設定前確認:
- 兩台 FortiGate 的 Firmware 版本必須相同 Exp. v5.2.13,build762
- 兩台 FortiGate 的網路介面要先設定成固定 IP
- 兩台 FortiGate 的設定幾乎相同 (Exp. 只有 hostname / Internal IP 不同 / wan IP 不同)
- 尚未設定 VDOM / HA
設定方式:
- 每一台都登入啟用 HA
- 設定好 fortigate 應該會自動重開機
- 經過一小段時間 HA 燈號會亮起 (如果是綠燈表示 HA 正常, 橘燈表示 HA 異常)
- 檢查 HA 相關資訊狀態
- 連上 Slave 檢查 HA 相關狀態
如果對自動選擇的 Master 不滿意, 可以透過設定 priority 來指定(越大的數值優先當 Master)
取消(解除) HA 設定
- 直接連入要移除的那台 fortigate 執行系統重設
- 連入將 ha mode 設定 standlone
====================================================================
HA 配置
進入系統管理-配置-高可靠性
1.選擇模式;
2.設定設備優先順序;
3.選擇管理介面,方便管理從設備使用;
4.集群設置,及是否啟用會話交接
5.選擇埠監控,以及心跳線介面,及心跳線介面的優先順序,可以使用一個或多個 物理介面用於心跳介面(hbdev),若同時存在多個心跳介面,以優先順序最高的作為 同步介面,其他作為備份心跳介面。2 台進行 HA 時,將心跳線將設備直接連接即可,集群中的多台設備可以劃分 VLAN 連接至交換機用於會話同步及心跳。
故障恢復
HA Failover 故障恢復是一種備份機制用於降低系統風險及減小不可預期的
宕機時間,尤其在關鍵業務的生產環境中,HA Failover 至關重要。 FGCP 提供以下三種故障恢復機制
1設備故障恢復
2.埠故障恢復
3.會話交接
設備故障恢復
一旦主設備遭遇故障,集群中的其他設備將協商選舉新的主設備,擁有同樣的 IP 和 MAC 位址,並在所有介面發送免費 ARP
默認心跳丟失閥值為 6 個,每次心跳間隔 200 ms;
config system ha
set hb-interval 2 #心跳 hello 包間隔,200ms
set hb-lost-threshold 6 #心跳丟失閥值,6 個
end
建議在配置心跳線時,使用 2 個心跳介面冗餘使用。
HA 下的軟體更新
升級 HA 的系統同單機模式的操作方法一致,但是中間的過程卻是不一樣,
此過程對使用者及網路都是透明的,期間網路通訊並不會中斷。
具體步驟如下
1.通過 Web 介面上傳新的 Firmware 軟體版本;
2.如果系統工作在 AA 模式下,升級時系統將關閉負載均衡;
3.系統首先升級所有的從設備;
4.一旦從設備升級完畢,將選舉新的主設備,主設備將運行新的 Firmware 版本;
5.系統最後升級原主設備。
6.如果系統工作在 AA 模式下,升級後將開啟負載均衡
參考網址:
沒有留言:
張貼留言