本文详细介绍了FortiOS中FortiGate Cluster Protocol (FGCP)高可用性配置,包括配置步骤、建议和注意事项。内容涵盖FGCP HA的工作模式、配置要求、同步机制和故障转移。建议配置多条心跳线缆,优先使用光纤,并开启会话同步以确保高可靠性。同时,警告谨慎使用override功能,以防预期之外的主备切换。
概述
FortiOS 提供 6 种冗余解决方案,工业标准的 VRRP 和 5 种专有的解决方案:
- FortiGate Cluster Protocol (FGCP) high availability,
- FortiGate Session Life Support Protocol (FGSP) high availability,
- Session-Aware Load Balancing Clustering (SLBC),
- Enhanced Load Balanced Clustering (ELBC),
- Content Clustering.
FGCP HA 是 ForitOS 最常用的 HA 配置方式,也是本文描述的内容。
FGCP HA 参考拓扑:
FGCP HA
FortiGate HA 集群由为 HA 操作配置的两到四个 FortiGate 组成。集群中的每个 FortiGate 称为集群设备。所有集群设备必须是相同的 ForitGate 型号,安装相同的 FortiOS 固件版本。所有集群设备还必须具有相同的硬件配置 (例如,相同数量的硬盘等等),并以相同的操作模式 (NAT 模式或透明模式) 运行。
您可以创建最多由四个 FortiGate 组成的 FGCP 集群。
此外,集群设备必须能够通过心跳接口彼此通信。创建集群并继续运行集群需要这种心跳通信。没有它,集群就像独立 FortiGate 的集合。
在启动时,使用相同的 HA 配置配置集群设备并连接它们的心跳接口之后,集群设备使用 FortiGate 集群协议 (FGCP) 査找为 HA 操作配置的其他 FortiGate,并协商创建集群。在集群操作期间,FGCP 通过心跳接口链接在集群设备之间共享通信和同步信息。这种通信和同步称为 FGCP 心跳或者 HA 心跳。通常,简称为心跳。
集群使用 FGCP 选择主设备,并提供设备、链接和会话故障转移。FGCP 还管理两种 HA 模式:主动 - 被动 (故障转移 HA) 和主动 - 主动 (负载均衡 HA)。
不同步的配置
FGCP 使用增量同步和周期性同步的组合,以确保所有集群设备的配置与主设备的配置同步。这意味着在大多数情况下,你只需进行—次配置更改,就可以将其同步到所有集群设备。这包括包含额外信息的特殊配置设置 (例如,第三方证书、替换消息文本文件和图形等)。
某些配置设置不同步,以支持 FortiGate 某些特定操作。以下设置在集群设备之间不同步:
- FortiGate 主机名。允许你识别集群设备。
- GUI 仪表板配置。故障转移只有,你可能必须重新配置仪表板小部件。
- HA 覆盖。
- HA 设备优先级。
- 虚拟集群 1 和虚拟集群 2 设备优先级。
- ping 服务器或死网关检测配置的 HA 优先级 (ha-priority) 设置。
- 成为 HA 保留管理接口的 FortiGate 接口的系统接口设置。
- 保留管理接口的默认路由,使用
config system ha命令的ha-mgmt-interface-gateway选项设置。 - 动态加权负载均衡阈值和高低水印。
- OSPF summary-addresses 设置。
此外,许可证是不同步的,因为每个 FortiGate 必须单独许可。这包括 FortiCloud 激活和 FortiClient 许可,如果你购买了超过 10 个虚拟域 (VDOM),则输入一个许可密钥。
HA 工作模式
Active-Passive(A-P)模式:
集群中的所有防火墙必须工作在同一个模式下。可以对运行中的 HA 集群进行模式的修改,但会造成一定的延时,因为集群需要重新协商并选取新的主设备。A-P 模式提供了备机保护。HA 集群中由一台主设备,和一台以上到从设备组成。
从设备与主设备一样连接到网络,但不处理任何的数据包,从设备处于备用状态。从设备会自动同步主设备的配置,并时刻监视主设备到运行
最低0.47元/天 解锁文章
扫一扫
2724
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
