Fortigate 이중화 할일이 생겼다. 모델은 Fortiatge 100D
이중화 조건은 동일한 모델 및 하드웨어 스펙도 동일해야 된다.
물로 펌웨어도 가능하면 동일하게
모델 : Fortiate 100D
펌웨어 : V5.4.5.Build1138(GA)
1. System > HA : Standalone > Active-Passive로 변경
2. 편집화면으로 들어가서 셋팅
a. Group Name : 임의설정(Slave도 동일하게 셋팅)
b. Password : 임의설정(Slave도 동일하게 셋팅)
c. Device Priority : 기본 128(높으면 마스터)
d. Enable Session Pick-up : 장애시 Slave 장비가 Master 장비의 세션을 동기화하는 설정
e. Ha1,ha2는 Hearbeat Interface로 설정. HA포트가 따로 없으면 임의의 포트를 지정해도 됩. 하지만 반드시 2개이상 지정
할것… HA포트는 인터링크(Trunk) 포트가 아니여서 패킷전달은 되지 않으며, 정책 동기화 및 죽었는지 살았는지만 체크
f. Port Monitor : 지정시 해당포트가 하나라도 다운될시 오너쉽이 넘어감
3. Slave 장비도 동일하게 셋팅. 단 Priority 값은 Master 보다 작게주면됨
4. 작업 완료시 아래와 같이 보이게 됨(System > HA). 단 장비간에 HA포트를 연결해줘야지 보임
Test_Master # diagnose sys ha status
HA information
Statistics
traffic.local = s:0 p:7688 b:2180906
traffic.total = s:0 p:7688 b:2180906
activity.fdb = c:0 q:0
Model=100, Mode=2 Group=0 Debug=0
nvcluster=1, ses_pickup=1, delay=0
[Debug_Zone HA information]
HA group member information: is_manage_master=1.
FG100D3G16838949: Master, serialno_prio=0, usr_priority=128, hostname=test_Master
FG100D3G14823718: Slave, serialno_prio=1, usr_priority=64, hostname=test_Slave
[Kernel HA information]
vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:
FG100D3G16838949: Master, ha_prio/o_ha_prio=0/0
FG100D3G14823718: Slave, ha_prio/o_ha_prio=1/1
5. 추가적으로 위설정시 Master 장비가 장애후 복구시 자동으로 다시 오너쉽을 가져오게 되는데
Auto FailBack 기능을 비활성화 하려면 CLI에서 다음과 같이 진행하면 된다.
빨간색 부분을 추가해주면 된다(마스터 장비 셋팅시)
config system ha
set mode a-p
set password ENC set hbdev "ha1" 100 "ha2" 50
set session-pickup enable
set ha-uptime-diff-margin 1
set override disable
set monitor "port1" "wan1"
End
수동으로 오너쉽 복구시 아래 명령어를 치면 된다. Ha 장비의 Uptime은 오너쉽을 결정하는 조건이기 때문에 초기화 하면 다시 마스터 장비로 오너쉽이 넘어가게 된다
Test_Master #Diagnose sys ha reset-uptime
