Esta función nos permite interconectar y sincronizar hasta 4 equipos Fortigate entre sí para tener redundancia ante posibles fallas y mayor capacidad de procesamiento. Uno de los equipos toma el rol de primario y sincroniza su configuración a los demás, que actún como secundarios.
Según el modo elegido, los equipos secundarios pueden funcionar sólo como backup ante una falla (modo activo-pasivo) o pueden procesar tráfico, permitiendo restarle carga al equipo primario (modo activo-activo). En todos los casos, el tráfico entra siempre por el equipo primario, el cual distribuye el trabajo entre los deás, la salida se produce por el equipo que procesó el tráfico.
La elección del equipo primario se realiza a través de un allgoritmo que sigue los siguientes criterios:
- Cantidad de interfaces monitoreadas activas
- Uptime
- Prioridad
- Número de serie
A continuación,vamos a suponer que tenemos un Fortigate en producción y queremos formar un HA con un equipo más para tener redundancia. En el equipo que ya tenemos en producción vamos a realizar lo siguiente:
Entramos a la configuración HA:
config sys ha
configuramos el modo ha:
set mode a-p | a-a
Configuramos id y nombre de grupo. Esto es importante si tenemos más de un HA en lamisma red, ya que nos asegura que ambos reciban una MAC address virtual distinta:
set group-id id set group-name nombre
Para forzar la elección de este equipo como primario, habilitamos override, lo que hará que la prioridad sea tomada en cuenta antes que el uptime en la elección. También seteamos un número de prioridad alto:
set override enable set priority prioridad
Ahora configuramos las interfaces a través de las cuales se realizará la conexión. Se recomienda seleccionar dos (por defecto HA1 y HA2):
set hbdev puerto prioridad puerto prioridad
Ahora vamos a configurar el Fortigate secundario, el cual debe ser exactamente el mismo modelo que el primario, tener la misma versiód de firmware y el mismo licenciamiento de FortiGuard, FortiCloud, FortiClient y VDOMs.
Lo primero que debemos hacer, si el equipo estaba en uso, es resetear sus valores de fábrica:
execute factoryreset
Ahora vamos a ponerle un nombre, distinto al del primario:
config system global set hostname hostname end
Luego vamos a configurar los mismos parámetros que en el Fortigate primario, pero omitiendo la habilitació de override e ingresando un valor menor para priority
Ahora estamos en condiciones de interconectar los equipos a través de los puertos que elegimos como hearbeat. Todas las redes internas y conexiones a internet deberán conectarse a ambos Fortigate en el puerto equivalente. Por ejemplo, si tenemos una conexion a internet en el puerto WAN1 del Fortigate primario deberemos utilizar un switch al cual conectaremos el cable de ISP y sacaremos dos cables, uno para cada FortiGate. Lo mismo haremos con todas las redes internas.
Una vez sincronizada la configuración podremos ejecutar el siguiente comando para comprobar si el checksum coincide en ambos equipos:
diagnose sys ha checksum cluster
Este comando nos mostrará el checksum de ambos equipos. Si coinciden significa que la configuración ha sincronizado. En esta instancia conviene deshabilitar override para que cualquiera de los dos equipos pueda ser primario:
config system ha set override disable end