Fortinet - Clúster FortiGate HA para una configuración de cortafuegos a prueba de fallos
Fortinet
Tanto si su FortiGate está desplegado como pasarela de seguridad, como firewall de segmentación interna, en la nube o en un entorno MSSP, mientras el tráfico crítico pase a través de él, corre el riesgo de ser un punto único de fallo. Los fallos físicos pueden deberse a cortes de electricidad, fallos de enlaces físicos, fallos de transceptores o fallos de la fuente de alimentación. Los fallos no físicos pueden estar causados por enrutamiento, problemas de recursos o pánicos del kernel.
Los cortes de red provocan interrupciones en el negocio, tiempo de inactividad y frustración en los usuarios, y en algunos casos pueden dar lugar a reveses financieros. A la hora de diseñar la red y su arquitectura, es importante sopesar los riesgos y consecuencias de las interrupciones inesperadas.
Para contrarrestar proactivamente este tipo de problemas, cualquier FortiGate puede desplegarse en un clúster de alta disponibilidad. Para ello, hay que tener en cuenta algunas cosas:
-
Sólo modelos idénticos pueden trabajar juntos dentro de un cluster.
Esto significa que dos FortiGate 100F pueden formar un cluster, pero un FortiGate 100F y un FortiGate 101F no. Tampoco es posible una combinación de FortiGate 100F y FortiGate 100E. -
Ambos cortafuegos deben tener licencia completa.
En un cluster HA, se utiliza aquí el mínimo común denominador de licencias. Por lo tanto, si el paquete de licencias UTP se ejecuta en un FortiGate, pero sólo una licencia de soporte en el segundo, sólo la licencia de soporte estaría disponible en el funcionamiento del clúster. - Ambos cortafuegos también deben utilizar la misma versión de firmware en el momento en que se forme el clúster.
- Para permitir una conmutación por error sin problemas, puede ser necesario hardware adicional. Por ejemplo, un conmutador que se sitúe entre los cortafuegos FortiGate y el dispositivo de acceso a Internet, como un módem o un enrutador. Esto puede permitir automáticamente que el cortafuegos de respaldo se conecte a Internet sin que nadie tenga que mover el cable. Además, ambos cortafuegos FortiGate también deberían estar conectados a un conmutador en la dirección de la red interna, para que la conmutación por error también sea posible en este extremo sin tener que volver a conectarse.
Fortinet utiliza un clúster activo-activo como estándar para un clúster de HA. Esto significa que ambos cortafuegos están activos y dividen el trabajo entre ellos. En caso de fallo de un cortafuegos, el segundo tomaría el relevo directamente y, en el mejor de los casos, sólo el administrador de red sería consciente de que algo ha sucedido.
Por supuesto, los clústeres activo-pasivo también son posibles.
Pero, ¿cómo se configura realmente una HA?
Algo así debería estar siempre bien planificado.
-
El cableado debe establecerse de forma lógica. En una configuración sencilla sería así:
Internet -> Router -> Switch -> cluster FortiGate -> Switch -> red interna - Si se trata de una infraestructura nueva, realice la configuración básica en los cortafuegos FortiGate.
- Si se trata de un cortafuegos existente, realice la configuración básica en el segundo dispositivo.
- Realice la siguiente configuración en Sistema -> HA:
- Modo: Activo-Activo o Activo-Pasivo
- Prioridad del dispositivo: 128 o superior (¡sólo para el cortafuegos principal!)
- Nombre del grupo: Introduzca aquí el nombre del clúster deseado.
- Interfaces de heartbeat: introduzca una o varias interfaces a través de las cuales ambos cortafuegos estén conectados directamente entre sí. La configuración, las sesiones y la información de heartbeat se intercambian a través de estas interfaces.
Realice la misma configuración para el segundo cortafuegos, pero establezca la prioridad más baja para que se registre como cortafuegos secundario en el clúster.
Qué hago si quiero actualizar el firmware?
Tienes dos opciones. Una actualización ininterrumpida, que lleva más tiempo, o una con interrupción. Básicamente, el proceso de actualización del firmware de un cluster no difiere del de una sola unidad FortiGate. Seleccione el firmware que desea instalar a través de Sistema -> Firmware y active el proceso de actualización. A continuación, el firmware se instala primero en un cortafuegos secundario y éste se declara cortafuegos primario. Este asume entonces el trabajo, es decir, se lleva a cabo una especie de conmutación por error. A continuación, se ejecuta el firmware en el cortafuegos primario. Una vez finalizado, se vuelve a seleccionar el cortafuegos primario en función de la configuración del clúster.
Si el cortafuegos secundario se bloquea o deja de responder durante la actualización, el cortafuegos primario seguirá funcionando y sólo realizará una actualización en cuanto el secundario se reincorpore al clúster con una actualización correcta.
Si está interesado en un cortafuegos Fortinet FortiGate o desea redundar su infraestructura actual con la ayuda de un clúster, estaremos encantados de asesorarle. Póngase en contacto con nosotros para una primera consulta gratuita a través de nuestro número de teléfono, dirección de correo electrónico o nuestro formulario de contacto.