FortiGateGuías técnicas

Recomendaciones para configurar un cluster de FortiGate

A continuación se pueden consultar una serie de recomendaciones al configurar un cluster de FortiGates:

1. Configurar FGCP:

  • Configurar nombre de Host distintos en cada FW antes de agregarlos a un clúster ya que es más sencillo.
  • Los interfaces de HeartBeat etiquetarlos de una forma clara y con un nombre que nos permita distinguirlos del resto de interfaces de producción.
  • Habilitar “pickup session” permite la replica de sesiones entre los clúster (revisa las consideraciones especiales a la hora de activar estos parámetros a nivel de Delay y replica).

2. Heartbeat:

  • Configurar al menos 2 interfaces y con diferentes prioridades (En este caso tienes uno dedicado que debería ser el principal).
  • Se recomienda conexión directa entre los puertos de Heartbeat para evitar posibles problemas de latencia, mal parcheo o errores de configuración en la electrónica de red.
  • En caso de que no se pueda conectar un cable directo:

Vlan dedicada para el tráfico de Heartbeat (lo ideal es un SW pero esto no es posible así que, Vlan dedicada)

      • Sino podemos dedicar el SW lo ideal es asegurar mediante QoS el tráfico en este segmento.
      • La Vlan debe estar dedicada únicamente a este servicio, en principio no deberíamos tener equipos ni utilizar la Vlan de gestión.
      • Proteger con encriptación el tráfico de heartbeat entre clúster, sobretodo si en la misma Vlan tenemos algún otro elemento (con cables directos no es necesario).
  • No es necesario monitorizar estos puertos, solamente los puertos críticos que deben generar una conmutación entre los FW.
  • El puerto principal de HeartBeat debería ser el puerto dedicado.

Este puerto no está conectado a la NP6 y evitamos posibles problemas que puedan afectar al tráfico de HeartBeat relacionados con la NP6.

El puerto de Backup del HeartBeat (segundo puerto) puede estar conectado al NP6.

  • Siempre configurar 2 interfaces de Heartbeat uno principal y otro redundante, en caso de que caiga el principal se activa el secundario, si caen ambos los 2 FW consideran que deben ser Master y se ponen como activos. Aparecen múltiples dispositivos con las mismas MAC e IPs.
  • Los puertos de HeartBeat soportan medios físicos diferentes (HA1 en cobre y HA2 en fibra).

3. Monitor:

  • Se recomienda esperar a que el clúster este en funcionamiento y todas las interfaces en funcionamiento antes de activar la monitorización de interfaces.
  • Monitorizar los interfaces críticos de los que depende el funcionamiento de la red.

En caso de caída de uno de ellos el FW debe conmutar rápidamente.

  • Evitar monitorizar todos los interfaces, solamente los críticos.
  • En caso de enlaces críticos se puede utilizar la funcionalidad “remote link failover” que nos permite detectar fallos en cualquier punto intermedio del interface monitorizado.

Enlace donde se describen estas consideraciones:

https://docs.fortinet.com/document/fortigate/6.0.0/best-practices/498515/interface-monitoring-port-monitoring

Por otro lado para la conexión física:

  • Utilizar siempre enlaces agregados -> Debemos asegurar la alta disponibilidad.
  • Al usar Firewall en A/P los enlaces agregados deben ser independientes uno a cada FW.
  • Recomendación -> Establece el clúster con los ÇHeartBeat y conecta ambos equipos, a partir de ese momento puedes conectar ambos FW y los cambios de configuración se sincronizan.
Tags

Contenidos relacionados

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *