آموزش HA کردن دو تجهیز FortiGate
در دنیای امروز که هر دقیقه قطعی شبکه می‌تواند هزینه‌های زیادی برای شرکت‌ها به همراه داشته باشد، بسیاری از کسب‌وکارها به داشتن لینک‌های اینترنتی Redundant روی آورده‌اند. اما اگر روتر یا فایروال شما از کار بیفتد، داشتن چندین اتصال WAN کمکی نخواهد کرد. به همین دلیل، داشتن دو دستگاه شبکه که به صورت Master/Slave کار می‌کنند، ایده خوبی است؛ به‌طوری‌که دستگاه دوم در صورت خرابی دستگاه اول، کنترل را به دست گیرد. چه از FortiGate به‌عنوان Gateway، فایروال جداسازی داخلی، در محیط ابری یا در یک MSSP (ارائه‌دهنده خدمات مدیریت‌شده امنیت) استفاده کنید، هر زمان که ترافیک حیاتی از آن عبور می‌کند، خطر تبدیل شدن به یک نقطه شکست وجود دارد. قطعی‌های فیزیکی ممکن است به دلیل موارد زیر رخ دهند:
خرابی برق،
قطع لینک فیزیکی،
خرابی Transceiver،
یا خرابی منبع تغذیه.
قطعی‌های غیرفیزیکی ممکن است ناشی از مشکلات مسیریابی، محدودیت منابع، یا خطای هسته (Kernel Panic) باشند.

 

راه‌حل‌های HA در FortiGate

---

FortiGate چندین راه‌حل برای افزودن افزونگی ارائه می‌دهد که در صورت خرابی FortiGate یا شناسایی مشکل از طریق لینک‌ها، مسیرها، یا بررسی‌های سلامت، به کار گرفته می‌شوند. این راه‌حل‌ها از جابه‌جایی Fast Failover پشتیبانی می‌کنند تا از قطعی‌های طولانی‌مدت شبکه و اختلالات ترافیکی جلوگیری شود. برای درک بهتر قابلیت‌های افزونگی و پایداری FortiGate، به بررسی و مقایسه سه پروتکل کلیدی FGCP، FGSP و VRRP می‌پردازیم.

1. FGCP (FortiGate Clustering Protocol)
کاربرد:
FGCP یک پروتکل اختصاصی برای FortiGate است که برای ایجاد خوشه‌بندی دستگاه‌ها به‌منظور دستیابی به اطمینان و عملکرد بالا طراحی شده است.

ویژگی‌ها:
افزونگی دستگاه: در صورت خرابی یکی از دستگاه‌ها، دیگری وظایف را به عهده می‌گیرد.
پشتیبانی از Failover لینک: انتقال خودکار به لینک سالم در صورت قطع شدن لینک‌ها.
انتقال جلسات (Session Failover): بسیاری از جلسات IPv4 و IPv6 در صورت بروز مشکل ادامه پیدا می‌کنند.
عملکرد بالا: با استفاده از حالت Active-Active، توازن بار بین دستگاه‌ها امکان‌پذیر است.
مزایا:
بهترین انتخاب برای محیط‌هایی که نیاز به یکپارچگی کامل بین دستگاه‌ها دارند.
همگام‌سازی سریع تنظیمات و جلسات بین دستگاه‌ها.
معایب:
نیاز به سخت‌افزار مشابه (مدل و نسخه فریمور یکسان) برای کارکرد صحیح.
پیچیدگی در پیاده‌سازی و نیاز به سوئیچ‌های اضافی بین دستگاه‌ها برای LAN و WAN.

2. FGSP (FortiGate Session Life Support Protocol)
کاربرد:
FGSP برای همگام‌سازی جلسات بین دو FortiGate مستقل یا خوشه‌های FGCP استفاده می‌شود. این پروتکل در ترکیب با Load Balancers یا روترهای خارجی عملکرد بهتری دارد.
ویژگی‌ها:
همگام‌سازی جلسات: شامل پروتکل‌های TCP، UDP، ICMP، NAT و دیگر پروتکل‌ها.
افزونگی: در صورت خرابی یکی از دستگاه‌ها، Load Balancer یا روتر ترافیک را به دستگاه سالم هدایت می‌کند.
مزایا:
انعطاف‌پذیری بالا و امکان استفاده در شبکه‌هایی که از قبل از Load Balancer یا روتر استفاده می‌کنند.
عدم نیاز به سخت‌افزار مشابه (بر خلاف FGCP).
معایب:
وابستگی به Load Balancer یا تجهیزات شبکه خارجی برای مدیریت Failover.
فاقد همگام‌سازی کامل تنظیمات بین دستگاه‌ها (تنها جلسات همگام می‌شوند).

3. VRRP (Virtual Router Redundancy Protocol)
کاربرد:
VRRP یک پروتکل استاندارد باز است که برای افزونگی در لایه مسیریابی (Routing) استفاده می‌شود. با استفاده از VRRP می‌توان FortiGate را با دستگاه‌های دیگر (از هر برند) برای ایجاد افزونگی یکپارچه کرد.
ویژگی‌ها:
روتر مجازی: VRRP یک آدرس IP مجازی و MAC مجازی برای گروهی از روترها ایجاد می‌کند.
سوئیچینگ سریع: در صورت خرابی روتر اصلی، روتر پشتیبان به‌طور خودکار جایگزین می‌شود.
سازگاری گسترده: امکان ترکیب FortiGate با دستگاه‌های ثالث.
مزایا:
استاندارد باز، مناسب برای محیط‌های چندبرندی.
تنظیم ساده و پشتیبانی از افزونگی در سطح روتر.
معایب:
فاقد پشتیبانی از ویژگی‌های امنیتی FortiGate در دستگاه‌های غیر از FortiGate.
قابلیت‌های همگام‌سازی جلسات یا تنظیمات مانند FGCP و FGSP وجود ندارد.

 

پیکربندی HA (پروتکل FGCP)

---

در معماری‌های High Availability (HA) که هدف آن افزایش پایداری و جلوگیری از قطعی سرویس است، FortiGate دو حالت اصلی برای پیاده‌سازی افزونگی ارائه می‌دهد: Active-Passive و Active-Active. هر کدام از این حالت‌ها برای سناریوهای خاصی طراحی شده‌اند و انتخاب مناسب بستگی به نیازهای شبکه و حجم ترافیک دارد.

قبل از پیکربندی، اطمینان حاصل کنید که دستگاه‌ها به‌درستی متصل شده‌اند. اگر فایروال شما رابط‌های اختصاصی HA Heartbeat دارد، از آن‌ها استفاده کنید. در غیر این صورت، می‌توانید از اینترفیس‌های بلااستفاده استفاده کنید. با روشن کردن هر دو دستگاه، آن‌ها به‌طور خودکار ارتباط برقرار کرده و نقش‌های اصلی و ثانویه را تعیین می‌کنند.


انتخاب حالت HA

1. حالت Active-Passive
در این حالت، یکی از دستگاه‌ها به‌عنوان Primary (فعال) و دیگری به‌عنوان Secondary (غیرفعال) عمل می‌کند. دستگاه فعال تمامی ترافیک شبکه را مدیریت می‌کند، در حالی که دستگاه غیرفعال در حالت آماده‌باش قرار دارد و فقط در صورت بروز خرابی (Failover) در دستگاه فعال وارد عمل می‌شود.

ویژگی‌ها و کاربردها:
مناسب برای سناریوهایی که افزونگی اهمیت دارد اما توازن بار (Load Balancing) نیاز نیست.
مصرف منابع کمتر در دستگاه غیرفعال.
زمان سوئیچینگ سریع به دستگاه ثانویه در صورت خرابی.

مثال:
اگر دستگاه Primary به دلیل خرابی سخت‌افزاری یا قطع برق از کار بیفتد، دستگاه Secondary به‌طور خودکار نقش فعال را به‌عهده گرفته و ترافیک را مدیریت می‌کند.

 

راهنمایی پیکربندی

---

• تنظیمات روی FortiGate اول

همه اتصالات لازم را طبق دیاگرام Topology برقرار کنید.
اطمینان حاصل کنید که Heartbeat Interfaces به‌درستی متصل و فعال هستند.

1. وارد FortiGate شوید.
2. به مسیر System > HA بروید و تنظیمات زیر را انجام دهید:

Mode	Active-Passive
Device Priority	128 or higher
Group ID	1
Group Name	Example_cluster
Password	****
Heartbeat Interfaces	ha1 and ha2

 

Group ID باید در همه اعضای HA یکسان باشد تا یک Cluster تشکیل شود.

Group ID می‌تواند روی تعریف آدرس‌های MAC مجازی تأثیر بگذارد.

به جز Device Priority، سایر تنظیمات باید در همه FortiGateهای Cluster یکسان باشند.

 

3. بقیه تنظیمات را در حالت پیش‌فرض باقی بگذارید (این تنظیمات بعد از راه‌اندازی Cluster قابل تغییر هستند)
4. روی OK کلیک کنید.

هنگام مذاکره برای ایجاد HA Cluster ممکن است ارتباط با FortiGate به‌طور موقت قطع شود، زیرا FGCP آدرس‌های MAC اینترفیس‌ها را تغییر می‌دهد.

 

• تنظیمات روی FortiGate دوم
  1. Factory Reset را روی FortiGate دوم انجام دهید.
  2. دسترسی به GUI را پیکربندی کنید.
  3. مراحل بالا را تکرار کنید، اما تنظیم Device Priority را حذف کنید تا دستگاه به Cluster متصل شود.

 

تنظیم HA A-P با استفاده از CLI

---

همه اتصالات لازم را طبق دیاگرام Topology برقرار کنید.
1. وارد FortiGate شوید.
2. تغییر نام Hostname:

config system global
set hostname Example1_host
end

تغییر Hostname کمک می‌کند تا دستگاه‌های Cluster بهتر شناسایی شوند.

3. فعال‌سازی HA:

config system ha
set mode a-p
set group-id 1
set group-name Example_cluster
set password ********
set hbdev ha1 10 ha2 20
end

حالت Active-Passive (A-P) را تنظیم کنید.
Group ID، Group Name و Password را تنظیم کنید.
Heartbeat Interfaces را مشخص کنید برای مثال، ha1 و ha2
4. بقیه تنظیمات را در حالت پیش‌فرض باقی بگذارید.
5. مراحل بالا را روی دستگاه دوم تکرار کنید.
6. برای هر FortiGate یک Hostname یکتا تعیین کنید.

پس از اتصال، می‌توانید تنظیمات باقی‌مانده را انجام دهید.

 

2. حالت Active-Active
در این حالت، هر دو دستگاه به‌طور همزمان فعال هستند و ترافیک شبکه را بین خود تقسیم می‌کنند. این روش علاوه بر افزونگی، توازن بار را نیز فراهم می‌کند، به این معنا که هر دستگاه بخشی از وظایف را انجام می‌دهد.

ویژگی‌ها و کاربردها:
مناسب برای شبکه‌های پرترافیک و حساس که نیاز به عملکرد بالا و توزیع بار دارند.
بهره‌وری بهتر از منابع موجود در هر دو دستگاه.
پیچیدگی بیشتر در تنظیمات نسبت به Active-Passive.

مثال:
در یک شبکه با ترافیک بالا، هر دو دستگاه به‌طور همزمان پردازش ترافیک ورودی را انجام می‌دهند. اگر یکی از دستگاه‌ها از کار بیفتد، دیگری مسئولیت کامل شبکه را به عهده می‌گیرد.

 

راهنمایی پیکربندی

---

• تنظیمات روی FortiGate اول

Active-Active Cluster از اینترفیس‌های DHCP Mode پشتیبانی می‌کند، اما از اینترفیس‌های PPPoE Mode پشتیبانی نمی‌کند. اگر اینترفیس در حالت PPPoE باشد، گزینه Active-Active در بخش Mode ظاهر نخواهد شد.

FGCP در حالت A-A نمی‌تواند بار جلساتی که از لینک‌های NPU VDOM یا Regular VDOM عبور می‌کنند را مدیریت کند. اگر بارگذاری بین VDOMها لازم است، از یک روتر خارجی برای مسیریابی بین VDOMها استفاده کنید.

 

همه اتصالات را طبق دیاگرام Topology برقرار کنید.
1. وارد یکی از FortiGateها شوید.
2. به مسیر System > HA بروید و تنظیمات زیر را انجام دهید:

Mode	Active-Active
Device Priority	128 or higher
Group ID	1
Group Name	Example_cluster
Password	****
Heartbeat Interfaces	ha1 and ha2

Group ID باید در همه اعضای HA یکسان باشد تا Cluster تشکیل شود.

به جز Device Priority، سایر تنظیمات باید در همه FortiGateهای Cluster یکسان باشند.

 

3. بقیه تنظیمات را در حالت پیش‌فرض قرار دهید. (این تنظیمات بعد از راه‌اندازی Cluster قابل تغییر هستند)
4. روی OK کلیک کنید.

ممکن است هنگام ایجاد HA Cluster، اتصال به FortiGate به طور موقت قطع شود، زیرا FGCP آدرس‌های MAC اینترفیس‌ها را تغییر می‌دهد.

 

• تنظیمات روی FortiGate دوم
  1. Factory Reset را روی FortiGate دوم انجام دهید.
  2. دسترسی به GUI را تنظیم کنید.
  3. مراحل بالا را تکرار کنید، اما تنظیم Device Priority را حذف کنید تا دستگاه به Cluster متصل شود.
  
  
  تنظیم HA A-A با استفاده از CLI

---

همه اتصالات را طبق دیاگرام Topology برقرار کنید.
1. وارد یکی از FortiGateها شوید.
2. تغییر نام Hostname:

config system global
set hostname Example1_host
end

تغییر نام Hostname شناسایی دستگاه‌ها در Cluster را آسان‌تر می‌کند.

 

3. فعال‌سازی HA:

config system ha
set mode a-a
set group-id 1
set group-name Example_cluster
set password ********
set hbdev ha1 10 ha2 20
end

حالت Active-Active (A-A) را تنظیم کنید.
Group ID، Group Name و Password را تعیین کنید.
Heartbeat Interfaces را مشخص کنید (برای مثال، ha1 و ha2).

4. بقیه تنظیمات را در حالت پیش‌فرض قرار دهید.
5. اضافه کردن دستگاه دوم به Cluster
6. مراحل بالا را روی دستگاه دوم تکرار کنید.
7. برای هر دستگاه یک Hostname یکتا تعیین کنید.

 

بعد از اتصال، تنظیمات باقی‌مانده را می‌توانید انجام دهید