در این مقاله توضیح دادهایم که چطور میتوان یک فورتی گیت بکاپ را نصب کرد و به فورتی گیتی که قبلا نصب شده است، کانکت نمود. این تنظیمات که به HA FortiGate معروف است با هدف افزایش قابلیت اطمینان شبکه انجام میگیرد.
قبل از شروع، اطمینان حاصل کنید که یک ورژن سیستم عامل کاملا یکسان بر روی هر دو دستگاه FortiGate اجرا میشود و پورتهای آنها طوری تنظیم شدهاند که آدرسشان را از DHCP و PPPoE دریافت نمیکنند.
1- افزودن فورتی گیت بکاپ و تنظیمات HA
در صورتی که فورتیگیتها در یک کلاستر، FortiOS Carrier را اجرا کنند، لایسنس FortiOS Carrier را قبل از انجام تنظیمات cluster انجام دهید (و حتی قبل از اعمال لایسنسهای دیگر). اعمال لایسنس FortiOS Carrier، منجر به اجرای تنظیمات به صورت پیش فرض کارخانه میگردد، و شما را ملزم به تکرار مراحل انجام شده قبل از اعمال لایسنس میکند.
اطمینان حاصل کنید که هر دو FortiGate دارای نسخه مشابهی از FortiOS هستند. قبل از افزودن به cluster، لایسنس را برای فورتی گیت جدید register و اجرا کنید، که شامل فعالسازی FortiCloud و لایسنس FortiClient و همچنین وارد کردن license key در صورتی که بیش از 10 Virtual Domains خریداری نمودهاید، میگردد.
قابل ذکر است تمامی فورتیگیتها در یک cluster میبایست دارای لایسنس مشابهی برای FortiGuard ، FortiCloud ، FortiClient و VDOMs باشند. لایسنسهای FortiToken را همیشه میتوان اضافه نمود، زیرا آنها با کل اجزا cluster سینک شدهاند.
همان طور که در نمودار زیر نشان داده شده، شبکه خود را توسط کابلهای اترنت که پورتهای HA heartbeat مربوط به دو دستگاه فورتی گیت را کانکت میکند، ایجاد کنید.
در صورتی که فورتی گیت شما، فاقد پورتهای HA heartbeat اختصاصی باشد، میتوانید از پورتهای مختلف دیگری استفاده کنید، مشروط بر این که، آن پورتها برای عملکردهای دیگر مورد استفاده قرار نگیرند.
یک سوییچ باید بین فورتیگیتها و اینترنت باشد و همچنین باید از یک سوییچ دیگر بین فورتی گیت و شبکه داخلی استفاده شود.
ابتدا به فورتی گیت اصلی (primary) کانکت شوید و سپس به قسمت System > Dashboard > Status وارد شده و ویجت System Information را پیدا کنید.
نام هاست دستگاه را تغییر دهید تا آن را به عنوان فورتی گیت primary شناسایی کند.
در ویجت System Information، میتوانید HA Status را تنظیم کنید و Mode آن را در حالت Active-Passive قرار دهید و Group Name و Password را نیز مشخص کنید.
به مقدار Device Priority توجه داشته باشید، که برای تنظیمات فورتی گیت backup از چه عددی استفاده میشود. هر دستگاهی که دارای Device Priority بالاتری باشد، آن دستگاه به عنوان master (primary) شناسایی میشود.
اطمینان حاصل کنید که هر دو پورت Heartbeat انتخاب شدهاند و مقدار priorities هر دو 50 باشد. در صورتی که با انجام مراحل فوق، HA mode آغاز نشد، مطمئن شوید که هیچ یک از رابطهای فورتیگیتها از DHCP یا PPPoE استفاده نمیکنند.
چنانچه FortiGate Cluster دیگری بر روی شبکه شما وجود داشته باشد، ممکن است نیاز به تغییر Cluster Group ID که از دستورات CLI استفاده میکند، باشد.
حال به فورتی گیت بکاپ کانکت شده و سپس وارد قسمت System > Dashboard > Status شوید. نام هاست را تغییر دهید تا آن را به عنوان فورتی گیت بکاپ شناسایی کند.
سپس HA Status را تنظیم نموده و Mode آن را در حالت Active-Passive انتخاب کنید. مقدار Device Priority را پایینتر از فورتی گیت primary در نظر بگیرید. توجه داشته باشید که Group Name و پسورد در هر دو فورتی گیت دقیقا باید مانند هم باشند. در ضمن هر دو پورت Heartbeat باید انتخاب شوند و priorities آنها روی 50 تنظیم شود.
چنانچه برای دستگاه primary از دستورات CLI استفاده نمودید، cluster group id را تغییر دهید.
به فورتی گیت primary کانکت شوید و سپس جهت مشاهده اطلاعات cluster به قسمت System > Config > HA وارد شوید. همچنین جهت اطلاعات بیشتر در مورد چگونگی عملکرد cluster و ترافیک فرایند آن وارد قسمت View HA Statistics شوید.
2- نتایج
اکنون ترافیک از فورتی گیت primary عبور میکند. در صورتی که فورتی گیت اصلی (primary) از دسترس خارج گردد، فورتی گیت بکاپ، مسئولیت رسیدگی به ترافیک را بر عهده میگیرد. این عدم موفقت ناشی از در دسترس نبودن فورتی گیت اصلی، منجر به برعکس شدن نقش فورتی گیتهای اصلی و بکاپ میگردد، حتی اگر هر دو فورتی گیت دوباره در دسترس باشند.
برای آزمایش این مطلب، آدرس آی پی 8.8.8.8 را با استفاده از کامپیوتر در شبکه داخلی، پینگ کنید. بعد از یک لحظه، فورتی گیت اصلی (primary) را خاموش کنید. کمی توقف را در نتایج پینگ مشاهده خواهید نمود، تا این که ترافیک به سمت فورتی گیت بکاپ هدایت شود و اجازه دهد ترافیک پینگ، ادامه داشته باشد.
3- بروزرسانی سیستم عامل HA cluster (اختیاری)
زمانی که نسخه جدیدی از سیستم عامل FortiOS در دسترس قرار می گیرد، بروز رسانی سیستم عامل فورتی گیت primary باعث میشود به طور خودکار سیستم عامل فورتی گیت بکاپ نیز، آپگرید شود. همیشه قبل از نصب سیستم عامل جدید، Release Note و مطالب Supported Upgrade Paths را مرور کنید.
جهت مشاهده ویجت System Information به قسمت System > Dashboard > Status وارد شوید. اکنون فورتی گیت هایی که در حالت HA قرار دارند، تنظیمات آنها سینک شده و ویجت System Information اطلاعات هر دو دستگاه را نشان میدهد.
حال گزینه Backup را که در کنار System Configuration هست، انتخاب کنید، و به خاطر داشته باشید قبل از انجام هر گونه بهروزرسانی سیستم عامل، از تنظیمات خود بکاپ تهیه کنید (در ورژنهای جدید OS، بکاپگیری به طور خوکار انجام میشود).
جهت مشاهده ویجت System Information به قسمت System > Dashboard > Status وارد شوید. آیتم Upgrade را که در کنار Firmware Version است انتخاب کنید. firmware image file را که دانلود کردهاید، پیدا نموده و سپس دکمه OK را انتخاب کنید تا firmware build آپلود و نصب شود. این سیستم عامل بر روی هر دو فورتی گیت اصلی و بکاپ، لود خواهد شد.
به قسمت System > Dashboard > Status وارد شوید و سپس تایید کنید که ویجت System Information، نسخه جدید سیستم عامل را نشان میدهد.
نکته: ممکن است در ورژنهای مختلف FortiOS، محل قرارگیری زیرمنوها تغییر کند.