FORTINET飞塔防火墙集群化实施方案(中文版)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
FORTINET防火墙集群实施方案
翻译/排版/整理: 路芸隆
HA主动-被动集群设置
HA主动-被动(A-P)集群可以使用GUI或CLI设置。
这个例子使用以下网络拓扑:
要使用GUI设置HA A-P群集,请执行以下操作:
1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
4.除设备优先级外,所有这些设置都必须相同集群中的FortiGates, 将其余设置保留为其默认值。
他们可以改变集群运行后。
5.单击确定。
FortiGate协商建立HA集群。
与随着HA集群的协商,FortiGate可能会暂时丢失。
FGCP更改FortiGate接口的MAC地址。
6.出厂重置将在群集中的其他FortiGate,配置GUI访问,然后重复步骤1至5,省略设置设备优先级即可加入集群。
要使用CLI设置HA A-P群集,请执行以下操作:
1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
更改主机名可以更轻松地识别其中的单个群集单元集群操作。
5.将其余设置保留为默认值。
他们可以改变集群运行后。
6.在其他FortiGate设备上重复步骤1至5以加入集群。
HA高可用性双活群集设置
可以使用GUI或CLI设置HA Active-Active(A-A)群集。
本示例使用以下网络拓扑:
要使用GUI设置HA A-A群集,请执行以下操作:
1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
4.除设备优先级外,所有这些设置都必须相同集群中的FortiGates。
将其余设置保留为其默认值。
集群运行后可以更改它们。
5.单击确定。
FortiGate协商建立HA集群。
随着HA群集协商以及FGCP更改FortiGate接口的MAC地址,与FortiGate 的连接可能会暂时丢失。
6.出厂重置将在群集中的另一个FortiGate,配置GUI访问,然后重复步骤1至5,省略设置设备优先级,以加入群集。
要使用CLI设置HA A-A群集,请执行以下操作:
1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
更改主机名可以更轻松地识别其中的单个群集单元集群操作。
4.启用HA:
5.将其余设置保留为默认值。
他们可以改变集群运行后。
6.在其他FortiGate设备上重复步骤1至5以加入集群。
HA虚拟集群设置
可以使用GUI或CLI设置HA虚拟集群。
本示例使用以下网络拓扑:
HA虚拟群集基于VDOM,并且比常规群集更为复杂。
根VDOM只能与虚拟集群1相关联。
分配为管理VDOM的VDOM也只能与虚拟集群1。
要使用GUI设置HA虚拟集群:
1.按照拓扑图所示进行所有必要的连接。
2.登录其中一个FortiGates。
4.除设备优先级外,所有这些设置都必须相同集群中的FortiGates。
将其余设置保留为其默认值。
他们可以改变集群运行后。
5.单击确定。
FortiGate协商建立HA集群。
与随着HA集群的协商,FortiGate可能会暂时丢失。
FGCP更改FortiGate接口的MAC地址。
6.出厂重置将在群集中的其他FortiGate,配置GUI访问,然后重复步骤1至5,省略设置设备优先级即可加入集群。
7.转到系统>设置,然后启用虚拟域。
8.单击应用。
您将退出FortiGate。
9.重新登录到FortiGate,确保您位于全局VDOM中,然后转到进入系统> VDOM。
10.创建两个新的VDOM,例如VD1和VD2:
a.单击新建。
将打开“新建虚拟域”页面。
b.在“虚拟域”字段中输入VDOM的名称,然后单击“确定”以创建VDOM。
c.重复这些步骤以创建另一个新的VDOM
11.通过将新的VDOM移至虚拟集群2来实现虚拟集群:
a.进入系统> HA。
b.启用VDOM分区。
c.单击“虚拟群集2”字段,然后选择新的VDOM。
d.单击确定。
要使用CLI设置HA虚拟集群:
1.按照拓扑图所示进行所有必要的连接。
2.设置常规的A-P群集。
请参阅HA主动-被动群集设置。
3.启用VDOM:
您将退出FortiGate。
HA使用硬件交换机替换物理设备开关
不建议使用硬件交换机来代替物理交换机,因为那样做不提供冗余或接口监视。
●如果一台FortiGate断电,则所有连接到该FortiGate设备的客户端在FortiGate恢复之前,您无法进入其他设备。
●硬件交换机不能用作HA中的监视器接口。
任何传入或硬件成员接口上的传出链接故障将不会触发故障转移;这个可以影响流量。
例子
这些示例使用以下拓扑:
硬件交换机之间的流量
在HA 环境中使用硬件交换机时,客户端设备已连接到FortiGate 主设备上的硬件开关可以与客户端通信连接到第二台FortiGates 上的硬件的设备只要两个交换机之间有直接连接。
设置硬件开关后,无需进行任何配置。
如果客户连接到两个硬件交换机的设备都需要到达外部目的地在群集中,必须为其配置防火墙。
配置FortiGate 设备: 1.按照拓扑图所示连接设备。
IP 地址: 配置硬件开关后,PC1和PC2
现在可以互相交流。
流量通过FortiGate
如果客户端设备需要通过FortiGate 发送流量,则需要额外的防火墙需要在FortiGate 上进行配置。
来自主交换机或辅助交换机上的硬件交换机的所有流量FortiGate 首先到达主要的FortiGate 。
然后引导流量根据高可用性模式和防火墙配置。
配置FortiGate 设备: 1.按照拓扑图所示连接设备。
3.在主要的FortiGate 上,配置硬件交换机:
现在,来自PC1和PC2的流量可以到达目的地之外的目的地FortiGate集群。