[EVE-NG / Fortigate] 방화벽 HA 구성 실습

JaehyoJJAng2024년 07월 10일

개요

네트워크 가상화 시뮬레이터인 EVE-NG를 사용하여 Fortigate 방화벽의 이중화를 구현하고,

Failback(페일백)을 최소화하는 방법에 대해서 기록해보려고 한다.

환경 준비

장비 이미지: Fortigate-FGT-v6-4
모드: Active - Passive

실습 구성도

DownLink: lan: PORT3
Monitor interface: wan1: PORT1
HA Interface: ha: PORT2
Priority 값은 Active: 150, Passive: 100으로 지정

관리 인터페이스 설정

1. 콘솔 접근

각 방화벽의 콘솔에 접속

2. IP 주소 설정

# PORT 1 Static으로 변경
config system interface
  set mode static
  set ip <IP 지정>
  set allowaccess ssh ping http https
  next
end

config router static
  edit 1
  set dst 0.0.0.0/0
  set gateway <게이트웨이 지정>
  set device port1
  next
end

방화벽 이중화 설정 (GUI)

Active & Passive

1. System -> HA로 이동

2. HA 모드를 활성화하고, 모드를 Active-Passive로 선택

3. Heartbeat 인터페이스 포트 지정 및 우선순위 설정 (Passive는 Priority 값을 Active보다 낮춰서 주기)

방화벽 이중화 설정 (CLI)

Active

config system ha
    set group-name "HA-GROUP"
    set mode a-p
    set password *****
    set session-pickup enable
    set ha-uptime-diff-margin 1
    set override disable
    set priority 150
    set monitor "wan" "lan"

Passive

config system ha
    set group-name "HA-GROUP"
    set mode a-p
    set password *****
    set session-pickup enable
    set ha-uptime-diff-margin 1
    set override disable
    set priority 100
    set monitor "wan" "lan"

HA 협상 로직

HA 협상 로직은 다음 그림을 참고.
![image]

1. override 값이 disable이면 다음과 같은 순위로 Master를 결정함
- Monitor interface 수가 많은 장비 -> HA Cluster Uptime이 더 큰 장비 -> Device Priority 값이 더 큰 장비 -> S/N 값이 더 큰 장비
2. override 값이 enable이면 다음과 같은 순위로 Master를 결정함
- Monitor interface 수가 많은 장비 -> Device Priority 값이 더 큰 장비 -> HA Cluster Uptime이 더 큰 장비 -> S/N 값이 더 큰 장비

Failback을 최소화 할 수 있는 조건

가정1. Active가 복구 되고 override 값이 enable일 경우
- Monitor interface 다음의 우선 순위 값인 Priority 값에 의해 무조건 Failback 발생
가정2. Active가 복구 되고 override 값이 disable일 경우
- HA Uptime 순위에 따라 ha-uptime-diff-margin <seconds> 값에 의해 이내 복구 시 Failback 발생
- 값 복구 이후 복구 시에는 Failback 발생하지 않음

Failback을 최소화 할 수 있는 조건은 다음과 같다.