Forum
Bildirimler
Hepsini Temizle
Fortinet
12
Yazılar
4
Üyeler
0
Reactions
5,049
Görüntüleme
Konu başlatıcı
Merhaba,
Elimde 2 adet FortiGate 200D var. Cihazlarda HA ile şöyle bir yapı oluşturmak istiyorum.
Sunucular arada switch olmadan direkt olarak firewalla bağlı olacak (İki cihaz üzerinde kabloloma olacak) firewall üzerinde portlar zonelara ayrılacak. Linux sunucular üzerinde network bonding ayarlarını yapıp Master firewallun herhangi bir portunda bir sorun olması durumunda minimum kesintiyle, otomatik olarak slave firewall üzerinden devam etmesini sağlamak. Buradaki amacım cihaz failover değilde port bazlı failover oluşturmak. VMvare üzerinde istediğim kurguyu oluştturdumda sunucular üzerideki slave interface üzerinden devam ediyor. Canlı ortamda uygulamaya çalıştığımda sunucu subnete dahi gidemiyor. HA ayarlarınından aktifleştirmem gereken bir özellik var mıdır? Yardımınızı rica ederim.
Şimdiden teşekkürler
İyi çalışmalar
Gönderildi : 28/05/2019 13:37
Merhaba,
Neden cihaz bazlı değilde port bazlı HA yapmak istiyorsanız ?
Forti üzerinde HA yapılandırdınız mı ?
Vm üzerinde ki kurgu hakkında da bilgi verirseniz daha sağlıklı ilerleyebiliriz.
****************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
Eğer sorununuz çözüldü ise lütfen "çözüldü" olarak işaretlerseniz diğer üyeler için çok büyük kolaylık sağlayacaktır.
*****************************************************************
Gönderildi : 29/05/2019 00:55
Selamlar @EnginDalkilinc,
Fortigate ile 2 farklı cihaz üzerindeki portlarda link aggretion uygulayamıyorusunuz o yüzden sağlıklı çalışmayacaktır linux sunucular üzerinde birleştirdiğiniz portları master/slave çalıştırsanız da fortinet üzerinde ethernet up olması durumunda master dan istekler akacaktır ancak aşağıdaki gibi remote link failover diye bir özellik mevcut .
Bu arada switch kullanarak kesintisiz bir yapı oluşturmak var iken neden minumum kesintiyle çalışacak bir yapıyı kurabilmek için ekstra efor harcıyorsunuz ?
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 29/05/2019 01:42
Selamlar,
Fortigateler hardware ve software switch olarak kullanilabilir, bu acidan port-channel yada lag yapabilirsin. Lakin ihtiyacin bu degil.
ha configurasyonunu yaptigini var sayiyorum.
ha ek olarak
config sys ha
set ha-slave-disable enable
end
bu kutulari yapi icerisinde tek bir fiziksel cihaz haline getirecek.
sonra network > interface
create new > software switch
hangi portlari istiyorsan secip ok diyorsun.
artik switchin hazir.
eger bu portlara linux baglayacaksan, lag yapacaksin linux da mode olarak 0 secmalisin.
windows baglayacaksan static teaming yapacaksin.
sunucunun birinci portu fw1 port 1 e takili ise ikinci portu da fw2 port 1 e takili olmali.
Birde sadece 200d de olan vlan switch ozelligi var derin mevzu ama sunuculari ayri ayri l2 vlanlarda toplayip switch olarak da fw yi kullanabilirsin, sw olmadan vlan segmentasyonu 🙂
birden fazla software switch yapabilirsin ama birden fazla hardware switch yapamazsin.
ekstra sorun olursa buralardayiz.
Gönderildi : 29/05/2019 08:46
Konu başlatıcı
@cumhuraltan hocam, aslında belirttiğiniz yapıda switch arızalanırsa tüm yapı çökmüş olacak. Bundan dolayı Sunucuları direkt olarak FW bağlamak daha mantıklı gibi geldi.
Gönderildi : 29/05/2019 16:11
Konu başlatıcı
@mustafatasci hocam, HA yapılandırmasını aktif-pasif olacak şekilde yapılandırdım. VMware üzerindeki yapıda sanal network kartları tekbir fiziksel karta bağlı olduğu için eklediğim sanal kartların birini çıkarmam durumunda kesintisiz olarak sistem çalışmaya devam ediyor. Canlıda uygulamak istediğim yapıda fiziksel 2 farklı FW'la sunuculardan direkt olarak bağlamak. Yani sunucunun 1.nic'inde (kablo çıktı, kart arızalandı v.b) sorun olursa otomatik olarak sunucunun 2.nic'i üzerinden bağlantı devam etsin istiyorum.
NIC-1 -->Master FW-Port-1
Nic-2 --> SlaveFW-Port1
Gönderildi : 29/05/2019 16:18
Konu başlatıcı
@MustafaDemiroz Hocam, HA yapısı Aktif-Pasif olacak şekilde yapılandırıldı.
"set ha-slave-disable enable" komutu cli da yok. Yanlış veya eksik bir yapılandırma hatası yapmış olabilir miyim?
Ayrıca software switch yapmak zorunda mıyım? Her portu birbirinden bağımsız yapılandıracağım için software switch oluştursam dahi tek port ekleyeceğim.
Gönderildi : 29/05/2019 16:25
@cumhuraltan hocam, aslında belirttiğiniz yapıda switch arızalanırsa tüm yapı çökmüş olacak. Bundan dolayı Sunucuları direkt olarak FW bağlamak daha mantıklı gibi geldi.
Selamlar,
Switch tarafında chasis backbone kullanmıyorsanız aşağıdaki örnek topolojiyi de uygulayabilirsiniz.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 29/05/2019 16:41
Simdi dostum, (Komut 🙂 set lacp-ha-slave disable)
Sadelestirelim, Elimizde bir adet linux server ve bir adet windows server var ikiside iki network portlu olmak zorunda, bir firewallumuz var ve switchimiz yok.
Fortigate'i switch olarak kullanabilir miyiz? Evet, 200D'ler Vlan Switch bile olur.
Server1 Port1 > FW1 Port1
Server1 Port2 > FW2 Port1
Server2 Port1 > FW1 Port2
Server2 Port2 > FW2 Port2
mantıken su anda hersey hazır. Problem ise Firewallar L3 port olduklarından dolayı iki portada (Port1, Port2) ayrı L3 ip vermelisin. örneğin Server1 Baglı porta 192.168.1.1/24 digerine 192.168.2.1/24, ayrı l3 domainler ayrı policyler vs.
Onun yerine Firewall'da Port1 ve Port2 yi Software yada Hardware switch üzerinde birlestirdiğin zaman bir tane ip verip kurtuluyorsun.
İkinci konu, (aktif pasif çalışacak gerek var mı?)
Active pasif çalışıtken arada switch var ise bir kutuya bir Port-Channel digerine baska bir Port-Channel yaparız. Bu sayede Switch load balance yaparken paket kaybı olmaz.
Ama sende switch olmayacak ise, pasif kutunun real mac adresini degil de sadece virtual mac adresini göndermesi için ha slave disable ayarını yapmalısın.
Yapmasan ne olur çalışır mı ? evet, küçük trafikte fark etmezsin ama 100Mbit üzerinde paket kayıpları ve latencyler baslar.
Özetle,
Switch olmadan yapı kurulabilir. Hardware switch ve software switch yapılabilir. LAkin bu cihazlar tasarım olarak (asic,) L3 tasarlanmıstır. L2 performansları biraz agır olabilir. L2 yapıda iki switch, iki fw, switchler stack yada VPC full mesh topoloji ile kolay kolay down olmazsın.
Switch kullanmadıgında da, HA altında session-pickup özelligğini açarsan, bir kutu gittiğinde digerine gecer ve sen hissetmezsin.
Ekstra sorun olursa buralardayım 🙂
Gönderildi : 29/05/2019 16:54
Konu başlatıcı
@MustafaDemiroz Hocam, Fiziksel bir switch kullanmak istemiyoruz, çünkü applicaption, database ve diğer sunucularını birbirinden soyutlayıp istediğimiz servisler bazında veya hiç ulaşamamalarını sağlamak. Bu işlemi fw üzerinde yapabiliyorken switch yatırımı yapmak istemiyorum. Bunun haricinde interfacelere ip atama ha yapılandırmasına kadar her şey tamam aslında. sadece 2 kutuyu tek kutu gibi göstermek kaldı. Burada aklıma takılan, ben bu işlemi 1 tane fiziksel sunucu üzerinde yapıp sorun olmazsa diğer sunucuları taşımak istiyorum. Bu işlemi yaparken diğer sunucularda kesinti olur mu?
Gönderildi : 30/05/2019 11:57
Konu başlatıcı
@cumhuraltan hocam, yapıda switch kullanmak istemiyoruz.
Gönderildi : 30/05/2019 12:00
@cumhuraltan hocam, yapıda switch kullanmak istemiyoruz.
Selamlar ,
Switch kullanmayı istememe sebebiniz " Hocam, Fiziksel bir switch kullanmak istemiyoruz, çünkü applicaption, database ve diğer sunucularını birbirinden soyutlayıp istediğimiz servisler bazında veya hiç ulaşamamalarını sağlamak. " ise switch kullanarak da böyle bir yapı kurabilirsiniz üstelik sunucular arası trafik switch üzerinde döneceği için Firewall tarafına gereksiz yük de binmemiş olacaktır.
Bahsettiğiniz şekilde sistemi çalıştırsanız bile Fortigate tarafında desteklenen bir mimari oluşmayacağını düşünüyorum ki öyle olsaydı kendi döküman sayfalarında örnek bir mimari veya dökümantasyon paylaşmış olurlardı diye düşünüyorum ki yapıyı bahsettiğiniz şekilde çalıştırsanız da ileride bir problem vb ötürü case açtığınız zaman desteklenmeyen mimari olduğu için destek alamama ihtimaliniz çok yüksek ki üstelik bu mimariyi canlı bir yapıda çalıştırmayı planlıyorsunuz yapıyı çalıştırabilirseniz sonrasında mutlaka uzun ve sağlıklı bir test sürecinden geçirmeden canlıya almamanızı şiddetle tavsiye ediyorum.
***************************************************************************
Probleminiz Çözüldüğünde Sonucu Burada Paylaşırsanız.
Sizde Aynı Problemi Yaşayanlar İçin Yardım Etmiş Olursunuz.
***************************************************************************
Probleminiz çözüldüğünde, Konunuzu "ÇÖZÜLDÜ" olarak işaretleyerek benzer problemi yaşayanlara yardımcı olabilirsiniz.
Gönderildi : 30/05/2019 17:00
