CẤU HÌNH CƠ BẢN H-A MÔ HÌNH FORTI GATE VÀ MIKROTIK
Firewall Forti đảm nhận:
- PPPoE Client
- Firewall – Phần này sẽ không đề cập ở bài viết này
- High Availability (HA) mode Active-Passive
Router Mikrotik đảm nhận:
- Routing
- DHCP server
- HA – sử dụng VRRP
- Trunking
Fiber Switch đảm nhận Switching.
Nội dung bài viết:
CẤU HÌNH FORTIGATE:
Trong bài viết này chỉ nói về HA, nên sẽ không đề cập đến các cấu hình khác như PPPOE, NAT, Routing, SD-WAN, Firewall…..
Trước khi cấu hình, hãy đảm bảo chắc chắn 2 thiết bị cùng model, cùng version FortiOS và active licensen. Đối với các thiết bị có ổ cứng thì số lượng và dung lượng ổ cứng ở 2 thiết bị cũng phải giống nhau.
Để cấu hình HA, vào System -> HA:
- Mode: Active-Passive
- Device priority: set thông số này cao nhất (255) cho thiết bị Master (Primary), và thiết bị có thông số device priority cao thứ 2 sẽ là Master trong trường hợp Master bị lỗi.
- Group name: tên Cluster Group
- Password: để xác thực các Cluster Member tham gia vào group, các giá trị Group Name và Password ở các thiết bị trong cùng 1 Cluster phải trùng nhau.
- Heartbeat Interfaces: chọn cổng để làm HA (ở đây là port 1 và port 2). Hai port này sẽ gửi các bản tin trao đổi để xác định các thiết bị có hoạt động bình thường hay không và đồng bộ cấu hình giữa các member trong Cluster.
- Heartbeat Priority Interface: thiết lập độ ưu tiên cổng nào sẽ được chọn để gửi gói tin heartbeat.
- Managenment Interface Reservation: tùy chọn này cho phép ta chọn 1 port trên thiết bị và sử dụng IP của port đó làm IP quản trị. Nếu tính năng này không sử dụng, khi cấu hình xong ta chỉ có thể truy cập vào thiết bị Master, còn nếu sử dụng và chọn cổng MNGM, thì ta có thể truy cập cả 2 thiết bị Master và Backup bằng IP MNGM.
- Dùng CLI và gõ lệnh “Set override enable” và “end” để lưu cài đặt. Override enable được dùng để chỉ định 1 thiết bị mặc định làm Master trong Cluster đó thông qua thông số Priority, ví dụ trong trường hợp con Master bị lỗi và con Backup lên làm Master, sau khi khắc phục lỗi cho con Master chính thì con Master hiện tại sẽ nhường quyền Master và quay về làm Backup. Nếu “Override disable” thì khi con Master chính tham dự Cluster sau khi được khắc phục lỗi xong nó sẽ không giành lại quyền Master, vì lúc này Cluster bầu chọn Master dựa trên các thông tin khác như Uptime, Serial Number…
- Nhấn Ok để hoàn tất việc cài đặt.
- Chúng ta có thể xem lại cài đặt HA qua CLI
Cấu hình thiết bị Backup (Slave) với các thông số trên trùng với thiết bị Master (Primary) ngoại trừ thông số Device Priority phải thấp hơn để đảm bảo thiết bị này luôn là thiết bị Backup.
Sau đó lưu cấu hình và kết nối Heartbeat Interface. Lúc này FortiGate sẽ tìm kiếm và tạo thành các cụm Cluster , hệ thống mạng lúc này sẽ bị gián đoạn trong vài giây do các thiết bị trong Cluster đàm phán và bầu chọn Master. Sau khi đàm phán xong ta sẽ thấy 2 thiết bị như hình bên dưới:
CẤU HÌNH ROUTER MIKROTIK:
Trong bài viết này sử dụng VRRP để cấu hình HA cho Mikrotik, cũng chạy theo mode Active-Passive như Fortigate, nhưng Mikrotik A-P cho từng Interface VRRP, không phải A-P cho thiết như Fortigate. Do đó ta có thể tùy ý tinh chỉnh traffic VRRP đi theo Router mong muốn, ví dụ VRRP 1 và VRRP 10 đi qua Router 1 để truy cập Internet, VRRP 20 và VRRP 30 đi qua Router 2 để truy cập Internet.
- Tạo Bridge WAN, xác định interface uplink cho bridge – ở đây là ether1 và ether2, đặt IP tĩnh cho Bridge WAN, add default route trỏ về Fortigate
- Tạo Bridge LAN (ở đây là MNGM), add interface LAN (ether3-5).
- Tạo interface VLAN10,20,30 cho Bridge LAN.
- Tạo 4 VRRP cho MNGM, VLAN 10,20,30. Đặt IP x.x.x.100 tương ứng cho 4 Interface trên. Lưu ý: sử dụng “Preemption mode = yes” cho tất cả các VRRP trên cả 2 Router (vì trong bài này có phần Bonus, không sử dụng phần bonus thì chỉ sử dụng Preemption cho VRRP ), việc sử dụng Preemption để khi thiết bị Backup lên làm Master sẽ đàm phán và nhượng quyền Master lại cho thiết bị có độ ưu (Priority) tiên cao nhất trong cùng 1 VRRP.
- DHCP cho 4 Interface trên, lưu ý: Gateway trỏ về IP VRRP tương ứng.
Cấu hình Router 2 tương tự như các bước trên, chỉ khác các thông số IP Bridge WAN, VRRP Priority sẽ khác với Router 1 – tùy thuộc vào việc lựa chọn Router Master cho từng VRRP mà ta set cao hơn hoặc thấp hơn Router 1.
Đến đây là xong phần cấu hình HA ở Firewall Fortigate và Router Mikrotik ở mô hình trên, lúc này interface trong Bridge Lan đều là hybrid-port (Access MNGM và trunk 3 VLAN 10,20,30).
BONUS:
Ở Router Mikrotik cấu hình HA bằng VRRP sẽ không có tính năng monitor interface/link như HSRP ở Cisco, do đó thiết bị sẽ không phát hiện interface WAN down (ở đây là Bridge WAN down hoặc cả 2 ether1,2 đều bị down đồng thời) và VRRP sẽ nhượng quyền Master cho thiết bị khác trong cùng VRRP.
Nên mình sẽ tận dụng những thế mạnh riêng của Mikrotik để giám sát up/down của interface WAN và cấu hình lại VRRP cho phù hợp với hoàn cảnh lúc bấy giờ:
/tool netwatch
add disabled=no down-script=”/log error \”VRRP : UPLINK FAILED => Transit ALL VRRP to BACKUP State \”\r\
\n/interface/vrrp/set vrrp1 priority=49\r\
\n/interface/vrrp/set vrrp-Vlan10 priority=49\r\
\n/interface/vrrp/set vrrp-Vlan20 priority=49\r\
\n/interface/vrrp/set vrrp-Vlan30 priority=49\r\
\n:delay 2s\r\
\n/log warning \”Changed VRRP1 to BACKUP State\”\r\
\n/log warning \”Changed VRRP-VLAN10 to BACKUP State\”\r\
\n/log warning \”Changed VRRP-VLAN20 to BACKUP State\”\r\
\n/log warning \”Changed VRRP-VLAN30 to BACKUP State\”” host=192.168.1.1 http-codes=”” interval=10s test-script=”” timeout=1s type=simple up-script=”/log warning \”VR\
RP : UPLINK CONNECTED => Transit ALL VRRP to MASTER State \”\r\
\n/interface/vrrp/set vrrp1 priority=100\r\
\n/interface/vrrp/set vrrp-Vlan10 priority=100\r\
\n/interface/vrrp/set vrrp-Vlan20 priority=100\r\
\n/interface/vrrp/set vrrp-Vlan30 priority=100\r\
\n:delay 2s\r\
\n/log warning \”Changed VRRP1 to MASTER State\”\r\
\n/log warning \”Changed VRRP-VLAN10 to MASTER State\”\r\
\n/log warning \”Changed VRRP-VLAN20 to MASTER State\”\r\
\n/log warning \”Changed VRRP-VLAN30 to MASTER State\””
Giải thích Scrip trên: Netwatch sẽ monitor nexthop Fortigate có ip là 192.168.1.1, thời gian 10s 1 lần sẽ gửi gói icmp đến đó, nếu nhận được phản hồi đồng nghĩa Bridge WAN up, VRRP Priority sẽ đc set cao nhất cho VRRP Master tương ứng. Ngược lại, không nhận được phản hồi từ nexthop = Bridge WAN down, VRRP Priority sẽ được set thấp hơn với thiết Backup hiện tại = VRRP backup lúc này sẽ có priority cao hơn và lên làm Master. Tất cả mọi thứ đều được hiển thị log cho quản trị viên.
Bài viết này sẽ dừng lại ở đây cho các cấu hình HA trên Fortigate và Mikrotik, phần cấu hình ở Fiber Switch, Access Switch trong mô hình ở trên sẽ được đề cập trong bài viết sau.