Salve Rapaziada, voltamos com a programação de escrever artigos pra galera de TI.
O papo de hoje é sobre HA (HIgh Availability) do produto Firewall Fortinet.
Aí vem a pergunta, Negão, por que tu escolheu o Fortinet? Porque o site é meu porra, eu escrevo o que quiser kkkk
Sacanagem, falando sério, se você pesquisar o Fortinet é um dos fabricantes mais presentes no mundo todo, ou seja, há muitas empresas que usam, e a demanda por profissionais que precisam conhecer o produto é alta.
Mas deixemos de papo e vamos falar sobre o HA
Vamos dividir esse artigo por tópicos, para vc entender melhor:
Por que usar o HA?
Em um ambiente empresarial é importante vc ter redundância, seja de equipamento ou links. Se na nossa casa já ficamos putos quando cai a internet, imagina no seu trabalho.
Se vc colocar na ponta do lápis, vais perceber que o valor de investido em redundância é muito menor do que um dia de empresa parado. Qual empresa funciona hoje sem dia sem internet?
Por isso, ter redundância é fundamental em qualquer ambiente corporativo.
FGCP QUE MANDA
FGCP (FORTIGATE CLUSTER PROTOCOL) é responsável por fazer a configuração do HA.
Para configurar o cluster vc tem que fazer as seguintes etapas em cada firewall:
1 – Criar um GRUPO
2 – Criar o mesmo ID do Grupo
3 – Configurar o Primário e secundário
4 – O Firewall com maior prioridade é eleito
5 – Usa a porta TCP 703
Tipos de HA no Fortigate?
1 - Ativo -Ativo
No modo ATIVO-ATIVO a manipulação e o gerenciamento das sessões de rede são coordenados por todos os dispositivos no cluster, mas com uma distribuição de responsabilidades. No entanto, é importante entender que cada sessão de tráfego é associada a um único dispositivo, mesmo quando vários dispositivos estão processando o tráfego de forma paralela.
VANTAGENS
1.1 – Alta Disponibilidade: Caso um equipamento pare, o outro assume todas as conexões automaticamente, pois já está funcionando, o outro assume rapidamente sem causar interrupções nos serviços críticos, como VPN.
1.2 – Balanceamento de Carga:Uma configuração Ativo-Ativo, ambos os dispositivos processam o tráfego simultaneamente. Isso distribui a carga de trabalho, melhorando o desempenho geral da rede.
1.3 – Eficiência na gestão de tráfego: FortiGate pode distribuir de maneira mais eficiente o tráfego de rede, evitando sobrecarga em um único dispositivo e otimizando a utilização dos recursos de hardware.
1.4- Menor Latência:o HA Ativo-Ativo reduz a latência durante picos de tráfego, garantindo uma experiência de rede mais ágil, especialmente em ambientes de alta demanda, como data centers e redes corporativas de grande porte.
2 - Ativo - Standbye
Active-Standby do FortiGate é uma configuração em que um dispositivo está ativo e processa o tráfego enquanto o outro fica em modo de espera (standby), pronto para assumir automaticamente em caso de falha do dispositivo principal. Essa configuração é bastante comum em cenários que buscam garantir a alta disponibilidade, mas sem a necessidade de distribuir o tráfego entre os dispositivos, como no Active-Active.
2.1 Uso Eficiente de Recursos: Ideal para redes de médio porte: O HA Active-Standby é excelente para ambientes onde a confiabilidade e a redundância são necessárias, mas sem a necessidade de balanceamento de carga de tráfego em tempo real. Isso é comum em redes de empresas de pequeno e médio porte, onde o tráfego não é tão intenso a ponto de exigir o uso de múltiplos dispositivos ativos simultaneamente.
2.2 – Alta Disponibilidade Failover rápido e automático: Quando o dispositivo ativo falha, o dispositivo em standby assume imediatamente, garantindo que os serviços e a rede não sejam interrompidos.
2.3 – Menor Custo Inicial: Facilidade de configuração: Comparado com a configuração Active-Active, a configuração Active-Standby é mais simples de configurar e manter, já que não há necessidade de balanceamento de carga ou distribuição de tráfego entre os dispositivos.
3 - Como é feita a elição dos Firewalls Fortinet?
3.1 OVERRIDE DESABILIDATO: Esse é o formato por default, as etapas da eleição são:
3.1.1 – INTERFACES CONECTADAS: Se todas as interfaces do HA estiverem conectadas, irá para a opção 2.
3.1.2 – MAIOR UPTIME: Ou seja, o Firewall que tiver com maior tempo ligado será o principal. Caso os dois estejam no mesmo horário, quase que impossível, iremos para a opção abaixo.
3.1.3 – PRIORIDADE : Quem tiver a MENOR prioridade será o primário
3.1.4 – SERIAL NUMBER: Se as opções 2 e 3 deram empate, quem tiver o menor serial será o primário
3.2 OVERRIDE HABILIDATO, Esse é o formato que vc precisa configurar no Firewall via CLI, antes de configurar o HA.
Há apenas uma mudança na ordem de eleição do primário para secundário:
3.2.1 – INTERFACES CONECTADAS
3.2.2 – PRIORIDADE
3.2.3 – MAIOR UPTIME:
3.2.4 – SERIAL NUMBER:
Considerações Finais
A configuração HA Ativo-Ativo do FortiGate é ideal para ambientes que exigem alta disponibilidade e desempenho, como grandes empresas, data centers e redes corporativas complexas. Ela garante maior resiliência, reduz a latência e aumenta a capacidade de escalabilidade, tornando-se uma escolha vantajosa em termos de confiabilidade e desempenho