
Bài viết này cung cấp ví dụ về cấu hình Internet dự phòng cho cho mạng của bạn bằng cách sử dụng SD-WAN.Điều này cho phép bạn cân bằng tải ...
Xem thêmTrước khi bắt đầu, bạn hãy kiểm tra lại và chắc chắn rằng các thiết bị Fortigate đang chạy cùng 1 phiên bản firmware và các interface WAN phải cài đặt IP tĩnh không được để DHCP hoặc PPPoE.
Ví dụ này sử dụng giao thức Fortigate Clustering (FGCP) cho HA. Sau khi cấu hình xong, thiết bị Fortigate ban đầu sẽ tiếp tục hoạt động như một Firewall chính, thiết bị Fortigate mới thêm vào sẽ hoạt động ở chế độ dự phòng.
Khai báo License: FortiCare Support, IPS, AntiVirus, Web Filtering, Mobile Malware, FortiClient, FortiCloud, và thêm các virtual domains (VDOMs).
Tất cả các thiết bị Fortigate trong cụm HA phải có license tính năng giống nhau cho FortiGuard, FortiCloud, FortiClient, và VDOMs. Bạn có thể thêm license FortiToken bất kì lúc nào vì chúng sẽ được đồng bộ hoá với tất cả thiết bị Fortigate trong cụm HA.
Bạn cũng có thể cài đặt bất kỳ chứng chỉ nào của bên thứ ba trên thiết bị Fortigate chính trước khi cấu hình cụm HA. Khi cụm HA hoạt động, giao thức FGCP sẽ đồng bộ hoá các chứng chỉ đó vào trên thiết bị dự phòng
II. Cấu hình thiết bị Fortigate chính trong cụm HA:
Cấu hình host name trên thiết bị Fortigate chính đang hoạt động:
Vào System > Settings trong mục Host name: Điền tên để xác định đây là thiết bị firewall chính trong cụm HA.
Cài đặt thông số Priority và cấu hình cụm HA:
Vì thiết bị Fortigate dự phòng chưa được thêm vào, khi lưu cấu hình HA, thiết bị Fortigate chính sẽ hình thành 1 cụm HA các thiết bị Fortigate nhưng Fortigate chính vẫn hoạt động bình thường.
Nếu đã có 1 cụm FortiOS HA khác được cấu hình trong mạng, bạn có thể cần thay đổi group ID của cụm, sử dụng câu lệnh CLI sau:
config system ha
set group-id 25
III. Kết nối thiết bị Fortigate dự phòng vào mô hình mạng:
Thêm thiết bị Fortigate dự phòng vào mạng và kết nối với thiết bị Fortigate chính.
Vì các kết nối này sẽ làm giám đoạn lưu lượng truy cập mạng, bạn nên thực hiện các kết nối khi mạng không xử lý nhiều lưu lượng. Nếu có thể, hãy sử dụng 2 sợi cap Lan để kết nối 2 interfaces heartbeat giữa 2 thiết bị Fortigate với nhau như hình trên.
Từ 2 thiết Fortigate thuộc cụm HA phải kết nối qua 1 thiết bị Switch để ra ngoài internet. Và từ mỗi thiết bị Fortigate kết nối xuống mạng nội bộ phải thông qua 1 thiết bị Switch để tách lưu lượng truy cập từ các mạng khác nhau và tăng tính dự phòng ( như mô hình ở đầu ví dụ).
Bạn có thể dùng bất kỳ thiết bị switch để kết nối. Bạn cũng có thể chỉ sử dụng 1 thiết bị switch do các kết nối chỉ cần bạn cấu hình sao cho tách biệt traffic từ những mạng khác nhau.
Gõ câu lệnh bên dưới để khởi động lại thiết bị FortiGate dự phòng về cài đặt mặc định của nhà sản xuất.
execute factoryreset
Bạn có thể bỏ qua bước này nếu thiết bị FortiGate mới mua nhưng nếu cấu hình thiết bị đã từng có thay đổi thì tốt nhất nên khởi động lại để tránh những rắc rối về đồng bộ..
Đăng ký và áp dụng các licenses vào thiết bị dự phòng trước khi cấu hình , bao gồm FortiCare Support, IPS, AntiVirus, Web Filtering, Mobile Malware, FortiClient, FortiCloud, Security Rating, Outbreak Prevention, và virtual domains (VDOMs). Tất cả thiết bị Fortigate trong cụm HA phải cùng level cho các license FortiGuard, FortiCloud, FortiClient, và VDOMs. License FortiToken có thể thêm bất cứ khi nào vì license FortiToken đồng bộ xuống tất cả các thiết bị trong cụm.
Truy cập thiết bị Fortigate dự phòng bằng giao diện GUI. Vào System > Settings và điền tên vào mục Host name để hiện thị được đây là thiết bị dự phòng của cụm HA.
Cài đặt thông số Priority và cấu hình cụm HA: Cấu hình tương tự như đã cấu hình cho thiết bị Fortigate chính.
Nếu đã có 1 cụm FortiOS HA khác được cấu hình trong mạng, bạn có thể cần thay đổi group ID của cụm, sử dụng câu lệnh CLI sau:
config system ha
set group-id 25
end
Khi cấu hình HA xong, bạn lưu cấu hình nếu các interface heartbeat đã được kết nối, các thiết bị Fortigate sẽ nhìn thấy nhau và hình thành cụm HA. Lưu lượng mạng có thể bị gián đoạn trong một vài giây trong khi cụm HA đang đàm phán với nhau.
VI. Kiểm tra trạng thái của cụm HA
Kết nối với Forigate chính qua giao diện GUI. Mục tiện ích HA Status sẽ hiện thị thông tin Mode-chế độ hoạt động của cụm HA và Group name- tên nhóm
Tiện ích này cũng hiển thị tên của thiết bị chính và backup tham gia HA (Master – Slave), bạn cũng có thể di chuột qua để kiểm tra xem cụm HA có được đồng bộ hoá và hoạt động bình thường không. Bạn cũng có thể nhấn chuột vào tiện ích này để thay đổi cấu hình cụm HA hoặc xem thống kê các sự kiện được ghi lại gần đây ví dụ như các thiết bị mới tham gia hoặc rời khỏi cụm HA.
Trên trang chính Dashboard click vào tiện ích HA Status và chọn Configure settings in System > HA (Hoặc vào System > HA).
Nếu các thiết bị trong cụm HA có tham gia mô hình Security Fabric, các mục FortiView Physical và Logical Topology sẽ hiện thị thông tin về trạng thái cụm HA
VII. Kết quả:
Lưu lượng hiện tại đang đi qua thiết bị Fortigate chính, tuy nhiên khi thiết bị Fortigate chính gặp vấn đề không khả dụng, lưu lượng truy cập không thành công. Lúc này thiết bị Fortigate dự phòng sẽ hoạt động và xử lý lưu lượng.
Khi thiết bị Fortigate chính hoạt động trở lại, thiết bị Fortigate chính và dự phòng sẽ chuyển đổi lại vai trò cho nhau
Kiểm tra tính dự phòng của cụm HA, trên PC trong mạng nội bộ ping đến 1 địa chỉ IP ngoài internet ( trong ví dụ này là 8.8.8.8 )
VII. Nâng cấp firmware cho cụm HA (Tuỳ chọn):
Khi chọn nâng cấp firmware trên thiết bị fortigate chính, sẽ tự động nâng cấp firmware trên cả thiết bị Fortigate dự phòng. Cả 2 thiết bị Fortigate được cập nhật với sự gián đoạn lưu lượng tối thiểu.
Đọc kĩ Release Notes trước khi cài đặt firmware mới.
Để cài đặt firmware, vào tiện ích System Information và chọn Update firmware trong System > Firmware. Backup file cấu hình cũ và cập nhật firmware mới từ FortiGuard hoặc chọn Upload 1 file firmware image đã được chuẩn bị sẵn. Firmware sẽ được cập nhật trên cả 2 thiết bị Fortigate.
Sau khi nâng cấp hoàn thành, kiểm tra lại firmware mới đã cài đặt thành công, vào tiện ích System Information
Bài viết này cung cấp ví dụ về cấu hình Internet dự phòng cho cho mạng của bạn bằng cách sử dụng SD-WAN.Điều này cho phép bạn cân bằng tải ...
Xem thêmTrong ví dụ này, chúng ta sẽ kết nối và cấu hình thiết bị ở mode hoạt động NAT/Route để bảo vệ cho các kết nối mạng riêng ra Internet.
Xem thêmVí dụ này hướng dẫn cách thêm một thiết bị Forigate dự phòng vào trong topo mạng với một thiết bị Foritgate đang hoạt động tạo thành 1 cụm dự ...
Xem thêmVí dụ này sẽ giúp bạn tạo nhiều security policies, các policy này sẽ áp dụng với những user khác nhau tuỳ vào user thuộc nhóm nào.
Xem thêmTrong bài này, chúng ta cấu hình Fortinet Security Fabric bao gồm 4 thiết bị FortiGate và 1 thiết bị FortiAnalyzer. Trong số 4 thiết bị Fortigate, một thiết bị ...
Xem thêmKhi một 1 IP nào đó sử dụng quá nhiều băng thông, bạn có thể hạn chế băng thông của thiết bị với IP này. Ở bài này, bạn sẽ ...
Xem thêmHướng dẫn thay đổi tài khoản đăng ký sản phẩm Fortinet
Xem thêmBản quyền website thuộc về Công ty TNHH TMDV Nguyên Phúc Gia. Deveploped by saota.vn