HA 集群普通管理
HA 集群普通管理
网络需求
通过业务接口管理和配置 HA 集群。
网络拓扑
配置要点
配置 HA 基础配置
配置基础 LAN/WAN 上网服务
配置网络管理的相关参数
配置防火墙的 SYSLOG、SNMP、FMG
配置步骤和结果验证
HA 基础配置
配置 HA 基础配置,初始化配置防火墙的时候可以通过 mgmt 口登陆到防火墙上,一般 mgmt 口的管理 IP 是 192.168.1.99,第一步可以通过此 IP 登陆防火墙(参考 系统管理 → 管理方式 → Web 管理章节),或者通过 console 口管理防火墙(参考 系统管理 → 管理方式 → Console 管理章节)。具体型号初始化如果网管和接口的网管 IP 信息等可参考 https://docs.fortinet.com/product/fortigate/hardware 或 https://docs.fortinet.com/document/fortigate/hardware/fortigate-quickstart-guide-high-end?model = all 。
按照以上方式登陆第一次开箱的防火墙。先登陆主防火墙,并配置进行 HA 的基础配置,然后登陆到备防火墙,配置备防火墙的 HA 基础配置。
分别配置主防火墙和备防火墙的 HA,主防火墙优先级调整为 150,备防火墙的优先级保持默认的 120,配置 HA-cluster 组名字和密码,监控业务接口 wan1 和 port1,使用 HA1 和 HA2 接口将二者互联。
config system ha set group-name "FGT" set mode a-p set password ENC XU4Yv532eMH20TXkbxDMQWRNs+ChZrIVXcotCFVP2C86QBl2zhznTNU+0PDKw5Vlvtm6B+NCZ+f+1EiT3MsUteDHW82Aten6q+Yu6zAT5NuXYYIKnVpG= set hbdev "port7" 50 "port8" 50 set session-pickup enable set override disable set priority 150 set monitor "port1" "port2" end
config system ha set group-name "FGT" set mode a-p set password ENC HzpTLoO69D1nrZ9QZbKFDbuUmCefmDRbZqTvgSseAgh2zU8JOHq1bthC750a+p5S/rkfRSROmhVMqOKRbBZkir3C8VWW9l+h7jl7Xp4N5sdA1CmDSUzX= set hbdev "port7" 50 "port8" 50 set session-pickup enable set override disable set priority 120 set monitor "port1" "port2" end双方的 HA 配置完毕之后将 ha1 和 ha2 线相互直连,将会进行 HA 的选举,此时优先级 150 高的 FGT 将成为主防火墙,优先级低的 120 的 FGT 将成为备防火墙。然后备防火墙的配置将会和主防火墙进行同步,备防火墙所有配置和主防火墙一致,此时备防火墙也将不再可以 WEB/SSH 登录,仅仅可以 Console 登录。后续所有的操作和配置都在主防火墙上的 GUI、SSH 或 Console 完成。
选举结果如下,FGT1-LEFT 成为主设备。
FGT1-LEFT # diagnose sys ha status HA information Statistics traffic.local = s:0 p:22783 b:12890083 traffic.total = s:0 p:22793 b:12890691 activity.ha_id_changes = 2 activity.fdb = c:0 q:0 Model=80008, Mode=2 Group=0 Debug=0 nvcluster=1, ses_pickup=1, delay=0 [Debug_Zone HA information] HA group member information: is_manage_primary=1. FGVM08TM22000173: Primary, serialno_prio=1, usr_priority=150, hostname=FGT1-LEFT FGVM08TM22000174: Secondary, serialno_prio=0, usr_priority=120, hostname=FGT2-RIGHT [Kernel HA information] vcluster 1, state=work, primary_ip=169.254.0.2, primary_id=0: FGVM08TM22000173: Primary, ha_prio/o_ha_prio=0/0 FGVM08TM22000174: Secondary, ha_prio/o_ha_prio=1/1这三个命令都可以看到 HA 的选举结果和 HA 状态。
# diagnose sys ha status # get system status # get system ha statusGUI 查看 HA 的选举结果和状态。
配置基础 LAN/WAN 上网服务。此步骤为正常上网的基础配置,大概的步骤是配置接口 IP、配置默认路由、配置策略即可实现防火墙的简单上网配置。(所有配置都在主防火墙上完成,备防火墙此时不可以登陆)
配置接口 IP。
config system interface edit "port1" set vdom "root" set ip 192.168.10.1 255.255.255.0 set allowaccess ping https ssh snmp http fgfm set type physical set alias "lan" set snmp-index 1 next edit "port2" set vdom "root" set ip 202.100.1.21 255.255.255.0 set type physical set alias "wan1" set snmp-index 2 next end配置默认路由。
config router static edit 1 set gateway 202.100.1.192 set device "port2" next end配置上网策略。
config firewall policy edit 1 set name "to_Internet" set srcintf "port1" set dstintf "port2" set action accept set srcaddr "LAN_192.168.10.0" set dstaddr "all" set schedule "always" set service "ALL" set nat enable next end配置 LAN 口网管相关参数,关于网管目前可以通过 port1(lan)的 192.168.10.1 进行管理,比较关键的网管因素是:
port1 接口下开启了网管的协议,比如 https、http、ssh、snmp 等。
管理员可信任主机如果配置了的话,需要包含发起管理请求的主机 IP 或网段。
客户端 PC 到 FGT 的来回路由可达,可以通过 ping 和 tracert 测试。
上面 1、2 点确认没有问题之后,还是遇到不通的情况,可以通过 sniffer 抓包和 debug flow 确认问题所在。
FGT # diagnose sniffer packet any "host 192.168.10.1" 4 0 l如果跨接口管理防火墙,比如处于 port1 的 PC 要通过防火墙 port2 接口的 IP 管理防火墙,则需要主要有 port1 到 port2 的放通策略,否则数据也是不通的。
出现网管不了的情况,99% 就是以上的原因了。
网管配置
SYSLOG
确认通过 192.168.10.1 网管没问题的话,配置 SYSLOG 等本机发出的网管配置。
config log syslogd setting set status enable set server "192.168.10.100" end主/备防火墙的日志都会通过业务接口 port1 192.168.10.1 将 syslog 日志发送出去,备防火墙的 syslog 日志会通过心跳线到主机,然后由主机代为转发。
FGT1-LEFT # diagnose sniffer packet any "port 514" 4 interfaces=[any] filters=[port 514] 0.918154 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 635 //主防火墙的syslog日志 0.918225 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 649 5.492057 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 649 5.961902 port_ha in 169.254.0.2.514 -> 169.254.0.1.514: udp 454 //备防火墙的console登陆日志 5.962018 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 418 5.968684 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 554 8.314617 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 730 8.507346 port_ha in 169.254.0.2.514 -> 169.254.0.1.514: udp 473 //备防火墙的console退出日志 8.507479 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 437 8.964545 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 724 9.074989 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 597
SNMP
lan 接口下开启 SNMP 协议。
config system interface edit "port1" set vdom "root" set ip 192.168.10.1 255.255.255.0 set allowaccess ping https ssh snmp http fgfm ftm set type physical set alias "lan" set snmp-index 1 next end开启 SNMP 功能。
config system snmp sysinfo set status enable set description "FGT" set contact-info "support_cn@fortinet.com" set location "Beijing" end config system snmp community edit 1 set name "public" config hosts edit 1 set ip 192.168.10.100 255.255.255.255 next end next end在 SNMP 客户端对 FortiGate 的 lan 口进行 get/walk 操作,这里以 IReasoning MIB Browser 为例。
SNMP 客户端接收到的 FGT 发送的 trap 信息,可以看到主备设备均通过主设备进行发送。
FortiManger 管理
FortiManager 通过 FGT 的 lan 口添加设备,在 FGT 的 lan 口下开启 FMG 管理协议。
config system interface edit "port1" set vdom "root" set ip 192.168.10.1 255.255.255.0 set allowaccess ping https ssh snmp http fgfm ftm set type physical set alias "lan" set snmp-index 1 next end配置防火墙主动连接 FMG(如果 FMG 可以主动访问到 FGT,也可以通过 FMG 主动添加 FGT)。
config system central-management set type fortimanager set fmg "192.168.90.107" end如果是 FGT 主动去注册 FMG,则 FMG 会有未注册的设备提示。
只需要将设备添加到 FMG 的对应 ADOM 的设备管理中即可。
授权完成。
在 FMG 中可以对 FGT 进行管理。
SSH、Ping
在 lan 接口下开启 SSH 和 Ping。
使用 PC 客户端访问 FGT 主设备的 Ping 和 SSH。
