Ierrea.com es un un espacio donde se recogen procedimientos de un Administrador de Sistemas TIC, relacionados con entornos Virtuales VMware o Hyper-V, Cloud, Storage, Comunicaciones, etc...

Implementación de Cluster HA con Firewalls Fortigate


Hola de nuevo, amigos. Hoy veremos cómo configurar un Cluster de dos firewalls Fortigate para que trabajen en modo HA, y así dotar a nuestras comunicaciones de un sistema de alta disponibilidad.

La práctica la llevaré a cabo, concretamente con dos Fortigates 200D, pero el procedimiento sería exactamente el mismo, con independencia del modelo de Fortigate a emplear.

En cuanto a las conexiones de los dispositivos, hay que tener presente que cada una de las conexiones, bien hacia internet (Wan1, Wan2, WanN), como hacia la red local (LAN, DMZ, ...), tiene que ir a un switch para que ambos Fortis compartan la conexión.

Se suelen emplear Switches de pocos puertos, los de 8 son todo un clásico, o bien un switch mayor segmentado en diferentes Vlanes.

Además de esto, también hay que unir los dos equipos mediante los puertos empleados para HA. Algunos modelos, traen de fábrica el puerto o puertos dedicados para HA. Otros, como en mi caso, no. En este caso, simplemente dedicaremos los puertos que queramos para asumir esta función.

Como una imagen vale más que mil palabras, en el siguiente diagrama se puede apreciar cómo queda el diseño de la práctica que vamos a realizar, en la que emplearemos un interfaz de cada Forti para LAN, otro para WAN1, y dos de cada equipo para la interconexión de HA (puertos 15 y 16).

Bien, en primer lugar es importante dejar claro, que ambos firewalls deben tener la misma revisión de firmware, y es aconsejable que los dos estén registrados y con las licencias adquiridas instaladas. Esto incluiría licencias de Forticloud, Forticlients, Vdoms (en caso de tener más de 10 dominios virtuales), UTM, etc...

El proceso de registro / instalación de licencias adquiridas, lo haremos con nuestra cuenta de registro de Fortinet. Al cabo de unos minutos u horas, ya nos aparecerán los módulos adquiridos como licenciados.

Esto lo podremos comprobar en la sección Dashboard > Status > License Information

A continuación, nos conectaremos a uno de los firewalls, y le cambiaremos el nombre. Obviamente esto no es estrictamente necesario, pero sí recomendable por una cuestión de orden y organización.

Para ello, le daremos Change en el campo Host Name de la vista System Information

... y le asignaremos el nombre que nos parezca. Yo, como podéis comprobar, he sido de lo más original...

Ahora, también en el Widget System Information, hacemos clic en Configure HA Status.

Aquí indicamos el modo, activo-pasivo o activo-activo (cada uno tiene sus pros y sus contras), la prioridad del dispositivo, un Nombre de Grupo y Password. Esta información la tendremos que anotar, ya que luego habrá que ingresarla en el otro Fortigate.

Y como último paso de esta vista, tendremos que definir qué puertos usaremos para el Heartbeat de HA. Con un puerto sería técnicamente suficiente, pero es recomendable montarlo con dos. Como ya he dicho anteriormente, y podéis ver a continuación, he empleado los puertos 15 y 16 de cada Fortigate.

Llegados a este punto, nos conectaremos al segundo dispositivo y procederemos a su configuración.

Como realizamos en el primer Forti, le cambiamos el nombre desde System > Dashboard > Status, Change Host Name

Y desde System Information > Configure HA Status, Configuraremos las opciones de HA de la misma manera y con los mismos datos de Group Name y Password que en el otro dispositivo.

Pues ahora, nos conectaremos por ejemplo a través de la IP LAN (también perfectamente desde una IP Wan o cualquiera que permita la gestión), accedemos a la sección System > Config > HA, y comprobamos que ambos equipos ya están en cluster.

También podemos acceder a las estadísticas, para ver más detalles sobre la gestión del tráfico etc...

Por último, la prueba del millón para comprobar que el montaje esté funcionando correctamente, es lanzar desde el interior de la red un ping sostenido hacia internet, apagar por las bravas (desconectar de la corriente eléctrica) el Forti por el que estés navegando, y comprobar que como mucho pierdes un par de paquetes y no más...

Si el cluster está funcionando correctamente, la parte cliente de la red no tiene que notar la caída de uno de los nodos, por lo que el acceso a internet u otros destinos gestionados por el firewall, tienen que seguir estando accesibles.

#FORTIGATE

ierrea.com, el Blog del IT Manager, by Ignacio Errea Ochoa
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Twitter Social Icon
  • RSS Social Icon
  • Google+ Social Icon