Como Configurar o HA do Fortigate
Salve Rapaziada, voltamos com a programação de escrever artigos pra galera de TI. O papo de hoje é sobre HA (HIgh Availability) do produto Firewall Fortinet. Aí vem a pergunta, Negão, por que tu escolheu o Fortinet? Porque o site é meu porra, eu escrevo o que quiser kkkk Sacanagem, falando sério, se você pesquisar o Fortinet é um dos fabricantes mais presentes no mundo todo, ou seja, há muitas empresas que usam, e a demanda por profissionais que precisam conhecer o produto é alta. Mas deixemos de papo e vamos falar sobre o HA Vamos dividir esse artigo por tópicos, para vc entender melhor: Por que usar o HA? Em um ambiente empresarial é importante vc ter redundância, seja de equipamento ou links. Se na nossa casa já ficamos putos quando cai a internet, imagina no seu trabalho. Se vc colocar na ponta do lápis, vais perceber que o valor de investido em redundância é muito menor do que um dia de empresa parado. Qual empresa funciona hoje sem dia sem internet? Por isso, ter redundância é fundamental em qualquer ambiente corporativo. FGCP QUE MANDA FGCP (FORTIGATE CLUSTER PROTOCOL) é responsável por fazer a configuração do HA. Para configurar o cluster vc tem que fazer as seguintes etapas em cada firewall: 1 – Criar um GRUPO 2 – Criar o mesmo ID do Grupo 3 – Configurar o Primário e secundário 4 – O Firewall com maior prioridade é eleito 5 – Usa a porta TCP 703 Tipos de HA no Fortigate? 1 – Ativo -Ativo No modo ATIVO-ATIVO a manipulação e o gerenciamento das sessões de rede são coordenados por todos os dispositivos no cluster, mas com uma distribuição de responsabilidades. No entanto, é importante entender que cada sessão de tráfego é associada a um único dispositivo, mesmo quando vários dispositivos estão processando o tráfego de forma paralela. VANTAGENS 1.1 – Alta Disponibilidade: Caso um equipamento pare, o outro assume todas as conexões automaticamente, pois já está funcionando, o outro assume rapidamente sem causar interrupções nos serviços críticos, como VPN. 1.2 – Balanceamento de Carga:Uma configuração Ativo-Ativo, ambos os dispositivos processam o tráfego simultaneamente. Isso distribui a carga de trabalho, melhorando o desempenho geral da rede. 1.3 – Eficiência na gestão de tráfego: FortiGate pode distribuir de maneira mais eficiente o tráfego de rede, evitando sobrecarga em um único dispositivo e otimizando a utilização dos recursos de hardware. 1.4- Menor Latência:o HA Ativo-Ativo reduz a latência durante picos de tráfego, garantindo uma experiência de rede mais ágil, especialmente em ambientes de alta demanda, como data centers e redes corporativas de grande porte. 2 – Ativo – Standbye Active-Standby do FortiGate é uma configuração em que um dispositivo está ativo e processa o tráfego enquanto o outro fica em modo de espera (standby), pronto para assumir automaticamente em caso de falha do dispositivo principal. Essa configuração é bastante comum em cenários que buscam garantir a alta disponibilidade, mas sem a necessidade de distribuir o tráfego entre os dispositivos, como no Active-Active. 2.1 Uso Eficiente de Recursos: Ideal para redes de médio porte: O HA Active-Standby é excelente para ambientes onde a confiabilidade e a redundância são necessárias, mas sem a necessidade de balanceamento de carga de tráfego em tempo real. Isso é comum em redes de empresas de pequeno e médio porte, onde o tráfego não é tão intenso a ponto de exigir o uso de múltiplos dispositivos ativos simultaneamente. 2.2 – Alta Disponibilidade Failover rápido e automático: Quando o dispositivo ativo falha, o dispositivo em standby assume imediatamente, garantindo que os serviços e a rede não sejam interrompidos. 2.3 – Menor Custo Inicial: Facilidade de configuração: Comparado com a configuração Active-Active, a configuração Active-Standby é mais simples de configurar e manter, já que não há necessidade de balanceamento de carga ou distribuição de tráfego entre os dispositivos. 3 – Como é feita a elição dos Firewalls Fortinet? 3.1 OVERRIDE DESABILIDATO: Esse é o formato por default, as etapas da eleição são: 3.1.1 – INTERFACES CONECTADAS: Se todas as interfaces do HA estiverem conectadas, irá para a opção 2. 3.1.2 – MAIOR UPTIME: Ou seja, o Firewall que tiver com maior tempo ligado será o principal. Caso os dois estejam no mesmo horário, quase que impossível, iremos para a opção abaixo. 3.1.3 – PRIORIDADE : Quem tiver a MENOR prioridade será o primário 3.1.4 – SERIAL NUMBER: Se as opções 2 e 3 deram empate, quem tiver o menor serial será o primário 3.2 OVERRIDE HABILIDATO, Esse é o formato que vc precisa configurar no Firewall via CLI, antes de configurar o HA. Há apenas uma mudança na ordem de eleição do primário para secundário: 3.2.1 – INTERFACES CONECTADAS 3.2.2 – PRIORIDADE 3.2.3 – MAIOR UPTIME: 3.2.4 – SERIAL NUMBER: Considerações Finais A configuração HA Ativo-Ativo do FortiGate é ideal para ambientes que exigem alta disponibilidade e desempenho, como grandes empresas, data centers e redes corporativas complexas. Ela garante maior resiliência, reduz a latência e aumenta a capacidade de escalabilidade, tornando-se uma escolha vantajosa em termos de confiabilidade e desempenho