备加入或离开集群时,心跳IP地址可能会发生变化。在这些情况下,集群重新谈判心跳IP地址分配,这次考虑到任何新设备的序列号,或删除离开集群的任何设备的序列号。
HA集群使用心跳IP地址来区分集群成员并同步数据。这些IP是不可路由的,仅用于FGCP操作。
此外,你必须至少配置一个端口作为心跳接口,但最好配置两个端口以进行冗余。对于心跳接口,你只能使用物理接口。也就是说,你不能使用VLAN、IPsec VPN、冗余或802.3ad聚合接口。你也不能使用FortiGate交换机端口。
要让链接故障转移正常工作,你必须配置一个或多个受监控接口。受监控的接口应该是故障对网络产生严重影响的接口,因此应该触发设备故障转移。例如,你的局域网或广域网接口通常是受监控接口的好选择。然而,心跳接口不应配置为受监控接口,因为它们不用于处理用户流量。请注意,你可以监控物理端口、冗余接口和链路聚合组(LAG)接口。
作为最佳实践,请等到集群启动并运行并且所有接口都已连接,然后再配置链路故障转移。这是因为在初始设置期间可以断开受监控的接口,因此在完全配置和测试集群之前触发故障转移。
FortiGate HA使用增量和完全同步的组合。
当你将新的FortiGate添加到集群时,主FortiGate会将其配置校验和与新的备FortiGate配置校验和进行比较。如果校验和不匹配,主FortiGate将其完整配置上传到备FortiGate。
默认情况下,集群每60秒检查一次,以确保所有设备都同步。如果辅助设备不同步,则每15秒检查一次校验和。如果异步辅助设备的校验和与五次连续检查不匹配,则完成与该辅助设备的完全重新同步。
● HA保留管理界面的系统界面设置和保留管理界面的HA默认路由
● 带内HA管理接口
● HA故障转移
● HA设备优先级
● 虚拟集群优先级
● FortiGate主机名
● ping服务器(或死网关检测)配置的HA优先级设置
● 除FortiToken许可证(序列号)外的所有许可证
● 缓存
● GUI仪表板部件
默认情况下,该功能会同步不受基于代理的检查的TCP防火墙会话。此规则的一个例外是SIP ALG检查的TCP SIP会话。即使SIP ALG对SIP会话执行基于代理的检查,FortiGate仍然可以同步此类SIP会话。防火墙会话,也称为直通会话,是穿越FortiGate的用户流量会话。接受基于流的检查或根本没有检查的TCP防火墙会话与辅助成员同步。
你还可以启用UDP和ICMP会话的同步。虽然这两种协议都是无连接协议,但FortiGate仍然在其会话表中为UDP和ICMP连接分配会话。通常,UDP和ICMP会话不需要同步,因为如果会话信息丢失,大多数UDP和ICMP连接可以恢复通信。
对于多播流量,FortiGate仅同步多播路由。也就是说,FortiGate不同步多播会话,这应该没问题,因为多播会话大多是基于UDP的,如前所述,如果会话信息丢失,UDP会话通常可以恢复通信。为了确保跨成员的多播路由信息准确无误,你可以调整多播实时(TTL)计时器。计时器控制新主服务器在多播转发表中保持同步多播路由的时间。计时器值越小,更频繁地刷新路由,因此多播转发表越准确。推荐的计时器值为120秒。
本地入和本地出会话,分别在FortiGate终止或由FortiGate发起的会话,也不同步。例如,故障转移后必须重新启动BGP对等、OSPF邻接以及SSH和HTTPS管理连接。
对于SSL VPN,用户必须在故障转移后通过重新连接到VPN来重新启动SSL VPN隧道。
当你配置远程链路故障转移时,FortiGate使用链路健康监视器功能来监控一个或多个接口对充当信标的一个或多个服务器的健康状况。如果所有失败接口的累积惩罚达到配置的阈值,则主FortiGate将失败。
如果你启用基于内存的故障转移,当主FortiGate上的内存利用率达到已配置监控期间的配置阈值时,将触发HA故障转移。你还可以启用SSD故障转移,如果FortiOS在主FortiGate上的SSD上检测到Ext-fs错误,则会触发故障转移。
有多个事件可能会触发HA故障转移,例如主FortiGate上的硬件或软件故障,主接口之一的问题,或管理员触发的故障转移。当发生故障转移时,会生成事件日志。或者,你可以将设备配置为也生成SNMP陷阱和警报电子邮件。
确保你为要保护的会话启用会话拾取功能,防止故障转移事件。这样,新的主设备可以恢复这些会话的流量。
这三个设置的默认值因型号而异。例如,在FortiGate2000E型号上使用默认值会导致设备故障转移时间为1200毫秒(1.2秒)。
要配置链路故障转移,你必须配置一个或多个受监控接口,如上图所示。请注意,你只能将物理、冗余和LAG接口配置为受监控接口。
首先,你配置链接运行状况监视器。链接运行状况监视器配置中的ha-priority设置定义了在链路检测为死后应用于成员的惩罚。请注意,ha-priority设置仅具有本地意义,因此不会与其他成员同步。
下一步是配置与远程链路故障转移相关的HA设置。上图的配置指示FortiGate在端口1上执行远程链路故障转移,如下所示:
● 当端口1被检测为死亡时,名义惩罚(10)被添加到全局惩罚中,全局惩罚最初设置为0。
● 如果累积的处罚达到处罚阈值(5),则集群将选择一个新的初选。当次要成员的累积惩罚低于主要成员时,就会发生故障转移。如果是这样,累积处罚最低的次要成员将成为新的主要成员。
● 在ping服务器翻转超时之前,集群不会再次选择新的主设备。换句话说,在这种情况下,集群每30分钟或更长时间只能遇到一个远程链接故障转移事件。这可以防止震荡连接持续触发HA故障转移。
如果在初选期间,所有成员的累积惩罚是相同的,那么其他标准,如监控界面、优先级、正常运行时间等,将被用作决胜局来选举新的初选。
● 当主设备上的内存达到阈值(70%)并保持30秒时,集群将选择一个新的主设备。
● 在初级选举期间,当辅助成员的内存使用率低于配置的内存阈值(70%)时,会发生故障转移。如果是这样,备设备将成为新的主设备。
● 在基于内存的故障转移后,同一个FortiGate成员至少等待20分钟,然后才会发生另一个基于内存的故障转移。如果其他集群成员符合其标准,他们仍然可以启动基于内存的故障转移。
● 集群中的每个成员每2秒检查其内存使用情况。
如果在初选期间,所有成员的内存使用率都低于或高于阈值,那么其他标准,如监控接口、优先级、正常运行时间等,将用作选择新初选的平局。
通过心跳,主服务器将分配的虚拟MAC地址通知所有辅助设备。在故障转移时,辅助设备为等效接口采用相同的虚拟MAC地址。
新的主广播免费的ARP数据包,通知网络每个虚拟MAC地址现在可以通过不同的交换机端口访问。
请注意,保留的HA管理接口的MAC地址不会更改为虚拟MAC地址。相反,保留的管理界面会保留其原始MAC地址。
全网格HA拓扑的目标是消除单个故障点,不仅通过让多个FortiGate设备形成集群,而且通过与相邻交换机的冗余链接。目标是为上游和下游链路提供两个交换机,然后将冗余链路连接到不同的交换机。例如,上图的拓扑显示两个FortiGate设备形成一个集群,每个FortiGate都连接到两个冗余交换机,使用两个不同的接口。
要实现相邻交换机的冗余,你必须部署冗余或LAG接口。如果你使用冗余接口,则只有一个接口保持活动状态。这可以防止第2层循环,标准交换就足够了。但是,如果你想使用LAG接口,那么你必须确保交换机支持多机箱链路聚合组(MCLAG)或类似的虚拟LAG技术,该技术使你能够形成一个LAG,其接口成员连接到不同的交换机。FortiSwitch是Fortinet以太网交换机,支持MCLAG。你可以使用FortiSwitch作为相邻交换机,使用FortiGate部署全网格HA拓扑。
在HA页面上,你可以从集群中删除设备。当你从HA中删除设备时,设备操作模式设置为独立。你还可以启用更多列来显示有关每个成员的其他重要信息,例如校验和、CPU和内存。
你还可以在仪表板页面上添加HA状态小部件。该小部件提供了设备上HA状态的摘要。
该命令在用户友好的输出中显示全面的HA状态信息,通常在对HA进行故障排除时作为第一步执行。上图显示了该命令提供的示例输出的第一部分。
在输出开始时,你可以看到集群状态、成员型号、使用的HA模式和集群正常运行时间。示例输出显示集群状态良好,成员型号为FortiGate VM64-KVM,HA模式为主动-被动。
接下来,你可以查看最新的初选事件、结果和原因。
接下来显示配置状态信息。它指示每个成员的配置同步状态。对于两个成员,配置是同步的。
根据配置状态信息,你可以查看系统使用统计信息,其中报告每个成员的性能统计信息。它们指示每个成员处理的会话数量,以及平均CPU和内存使用量。请注意,会话字段考虑了成员处理的任何会话,而不仅仅是当HA模式处于主动-主动状态时分发的会话。
输出从配置的心跳、监控和远程链接接口的状态信息开始。这些接口使集群能够分别执行设备故障转移、链路故障转移和远程链路故障转移保护。
接下来,输出显示集群中每个成员的角色、主机名、序列号和ID信息。输出表明Local-FortiGate和Remote-FortiGate设备分别是主要成员和次要成员。
当你运行diagnose sys ha checksum cluster命令时,使用心跳接口从每个成员轮询校验和。如果HA无法正常工作,或者存在心跳通信问题,那么该命令可能不会显示你运行命令的成员以外的成员的校验和。另一种选择是单独连接到每个成员,然后运行diagnose sys ha checksum show命令。此命令仅显示你连接的成员的校验和。
获得每个成员的校验和后,你可以通过比较校验和来识别配置同步状态。如果所有成员都显示每个配置范围的确切哈希值,则所有成员的配置都是同步的。
为了计算校验和,FortiGate计算以下每个配置范围的哈希值:
● 全局:全局配置,如全局设置、FortiGuard设置等
● 根:特定于根VDOM的设置和对象,如果你配置多个VDOM,FortiGate会计算每个VDOM的哈希值
● 所有:全局配置加上所有VDOM的配置
在某些情况下,即使校验和不同,成员的配置也是同步的。对于这些情况,请尝试运行diagnose sys ha checksum recalculate命令来重新计算HA校验和。
例如,当你使用任何集群虚拟IP地址通过SSH连接到集群时,你将连接到主成员。如果你想连接到其他成员,你可以使用execute ha manage命令访问其CLI。
此命令要求你注明要连接的成员的ID以及你将用于登录的用户名。要获取成员ID列表,你可以在execute ha manage命令的末尾添加一个问号,如上图所示。
FortiGate为管理员提供了两种直接连接到成员的方式,无论成员角色是什么。保留的HA管理接口是带外选项。你最多配置四个专用管理接口,并为每个成员分配一个唯一的地址。然后,你可以使用分配给每个成员的唯一地址直接连接到他们。你还可以指示FortiGate将专用管理界面用于一些出站管理服务,如SNMP陷阱、日志和身份验证请求。
或者,你可以配置带内HA管理,这使你能够为成员分配唯一的管理地址,而无需为此留出接口。你将管理地址分配给该成员使用的任何用户流量,然后使用该唯一的管理地址连接到该成员。
如果你有未使用的接口,那么使用保留的HA管理接口通常更方便,因为用户和管理流量不必竞争。许多FortiGate型号都带有管理界面,你可以将其用于此目的。此外,保留的HA管理接口的路由信息被放置在单独的路由表中,这意味着你在FortiGate路由表中看不到接口路由。这允许在数据和管理流量之间进行分割。
上图还显示了两个管理选项的配置示例。对于这两个选项,你对成员应用的配置不会与集群中的其他成员同步。
此外,就像在独立的FortiGate设备上一样,设备必须重新启动才能应用新固件。然而,默认情况下启用不间断升级,以便首先升级集群中的辅助成员。管理员在主固件上应用新固件后,不间断升级工作如下:
1. 主设备使用心跳接口将固件发送给所有辅助成员。
2. 辅助设备首先升级其固件。如果集群以主动-主动模式运行,主集群将暂时接管所有流量。
3. 第一个完成固件升级的备设备接管了集群。
4. 前者主设备成为辅助设备,接下来升级其固件。
请注意,根据HA设置和正常运行时间,升级后,原始主可能仍为次要。稍后,如果需要,你可以发出手动故障转移。或者,你可以在主FortiGate上启用覆盖设置,以确保它在升级固件后再次接管集群,只要设备被分配到更高的优先级。
如果你希望集群同时升级所有成员以加快流程,你可以同时启用升级。然而,此选项将对服务产生影响。仅限本地选项允许你仅升级本地设备。仅限辅助选项允许你升级辅助成员,但主FortiGate不会升级。仅限本地和仅限次要选项仅旨在将集群暂时放在不同的固件版本上,以更好地控制要升级的成员以及何时升级。当集群具有不同的固件版本时,配置不会同步。
通过掌握本课中涵盖的目标,你了解了FortiGate HA的基础知识以及如何配置它。
659
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
