Bài viết này mình sẽ giới thiệu 1 số tùy biến sau khi cấu hình thành công HA

Cách cấu hình HA các bạn có thể tham khảo tại đây :

http://aws.vacif.com/blog/fortigate-cach-cau-hinh-ha-active-active-p1/

Sơ đồ mạng :

Mục lục :

1. Tách biệt cổng MGMT trong cấu hình HA

2. Tính năng dự phòng dây dẫn khi HA

Nội dung bài lab

1. Tách biệt cổng MGMT trong cấu hình HA

1.1 Tại FortiGate-2

Như các bạn đã biết, sau khi HA thành công thì ta mặc định chỉ có thể truy cập vào 1 thiết bị Fortigate đang ở mode Primary mà thôi. Nếu quá trình HA khi vận hành bị lỗi và quá trình quản lý sẽ rất khó khăn trong việt fix để tìm cách khắc phục

Để dễ hình dung, ở đây mình sẽ gắn thêm 1 thiết bị Switch với vài trò MGMT quản lý 2 thiết bị Fortigate

Bài trước vì Priority của FortiGate-2 lớn hơn ,nên là Primary. Vậy chúng ta chỉ có thể truy cập giao diện cấu hình FortiGate-2 trước

Tại FotiGate-2

Vào Network >> interfaces >> edit port 4 (sơ đồ)

Alias : MGMT

Role : DMZ

IP/Netmask : 10.10.10.2/24

Cho phép Service HTTPS, Ping

Nhấn OK để thiết lập

Tiếp theo các bạn vào System >> HA

Enable tính năng Management Interface Reservation lên

Interface : cổng kết nối đến thiết bị dùng quản lý thiết bị

Gateway : điền IP của thiết bị MGMT

Destination subnet : chọn lọc subnet

Kết quả :

Dùng VPC-2 ping đến IP MGMT của FortiGate-2

1.2 Tại FortiGate-1

Vì đang cấu hình HA nên Fortigate-1 Port4 cũng được đồng bộ như Fortigate-2 có IP MGMT 10.10.10.2

Chúng ta đang muốn tách ra để quản lý nên cần phải đổi IP này thành IP khác

Các bạn tiến hành cấu hình trên giao diện CMD như sau

Kết quả :

Dùng VPC-2 ping thử Port MGMT của FortiGate-1

2. Tính năng dự phòng dây dẫn khi HA

Vì hiện giờ chúng ta đang cấu hình Active-Active, nên lở đâu port2 bị đứt thì FortiGate-2 vẫn là Primary, các thiết bị mà muốn qua nó đễ đi internet thì không được nữa

Để khắc phục điều này ta cần cấu hình thêm tính dự phòng như sau

Tại Monitor interface : thêm Port2