FortiGate FGCP HA 配置文档

本文详细介绍了FortiOS中FortiGate Cluster Protocol (FGCP)高可用性配置,包括配置步骤、建议和注意事项。内容涵盖FGCP HA的工作模式、配置要求、同步机制和故障转移。建议配置多条心跳线缆,优先使用光纤,并开启会话同步以确保高可靠性。同时,警告谨慎使用override功能,以防预期之外的主备切换。
摘要由CSDN通过智能技术生成

概述

FortiOS 提供 6 种冗余解决方案,工业标准的 VRRP 和 5 种专有的解决方案:

  • FortiGate Cluster Protocol (FGCP) high availability,
  • FortiGate Session Life Support Protocol (FGSP) high availability,
  • Session-Aware Load Balancing Clustering (SLBC),
  • Enhanced Load Balanced Clustering (ELBC),
  • Content Clustering.

FGCP HA 是 ForitOS 最常用的 HA 配置方式,也是本文描述的内容。

FGCP HA 参考拓扑:

FGCP HA

FortiGate HA 集群由为 HA 操作配置的两到四个 FortiGate 组成。集群中的每个 FortiGate 称为集群设备。所有集群设备必须是相同的 ForitGate 型号,安装相同的 FortiOS 固件版本。所有集群设备还必须具有相同的硬件配置 (例如,相同数量的硬盘等等),并以相同的操作模式 (NAT 模式或透明模式) 运行。

您可以创建最多由四个 FortiGate 组成的 FGCP 集群。

此外,集群设备必须能够通过心跳接口彼此通信。创建集群并继续运行集群需要这种心跳通信。没有它,集群就像独立 FortiGate 的集合。

在启动时,使用相同的 HA 配置配置集群设备并连接它们的心跳接口之后,集群设备使用 FortiGate 集群协议 (FGCP) 査找为 HA 操作配置的其他 FortiGate,并协商创建集群。在集群操作期间,FGCP 通过心跳接口链接在集群设备之间共享通信和同步信息。这种通信和同步称为 FGCP 心跳或者 HA 心跳。通常,简称为心跳。

集群使用 FGCP 选择主设备,并提供设备、链接和会话故障转移。FGCP 还管理两种 HA 模式:主动 - 被动 (故障转移 HA) 和主动 - 主动 (负载均衡 HA)。

不同步的配置

FGCP 使用增量同步和周期性同步的组合,以确保所有集群设备的配置与主设备的配置同步。这意味着在大多数情况下,你只需进行—次配置更改,就可以将其同步到所有集群设备。这包括包含额外信息的特殊配置设置 (例如,第三方证书、替换消息文本文件和图形等)。

某些配置设置不同步,以支持 FortiGate 某些特定操作。以下设置在集群设备之间不同步:

  • FortiGate 主机名。允许你识别集群设备。
  • GUI 仪表板配置。故障转移只有,你可能必须重新配置仪表板小部件。
  • HA 覆盖。
  • HA 设备优先级。
  • 虚拟集群 1 和虚拟集群 2 设备优先级。
  • ping 服务器或死网关检测配置的 HA 优先级 (ha-priority) 设置。
  • 成为 HA 保留管理接口的 FortiGate 接口的系统接口设置。
  • 保留管理接口的默认路由,使用 config system ha 命令的 ha-mgmt-interface-gateway 选项设置。
  • 动态加权负载均衡阈值和高低水印。
  • OSPF summary-addresses 设置。

此外,许可证是不同步的,因为每个 FortiGate 必须单独许可。这包括 FortiCloud 激活和 FortiClient 许可,如果你购买了超过 10 个虚拟域 (VDOM),则输入一个许可密钥。

HA 工作模式

Active-Passive(A-P)模式:

集群中的所有防火墙必须工作在同一个模式下。可以对运行中的 HA 集群进行模式的修改,但会造成一定的延时,因为集群需要重新协商并选取新的主设备。A-P 模式提供了备机保护。HA 集群中由一台主设备,和一台以上到从设备组成。

从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值