FortiGate HA功能說明
1.1 主用-備用模式
FortiGate防火墻HA的主用-備用(A-P)模式提供了一個(gè)雙機(jī)熱備份集群的機(jī)制來對網(wǎng)絡(luò)連接進(jìn)行可用性保護(hù)����,在HA集群里面只有一臺主用設(shè)備在處理所有的網(wǎng)絡(luò)流量�,其他的一臺或幾臺則處于備用狀態(tài)FortiGate不處理任何網(wǎng)絡(luò)流量只是在實(shí)時(shí)的監(jiān)控著主用FortiGate是否仍然正常工作��。
備機(jī)主要的工作有:
- 實(shí)時(shí)和主用FortiGate同步配置�����;
- 監(jiān)控主用FortiGate狀態(tài)����;
- 如果啟用了會話備份功能(session pick-up)的話,備用設(shè)備需要實(shí)時(shí)同步主用設(shè)備上的會話以確保在主用設(shè)備出現(xiàn)問題是可以透明接替主用設(shè)備����,所有主用設(shè)備上已經(jīng)建立的會話不需要重新建立,會話備份功能目前可以支持沒有啟用防火墻保護(hù)內(nèi)容表的所有TCP/UDP/ICMP/多播/廣播數(shù)據(jù)流�;
- 如果沒有啟用了會話備份功能(session pick-up)的話,備用設(shè)備不會實(shí)時(shí)同步主用設(shè)備上的會話����,所有主用設(shè)備上已經(jīng)建立的會話在發(fā)生HA切換時(shí)需要重新建立;
1.2 主用-主用模式
A-P模式部署的防火墻雖然有多臺在網(wǎng)但實(shí)際上只有一臺設(shè)備在工作其他所有的設(shè)備都在實(shí)時(shí)的監(jiān)控主用機(jī)發(fā)生故障才會有一臺接替工作����,這樣帶來的一個(gè)問題是設(shè)備資源利用率不足�。FortiGate防火墻HA功能同時(shí)提供了主用-主用(A-A)模式��,也就是在所有HA集群中的所有設(shè)備都同時(shí)工作以同時(shí)達(dá)到負(fù)載均衡和熱備份的功能�����,在A-A集群里面默認(rèn)配置下的主設(shè)備不會負(fù)載均衡沒有啟用保護(hù)內(nèi)容表的流量給非主工作設(shè)備��,它只會負(fù)載均衡所有的啟用了防火墻保護(hù)內(nèi)容表的網(wǎng)絡(luò)連接��,處理時(shí)它會先接收下來所有的流量同時(shí)根據(jù)負(fù)載均衡配置把相關(guān)連接動態(tài)分配給其他的非主工作設(shè)備處理��。這樣處理的原因是:通常啟用了防火墻保護(hù)內(nèi)容表的網(wǎng)絡(luò)連接才是CPU和內(nèi)存消耗主要來源��,這樣可以大大增加A-A部分是集群的高層安全處理能力�����。
實(shí)際上也可以開啟A-A集群負(fù)載所有TCP網(wǎng)絡(luò)流量的功能����,需要進(jìn)入命令行下面開啟HA的load-balance-all功能就可以了���。
FortiGate防火墻HA的A-A集群不支持UDP/ICMP/多播/廣播流量的負(fù)載均衡功能�,也不支持VoIP�、IM����、IPSec VPN�����、HTTPS和SSL VPN負(fù)載均衡功能��,所有的以上流量都將只有A-A集群里面的主工作設(shè)備處理��。
FortiGate防火墻HA的A-A集群會話備份功能(session pick-up)支持沒有啟用防火墻內(nèi)容保護(hù)表的TCP流量��,并不提供基于防火墻內(nèi)容保護(hù)表的流量的會話備份功能(session pick-up)���,也不支持UDP/ICMP/多播/廣播流量會話備份功能(session pick-up)��。
下圖顯示了一個(gè)典型的包含了2臺FGT3600的HA部署結(jié)構(gòu):
(點(diǎn)擊放大)
2.關(guān)于設(shè)備故障切換和鏈路故障切換
2.1 什么是設(shè)備故障切換
在FortiGate防火墻A-P模式部署中��,主用設(shè)備處理所有的網(wǎng)絡(luò)流量��,當(dāng)主用設(shè)備出現(xiàn)故障時(shí)�,如斷電����,死機(jī)��,重啟等等,備用設(shè)備就會自動接替主用設(shè)備工作并成為新的主用設(shè)備��。
2.2 什么是鏈路故障切換
意思就是配置的監(jiān)控口(monitor interface)如果出現(xiàn)故障�,HA集群就會知道哪個(gè)設(shè)備上已有網(wǎng)口故障,如果發(fā)生網(wǎng)口故障的是一個(gè)主用設(shè)備�,那么HA就會發(fā)生切換,備用設(shè)備就會主動接替主用設(shè)備工作以確保網(wǎng)絡(luò)的連通性��。監(jiān)控端口(monitor interface)是FortiGate HA配置的一部分��,建議最好把需要監(jiān)控的接口全部都配置上�����,這樣其中任意接口出現(xiàn)故障都可以觸發(fā)HA切換�;可以把一些無關(guān)緊要的接口不配置監(jiān)控功能,這樣這些無關(guān)緊要的接口出現(xiàn)故障時(shí)并不發(fā)生HA切換�����。在所有的HA集群中間���,擁有最少的監(jiān)控的故障接口的設(shè)備將會成為主用設(shè)備�����,如果有些設(shè)備監(jiān)控的故障接口數(shù)量一致���,將按照通常的HA主用設(shè)備選舉過程產(chǎn)品HA主用設(shè)備�。備用設(shè)備監(jiān)控接口發(fā)生故障時(shí)并不發(fā)生HA切換而僅僅是把接口故障信息共享同步到所有的HA集群設(shè)備里面去����,以備發(fā)生其他故障時(shí)使用。
3.HA集群的Fireware升級
HA集群Web界面里面或這CLI界面下的升級方法和單機(jī)的升級方法是一樣的����,在升級一個(gè)HA集群時(shí),升級程序會把所有的集群里面的FortiGate都升級起來包括A-A或A-P模式里面的主用和備用設(shè)備����,默認(rèn)配置下HA集群的升級是一個(gè)完全無中斷的升級過程,這種情況下���,升級程序會先把HA集群里面的備用設(shè)備升級����,等所有的備用設(shè)備一臺一臺全部升級并且重啟完成后重新加入到HA集群的時(shí)候才升級主用設(shè)備,這個(gè)時(shí)候備用設(shè)備就可以接替主用設(shè)備工作從而不會導(dǎo)致fireware升級過程中中斷網(wǎng)絡(luò)���。
如果有必要����,你也可以手工的停止HA集群默認(rèn)的無中斷升級功能���,這樣,升級程序會同時(shí)升級所有的HA集群設(shè)備從而產(chǎn)生網(wǎng)絡(luò)中斷����。
注意:使用串口用TFTP服務(wù)器燒FortiGate版本的時(shí)候不在上述升級范圍內(nèi)。
4.HA 配置
4.1 HA的運(yùn)行模式
包括單機(jī)模式��,主用-備用模式(A-P)和主用-主用模式(A-A)��。
4.2 設(shè)備優(yōu)先級
這是一個(gè)可選參數(shù)��,所有的HA集群里面的設(shè)備都可以配置一個(gè)不同優(yōu)先級��,在HA協(xié)商過程中用來確定誰是主誰是備��。
4.3 HA組名
用來區(qū)分不同的HA集群�����,最長支持7個(gè)字符。
4.4 HA同步密碼
選配參數(shù)�,用來HA設(shè)備間進(jìn)行認(rèn)證使用。
4.5 HA會話備份功能(session pick-up)
啟用HA會話備份功能(session pick-up)之后���,當(dāng)主用設(shè)備出現(xiàn)故障時(shí)���,備用設(shè)備接替工作,所有的非啟用保護(hù)內(nèi)容表的連接可以被備用設(shè)備接著處理�,不重新開始。
4.6 HA接口監(jiān)控功能
用來監(jiān)控FortiGate接口是否正常工作從而觸發(fā)HA集群切換的功能��。
4.7 HA心跳口及優(yōu)先級
HA集群內(nèi)的各個(gè)設(shè)備間同步配置���、會話信息等等信息和設(shè)備監(jiān)控功能都需要通過HA心跳口進(jìn)行���,在FortiGate HA集群里面可以配置多個(gè)心跳口并可以設(shè)置不同的優(yōu)先級,高優(yōu)先級心跳口優(yōu)先使用����,當(dāng)高優(yōu)先級心跳口故障時(shí)其他的心跳口仍然可以保證設(shè)備間心跳功能。另外��,F(xiàn)ortiGate心跳協(xié)議也支持復(fù)用在普通的通訊口上,也就是說這個(gè)口不光有用戶數(shù)據(jù)傳送也同時(shí)傳送HA心跳報(bào)文���。由于心跳功能對HA集群極其重要(心跳口故障將導(dǎo)致HA集群無法正常工作)�����,所以建議部署HA集群時(shí)至少有一組獨(dú)立的心跳口�,另外加一組復(fù)用的心跳口���。
5, HA集群的主用設(shè)備選舉過程
5.1搶占(override)功能禁止時(shí)
HA選舉過程如下圖顯示:
(點(diǎn)擊放大)
對于大多數(shù)HA集群的默認(rèn)配置來說����,設(shè)備序列號最大的將會被選舉成為HA集群的主用設(shè)備。這里默認(rèn)配置指的是啟用了HA模式到A-A或A-P�����,并且配置了HA組名和認(rèn)證密碼�����,這樣默認(rèn)配置下面�,之所以序列號最高的會被選舉成為主用設(shè)備���,是因?yàn)榧豪锩娴乃性O(shè)備優(yōu)先級是一樣的,工作時(shí)間通常也是相同的�����,而且這時(shí)候也沒有啟用接口監(jiān)控功能��。
5.2 搶占(override)功能啟用的時(shí)候
HA選舉過程如下圖顯示:
(點(diǎn)擊放大)
和搶占(override)功能禁止時(shí)功能類似��,區(qū)別就是搶占功能啟用的時(shí)候����,在監(jiān)控結(jié)構(gòu)全部正常或工作數(shù)量相等的時(shí)候���,設(shè)備優(yōu)先級最高的將始終是主用設(shè)備�。舉例說明�,主備用設(shè)備配置了3個(gè)監(jiān)控接口,這個(gè)時(shí)候主用電源故障關(guān)機(jī)了�����,備用設(shè)備就會接替主用設(shè)備處理用戶數(shù)據(jù)�,主用設(shè)備返廠維修電源后重新加入到集群里面來����,這個(gè)時(shí)候它將重新成為主用設(shè)備而不管備用設(shè)備是否故障��。override功能禁止時(shí)主用重新回來是不會發(fā)生HA切換的�。
6.虛擬集群
如果防火墻啟用了虛擬防火墻功能(Virtual Domain),那么防火墻將會開啟虛擬集群功能��。虛擬集群功能是對防火墻HA功能的一個(gè)擴(kuò)展�,它可以在兩個(gè)虛擬集群中配置集群的主用-備用功能,也就是說你相當(dāng)于可以配置2個(gè)虛擬集群的負(fù)載均衡功能�,即集群1中的虛擬防火墻擁有一個(gè)優(yōu)先級,假設(shè)它工作在主用模式��,那么可以同時(shí)配置其他的虛擬防火墻添加到虛擬集群2中��,它可以是備用模式����。HA里面的另外一臺設(shè)備則正好相反的配置����,即虛擬集群1是備用模式,虛擬集群2是主用模式��。這樣,實(shí)際上實(shí)現(xiàn)了基于虛擬集群的負(fù)載均衡功能了����。
(點(diǎn)擊放大)
上圖顯示了一臺防火墻配置了虛擬防火墻之后的HA部分的配置實(shí)例,其中配置了虛擬集群1包括虛擬防火墻root�,虛擬集群2包括虛擬防火墻test;這臺設(shè)備上虛擬集群1和虛擬集群1的優(yōu)先級都是128����。可以獨(dú)立配置2個(gè)虛擬集群的監(jiān)控接口和心跳接口��。
7.HA功能的其他注意事項(xiàng)
7.1 HA會話備份功能(session pick-up)
此功能用戶HA集群中設(shè)備間的會話同步�,只支持A-A和A-P里面的沒有啟用防火墻保護(hù)內(nèi)容表的策略會話同步,����,同樣不支持IPSec VPN、SSL VPN�����、PPTP和L2TP等會話備份功能����。
7.2 HA虛擬的MAC地址
啟用HA功能之后防火墻會在所有的接口上啟用HA專用的虛擬MAC地址���,MAC地址使用規(guī)律如下:
00-09-0f-<16進(jìn)制組號>-<虛擬集群號>-<接口編號>。
注意�,在同一個(gè)廣播域中如果有多個(gè)HA組存在,請配置多個(gè)不通的HA組號(group-id)以確保不同的集群虛擬MAC地址不會沖突�����。
7.3 如下部分配置不會在HA集群設(shè)備間同步
· system.interface.secondary-ip.ha-priority
· system.interface.macaddr
· system.accprofile.menu-file
· system.fortiguard.avquery-expiration
· system.fortiguard.antispam-expiration
· system.fortiguard.webfilter-license
· system.fortiguard.webfilter-expiration
· system.ha.override
· system.ha.priority
· system.global.hostname
· gui.console
· gui.topology
7.4 所有的HA集群設(shè)備間會同步的配置文件有:
· All files under /data/config/
· CC_MAIN_FILE: /etc/cc_main
· CC_SIG: /etc/cc_sig.dat
· VIR_DB: /etc/vir
· VIR_EXTDB: /data/virext or /data2/virext, depending on there is shared partition
· FCNI: /etc/fcni.dat
· FDNI: /etc/fdnservers.dat
· FSCI: /tmp/sci.dat on FGT60B/FWF60B, /etc/sci.dat on all other platforms
· FSAE: /etc/fsae_adgrp.cache
· IDSDB: /etc/ids.rules
· IDS_USER_RULES: /etc/idsuser.rules
· NIDS_LIB: /data/lib/libips.so
· CERT_CONF: /etc/cert/cert.conf
· IM_AIM_USR: /data/cmdb/imp2p.aim-user
· IM_ICQ_USR: /data/cmdb/imp2p.icq-user
· IM_MSN_USR: /data/cmdb/imp2p.msn-user
· IM_YAHOO_USR: /data/cmdb/imp2p.yahoo-user
· TOPOLOGY_FILE: /etc/topology_root.dat
· TOPOLOGY_BG_FILE: /etc/topology_root.userimg
· TOPOL_PREFS: /etc/topology_prefs
· JSCONN_PREFS: /etc/jsconsole_prefs
· FDSM_MGMT_ID_DAT: /etc/fdsm_mgmt_id.dat
· DAEMON_CONF: /data/config/daemon.conf.gz
· ASE_SO_LIB: /data/lib/libfase.so
· ASE_RULES_CONF: /etc/fase.rules.conf
8. 集群功能相關(guān)的命令行配置命令
8.1 基本HA命令
config system ha
set authentication {disable | enable}
set encryption {disable | enable}
set group-id <id_integer>
set group-name <name_str>
set hb-interval <interval_integer>
set hbdev <interface_name> <priority_integer>
set link-failed-signal {disable | enable}
set load-balance-all {disable | enable}
set mode {a-a | a-p | standalone}
set monitor <interface_names>
set override {disable | enable}
set password <password_str>
set priority <priority_integer>
set session-pickup {disable | enable}
set sync-config {disable | enable}
8.2 其它幾個(gè)常用的HA命令
8.2.1 get system ha status
可以獲取當(dāng)前HA集群主用����、備用狀態(tài)信息
8.2.2 execute ha disconnect
把設(shè)備從HA集群里面分離出去
8.2.3 execute ha manage <index>
用于從命令行下面從HA集群的一個(gè)設(shè)備登陸到另一個(gè)設(shè)備,如從主用設(shè)備上登陸到備用設(shè)備上
8.2.4 execute ha synchronize <start/stop>
手工從備用設(shè)備上面執(zhí)行配置同步命令
8.2.5 diag debug application hasync -1
調(diào)試輸出HA同步進(jìn)程
8.2.6 diag debug application hatalk -1
調(diào)試輸出HA通訊進(jìn)程
8.2.7 diag system ha showcsum
顯示HA集群的配置文件的checksum信息���,以確認(rèn)HA集群設(shè)備是否已經(jīng)同步配置
