[Fortigate - 방화벽] 이중화(HA)
1. HA
- HA는 고가용성을 의미하여 장비를 이중화하여 가용성을 높이는 것이다.
* 아래 그림은 방화벽이 이중화되어 FW1에 장애가 발생해도 FW2가 트래픽을 처리하여 서비스에 문제가 없다(= Failover)
- "System -> HA"에서 Mode를 Active-Passive 선택
* Active-Passive는 이중화된 장비 1대는 정상 동작하지만 다른 1대는 대기 상태로 유지하는 모드
* Device Priority는 1번 장비에 200, 2번 장비에 100으로 설정(Main 장비의 값이 더 높도록 임의값 설정)
* Group name은 자유롭게 작성
* Session Pickup은 Standby 장비가 Active될 때 기존 세션을 받아서 통신의 끊김을 최소화
* Monitor interface는 통신을 위한 인터페이스
* Heartbeat Interface는 이중화된 장비 상태 확인을 위한 인터페이스
- Passive 장비(FW2)는 Device priority 값만 100으로 설정하고 나머지는 동일하게 설정
- 설정 후에 다시 HA 메뉴를 확인하면 이중화된 2개 장비(Hostname) 확인 가능
* HA 설정을 수행하면 Passive 장비의 IP는 Active 장비의 IP를 받아서 콘솔 접근이 제한된다.
* Passive 장비에 접근하려면 이중화를 설정할 때 "Management Interface Reservation" 옵션을 통해 관리 인터페이스를 설정해줘야 한다.
- 설정 후 Actvie 장비를 종료해도 약간의 지연 이후 정상적인 서비스 가능 확인
* 100건의 접근을 시도하는 중간에 Failover가 발생하면 약간의 에러가 확인되나 그 이후 서비스 안정화됨
2. Failback
- Failback은 Failover 이후 다시 Active 장비로 전환하는 조치를 의미
- Failback 과정에서 Failover 때 발생한 것처럼 통신의 단절이 발생할 수 있음
=> Active 장비가 정상화되면 곧바로 Failback 할 것인지, 아니면 수동으로 Failback 처리할 것인지 고려
(1) override
- CLI에서 override 설정에 enable, disable 할 수 있음
* Override 옵션 enable인 경우 Master(Active) 장비는
Monitoring Interface 수가 많은 장비 -> Up Time이 더 큰 장비 -> Device Priority 값이 더 큰 장비가 된다.
* Override 옵션 disable인 경우 Master(Active) 장비는
Monitoring Interface 수가 많은 장비 -> Device Priority 값이 더 큰 장비 -> Up Time이 더 큰 장비가 된다.
즉, override 기능이 disable인 상태라면 Active 장비가 정상화되자마자 다시 Failback이 발생
(2) ha-uptime-diff-margin
- Active 장비가 설정한 "ha-uptime-diff-margin" 시간 내 복구된다면 Active-Standby 전환 없이 그대로 Active 유지
'내 웹 서버 > 방화벽' 카테고리의 다른 글
| [Fortigate - 방화벽] syslog 설정 (0) | 2023.12.27 |
|---|---|
| [Fortigate - 방화벽] Time zone 변경 (0) | 2023.12.27 |
| [Fortigate - 방화벽] VPN (IPSec) (0) | 2023.09.11 |
| [Fortigate - 방화벽] 방화벽 정책 & NAT (0) | 2023.09.07 |
| [Fortigate - 방화벽] 초기 세팅 (0) | 2023.09.03 |