FortiGateGuías técnicas

FortiGate-VM HA en VMware

La capacidad de HA de FortiGate-VM se soporta tanto entre VMs desplegadas en la misma plataforma física cómo en plataformas diferentes, siempre que por supuesto exista comunicación entre dichas VMs.

Para realizar la configuración del Heartbeat del HA hay dos opciones: unicast y broadcast.

La configuración por defecto se realiza utilizando broadcast. Sin embargo la configuración basada en broadcast en muchas ocasiones no es la opción idónea en este tipo de entornos dado que puede requerir configuraciones especiales en el host. En la mayoría de los casos, usar la configuración basada en unicast es la opción ideal.

Las diferencias entre la configuración unicast y broadcast son las siguientes:

  • El método unicast no cambia las direcciones MAC del interfaz de la VM FortiGate a direcciones MAC virtuales
  • El HA unicast sólo soporta dos FortiGate-VM
  • Los interfaces de Heartbeat en el método unicast deben estar conectados a la misma red y es necesario configurar direcciones IP para estos interfaces

La configuración del método unicast se realiza a través de la CLI. Esta es la sintaxis que hay que utilizar:

Los paquetes HA de broadcast son paquetes no-TCP que usan valores Ethertype 0x8890 y 0x8891 y que usan direcciones IPv4 asignadas de forma automática dentro del rango 169.254.0.x para los interfaces de heartbeat de HA.

Para que las VM de FortiGate soporten una configuración de tipo broadcast, es necesario configurar los virtual switches que conectan los interfaces de heartbeat en modo promiscuo y soportar el spoofing de direcciones MAC. Además, hay que configurar la plataforma de virtualización para permitir spoofing de direcciones MAC para los interfaces de datos de los FortiGate-VM. Esto es necesario porque en modo broadcast, el protocolo FGCP configura direcciones MAC virtuales en los interfaces de datos de los FortiGate-VM, lo que significa que los interfaces correspondientes en las instancias FortiGate-VM de un cluster tendrán las mismas direcciones MAC virtuales.

Además también será necesario configurar los virtual switches conectados al resto de interfaces de las VM de FortiGate para permitir cambios de MAC address y aceptar “forged transmits”. Esto es necesario ya que de nuevo el protocolo FGCP define direcciones MAC virtuales para todos los interfaces del FortiGate-VM y por tanto los mismos interfaces en cada una de las instancias FortiGate-VM dentro del clúster tendrán las mismas direcciones MAC virtuales.

En el siguiente enlace puede encontrarse información detallada sobre estas capacidades y configuraciones:

https://docs2.fortinet.com/document/fortigate/6.0.0/fortigate-vm-on-vmware-esxi/397100/high-availability

Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *