FortiGate HA (High Availability) Kurulum Rehberi

Ağ güvenliği ve sürekli erişim, günümüz bilişim dünyasında kritik öneme sahiptir. Bu bağlamda, Yüksek Erişilebilirlik (High Availability – HA) kavramı, ağ altyapılarının kesintisiz çalışmasını sağlamak amacıyla geliştirilmiş önemli bir teknolojidir. HA, ağ cihazlarının, özellikle güvenlik duvarlarının, bir arıza durumunda hizmet kesintisini en aza indirmek için bir arada çalışmasını sağlar. Bu makale, FortiGate cihazlarında HA’nın temel işleyişini, gereksinimlerini ve nasıl yapılandırıldığını teknik detaylarla ele alacaktır.

Yüksek Erişilebilirlik (HA) Nedir?

Yüksek Erişilebilirlik (HA), ağ cihazlarının (örneğin güvenlik duvarlarının) bir araya gelerek ağ üzerinde yedeklilik sağlaması için kullanılan bir özelliktir. HA, iki veya daha fazla cihazın birlikte çalışmasını sağlar ve bu sayede ağda bir cihaz arızalandığında diğer cihaz devreye girer. Bu durum, hizmet kesintisini önler ve ağın sürekli çalışmasını garanti altına alır.

FortiGate HA yapısında, bir cihaz birincil cihaz (Active FortiGate) olarak görev yaparken, diğer cihazlar ikincil (Secondary) veya yedek (Standby) cihazlar olarak adlandırılır. Birincil cihaz, yapılandırmasını diğer cihazlarla senkronize eder ve bu senkronizasyon sayesinde tüm cihazlar tek bir cihaz gibi çalışır. HA, aynı zamanda yük dengeleme ve gerektiğinde failover işlevi sağlayarak ağ performansını optimize eder.

FortiGate HA Yapısının Temelleri

FortiGate HA, Fortinet Global Cluster Protocol (FGCP) kullanarak çalışır. FGCP, HA’nın etkin bir şekilde çalışmasını sağlayan temel protokoldür ve cihazların bir küme içerisinde birleşmesini, yapılandırmalarının senkronize edilmesini ve gerektiğinde yük devri yapılmasını sağlar.

HA Yapılandırması için Gereksinimler

HA yapılandırmasını doğru bir şekilde gerçekleştirebilmek için bazı temel gereksinimlerin sağlanması gereklidir:

• Donanım Uyumluğu: HA kümesinde yer alacak tüm cihazlar aynı FortiGate modeline sahip olmalıdır.
• Yazılım Uyumluluğu: Cihazların üzerinde aynı FortiOS sürümü çalışmalıdır.
• Lisans Uyumluluğu: HA kümesindeki tüm cihazlar aynı lisanslara sahip olmalıdır. Farklı lisanslar olması durumunda en düşük lisans seviyesi tüm küme için geçerli olacaktır.

Yukarıdaki gereksinimlerin karşılanması, HA yapılandırmasının sorunsuz çalışabilmesi için kritik öneme sahiptir.

HA Türleri ve Farklılıkları

FortiGate HA yapılandırmasında iki temel mod bulunmaktadır: Active-Active ve Active-Passive. Bu modlar arasında seçim yapılırken, ağın ihtiyaçlarına göre karar verilmelidir.

Active-Passive Modu

Bu modda, bir cihaz aktif olarak çalışırken, diğer cihaz pasif durumda bekler. Eğer aktif cihazda bir arıza oluşursa, pasif cihaz otomatik olarak devreye girer. Bu mod, ağın güvenilirliğini artırırken performans üzerinde büyük bir etkisi olmaz.

• Avantajları:
  • Kolay yapılandırma ve yönetim.
  • Yüksek güvenilirlik.
• Dezavantajları:
  • Performans artışı sağlamaz.

Active-Active Modu

Bu modda, HA kümesindeki tüm cihazlar aynı anda aktif olarak çalışır ve trafiği paylaşır. Bu sayede ağ performansı artırılır ve yük dengeleme yapılır. Ancak, yapılandırma ve yönetimi daha karmaşıktır.

Ağ üzerindeki yük artabilir, bu da hatalara yol açabilir.

Avantajları:

Trafiğin tüm cihazlara dağıtılmasıyla performans artışı.

Yük dengeleme.

Dezavantajları:

Daha karmaşık yapılandırma ve yönetim.

FortiGate HA Yapılandırması

FortiGate HA yapılandırması, cihazların birbiriyle senkronize olarak çalışmasını sağlar ve ağ güvenliğini artırır. Yapılandırma adımlarında donanım bağlantıları, IP adresleri, arayüz yapılandırmaları ve senkronizasyon işlemlerine odaklanacağız. İşte yapılandırmanın adım adım nasıl gerçekleştirileceği:

Öncelikle System > Settings altındaki arayüzdeki değerlerin eşitlenmesi gerekmektedir.

IP Adreslerini ve Arayüzleri Tanımlama

Her iki cihazın arayüzleri, HA yapısında doğru çalışması için IP adresleriyle tanımlanmalıdır. Bu adımda, gerekli IP adresleri ve arayüz yapılandırmaları yapılır.

Topoloji Özeti

• Port1: Maangement Portu IP Adress: 192.168.137.0/24
• Port2: HA Portu IP Adress:10.10.10.0/30
• Port3: SYN Portu
• Port4: Lan Portu IP Adress: 192.168.100.0/24
• Port5: Wan Portu IP Adress: 192.168.63.0/24

Port2 HA bağlantısını sağlayacak portumuzdur.

Port3 HA yapısındaki SYN portumuz olacaktır.

FortiGate ve Switch Arasındaki Bağlantı

FortiGate ile Layer 3 switch arasındaki bağlantının çalışabilmesi için switch tarafında trunk portu yapılandırılmalıdır. Bu, switch’teki tüm VLAN trafiğinin FortiGate’e iletilmesini sağlar.

Switch ve Pc Arasındaki Bağlantı

HA Cluster’ı Yapılandırma

FortiGate cihazlarınızın HA cluster’ında yer alabilmesi için yapılandırmalarını yapmanız gerekir. Bu adımda, iki cihaz arasında senkronizasyonu sağlayacak temel yapılandırmayı gerçekleştireceğiz:

• Primary Cihaz Yapılandırması:

Cihazları Hazırlama: Cihazların yönetim IP adreslerini belirleyin ve hangi cihazın Primary, hangisinin Secondary olacağını tanımlayın.

HA Cluster Konfigürasyonu:

config system ha
set group-name "FortiGate-HA"
set password "HApassword"
set hbdev "port1" 100   # Kalp atışı için kullanılacak arayüz ve öncelik
set session-pickup enable
end

• Secondary Cihaz Yapılandırması:

config system ha
set group-name "FortiGate-HA"
set password "HApassword"
set hbdev "port1" 100
set session-pickup enable
end

Bu adım, cihazlar arasında Heartbeat bağlantısını kurar ve temel senkronizasyonu sağlar.

Senkronizasyon ve Rolleri Belirleme

Yüksek erişilebilirlik için her cihazın rolü belirlenmeli ve senkronizasyon işlemi tamamlanmalıdır.

1. Rollerin Tanımlanması: Primary cihaz için yüksek öncelik, Secondary cihaz için düşük öncelik atayın:

config system ha set priority 150 # Primary cihaz next set priority 128 # Secondary cihaz end

1. Senkronizasyon Durumunu Kontrol Etme:Yapılandırmanın sorunsuz çalıştığını ve cihazların senkronize olduğunu kontrol etmek için:

system ha status

Bu komut, cihazlar arasındaki senkronizasyon ve durumları gösterecektir.

Kural Oluşturma ve VLAN’ların İnternet Erişimi

Cihazların internete çıkabilmesi için trafik kurallarının yapılandırılması gerekmektedir.

A-p olarak yapılandırılan HA yapımızda failover testini yaptık. Aşağıdaki gibi tek bir paket kaybı sonrası diğer cihaz üzerinden internete çıkışımız devam etti.

Senkronizasyon ve Sorun Giderme Rehberi

Bu makale, FortiGate cihazları arasındaki HA (High Availability) senkronizasyon sorunlarını giderme ve yapılandırma uyuşmazlıklarını tespit etme konusunda kapsamlı bir kılavuz sunmaktadır. Cihazlar arasında senkronizasyon sorunları yaşandığında, bu kılavuz size adım adım çözüm önerileri sağlayacaktır.

Temel Kontroller

Senkronizasyon sorunlarıyla karşılaştığınızda ilk olarak yapılması gerekenler şunlardır:

Heartbeat Bağlantılarını Kontrol Edin

Heartbeat arayüzlerinin doğru yapılandırıldığını ve cihazlar arasında paket alışverişi yapıldığını doğrulamak için:

• Heartbeat Bağlantılarını Kontrol Etme:Cihazlar arasında Heartbeat bağlantılarının aktif ve düzgün çalıştığını kontrol edin. Heartbeat arayüzleri genellikle cihazlar arasındaki temel iletişimi sağlar ve bu iletişimde herhangi bir sorun varsa, senkronizasyon da etkilenebilir.

Sistem Durumu Kontrolü

Cihazların sistem durumlarını kontrol etmek için aşağıdaki komutu kullanabilirsiniz:

system ha status

Bu komut, cihazlar arasındaki senkronizasyon durumunu ve genel sağlık durumunu gösterir. Eğer cihazlar arasında bir senkronizasyon sorunu varsa, bu komut size ilgili hata veya uyarı mesajlarını verebilir.

Uyuşmazlıkları Tespit Etme

Yapılandırma uyuşmazlıklarını tespit etmek ve düzeltmek için aşağıdaki adımları izleyin:

HA Yapılandırma Farklılıkları

Yapılandırma dosyaları arasındaki farkları belirlemek için:

sys ha checksum show

Bu komut, cihazlar arasındaki yapılandırma farklarını gösterecektir. Yapılandırma uyuşmazlıklarını gidermek için farklılık gösteren konfigürasyonları gözden geçirin.

Senkronizasyon Sorunları

Eğer cihazlar arasında senkronizasyon sorunu varsa, yapılandırmanın doğru şekilde uygulandığından emin olun. Senkronizasyonu yeniden başlatmak için:

execute ha synchronize start

Bu komut, yapılandırma senkronizasyonunu yeniden başlatır ve sorunları geçici olarak çözebilir.

Yeniden Hesaplama ve Düzeltmeler

Sağlama Toplamlarını Yeniden Hesaplama

Konfigürasyon dosyaları arasında sağlama toplamlarını yeniden hesaplamak, senkronizasyon sorunlarını çözebilir:

diagnose sys ha checksum recalculate

Bu komut, yapılandırma dosyalarının sağlama toplamlarını yeniden hesaplar ve eşleşmeyen toplamları düzeltir.

Ek Hata Giderme Komutları

HA yapılandırmasını detaylı incelemek ve potansiyel hataları bulmak için aşağıdaki komutları kullanabilirsiniz:

diag debug application hasync -1
diag debug enable

Bu komutlar, senkronizasyon sürecindeki hataları detaylı olarak görmenizi sağlar ve bu sorunları çözmenize yardımcı olur.

Yapılandırma Karşılaştırması

Yapılandırma uyuşmazlıklarını belirlemek için iki FortiGate Güvenlik Duvarı arasındaki konfigürasyonları karşılaştırmanız gerekebilir:

Yapılandırma Komutları

Yapılandırmaları karşılaştırmak için şu komutları kullanabilirsiniz:

config system global
config system interface
config system ha
config system console

Eşleşmeyen VDOM’ların daha ayrıntılı bir görünümünü elde etmek için:

diag sys ha checksum show
diag sys ha checksum show Cust-A

Eşleşmeyen nesne her iki küme biriminde de belirlendikten sonra, gerçek nesne adını yazarak aşağıdaki komutu çalıştırın:

diag sys ha checksum show Cust-A

Sağlama toplamlarının yalnızca bazı bölümlerini görüntülemek için grep seçeneğini kullanabilirsiniz:

diagnose sys ha checksum show root | grep system
diagnose sys ha checksum show global | grep log

İleri Düzey Sorun Giderme

Eğer yukarıdaki adımlar sorunu çözmezse, daha derinlemesine bir inceleme yapmanız gerekebilir:

Diğer Kontroller

Aşağıdaki komutları çalıştırarak daha fazla bilgi alabilirsiniz:

diag debug app hasync 255
diag debug enable
execute ha synchronize start

Ayrıca, aşağıdaki komutlarla uyuşmazlıkları anında kontrol edebilirsiniz:

diag debug config-error-log read
diag hardware device disk
show sys storage
show wanopt storage

Bu komutlar, yapılandırma hatalarını, disk boyutlarını ve diğer donanım bilgilerini kontrol etmenizi sağlar.

İkincil Cihazı İzole Etme

Eğer küme hala senkronize değilse, ikincil FortiGate’i kümeden izole edin:

1. Kalp atışı kabloları hariç tüm ağ kablolarını ikincil üniteden çıkarın.
2. Kalp atışı kablosunun bağlantısını kesin.
3. İkincil FortiGate’e bağlanın ve fabrika ayarlarına sıfırlama gerçekleştirin:bashCopy codeexecute factoryreset
4. FortiGate tekrar çevrimiçi olduktan sonra tekrar giriş yapın ve HA ayarlarını yapılandırın. HA ayarlarında ikincil FortiGate için önceliği düşük tuttuğunuzdan emin olun.
5. HA kablosunu ikincil FortiGate’in kalp atışı arayüzüne bağlayın ve diğer ağ kablolarını bağlayın.

Yapılandırma senkronizasyonunun durumunu kontrol edin ve senkronize olup olmadığını doğrulayın.

Master Seçimi ve İstatistikler

Master seçimi ve cihazlar arası iletişimle ilgili detaylı bilgi almak için:

get system ha status

Bu komut, cihazların master/slave durumunu ve diğer önemli istatistikleri gösterir:

• Master Seçimi: Hangi cihazın master olarak belirleneceği, yapılandırma durumu, sistem kullanım istatistikleri ve belirli eşik değerlerine göre yapılır.
• Configuration Status (Yapılandırma Durumu): HA yapılandırmasındaki cihazların yapılandırmalarının tutarlılığını kontrol eder.
• System Usage Stats (Sistem Kullanım İstatistikleri): Cihazların CPU, RAM ve diğer kaynaklarının kullanım durumunu izler.
• HBDEV Stats (Heartbeat Device İstatistikleri): Heartbeat cihazlarının iletişim durumunu izler.
• MONDEV Stats (Monitoring Device İstatistikleri): İzlenen cihazların veya arayüzlerin durumunu ve performansını izler.

Örnek Çıktı:

Master:200
FGT500E-8 FGT5K2801021111 1
Slave :128
FGT500E-3 FGT5K0028030322 0

Ekstra İpuçları

• Zaman Tanıyın: diagnose sys ha checksum show komutundan sonra ve get system ha status çıktısını gözden geçirdikten sonra, senkronizasyonun gerçekleşmesi için birkaç dakika bekleyin.
• Ek HA Sorun Giderme Komutları:

diag debug application hasync -1 diag debug application hatalk -1 diag debug enable

• Cihazlar arası erişim: HA yapısında diğer cihaza erişim için “execute ha manage “x” “kullanıcı adı”” ile erişim sağlayabilirsiniz.

Bu komutlar, HA Heartbeat iletişimini ve yapılandırma senkronizasyonunu daha detaylı bir şekilde analiz eder.

Bu makale, FortiGate cihazları arasındaki HA senkronizasyon sorunlarını çözmenize yardımcı olacak kapsamlı bir rehber sunmaktadır. Sorunları belirlemek ve çözmek için yukarıdaki adımları takip ederek cihazlar arasındaki senkronizasyonu başarılı bir şekilde gerçekleştirebilirsiniz.andırmaların senkronizasyonunu da gösterecektir.

Tanımlar

Session Pickup (Oturum Alma)

Eğer “Session Pick-up” etkin değilse, FortiGate cihazları HA (High Availability) oturum tablosu tutmaz ve çoğu TCP oturumu bir failover sonrasında devam etmez. Bir cihaz veya bağlantı kesildiğinde, tüm oturumlar kısa süreliğine kesilir ve uygulama seviyesinde yeniden kurulmaları gerekir. Bu, bağlantı odaklı ve az dayanıklı trafik (örneğin, Citrix ICA bağlantıları) için büyük bir sorun olabilir.

Monitor Interface (İzleme Arayüzü)

Bu arayüzler, FortiGate cihazlarının arızayı izlemek için kullandığı arayüzlerdir. Öncelikle kümenin yapılandırılmasını tamamlamayı ve ardından izlenen arayüzleri yapılandırmayı öneririm.

Heartbeat Interface (Kalp Atışı Arayüzü)

İki FortiGate ünitesinden oluşan kümelerde, mümkün olduğunca, kalp atışı arayüzlerinin doğrudan bağlı olması sağlanmalıdır (diğer ağ ekipmanları, örneğin switch’ler kullanılmadan). Eğer switch’ler kullanılmak zorundaysa, bu switch’ler başka ağ trafiği için kullanılmamalıdır, çünkü diğer trafiğin switch’lere yük bindirip kalp atışı gecikmelerine neden olabilmesi mümkündür.

Üç veya dört FortiGate ünitesinden oluşan kümelerde, kalp atışı arayüzlerini bağlamak için switch’ler kullanılmalıdır. Her FortiGate ünitesinin karşılık gelen kalp atışı arayüzü aynı switch’e bağlı olmalıdır. Daha iyi bir yedeklilik için her kalp atışı arayüzü için farklı bir switch kullanılması önerilir. Bu şekilde, bir kalp atışı arayüzünü bağlayan switch arızalanırsa veya çıkartılırsa, kalp atışı trafiği diğer kalp atışı arayüzleri ve switchler üzerinden devam edebilir.

Terminoloji

Cluster (Küme) Bir grup FortiGate ünitesinin tek bir sanal FortiGate ünitesi gibi hareket ederek, kümedeki bir ünite arızalansa bile bağlantıyı sürdürmesini sağlayan yapı.

Cluster Unit (Küme Ünitesi) FortiGate HA kümesinde çalışan bir FortiGate ünitesi.

Device Failover (Cihaz Failover’ı) Yüksek kullanılabilirlik (HA) sistemlerinin temel gereksinimlerinden biridir. Cihaz failover’ı, bir cihaz arızalandığında, bir yedek cihazın otomatik olarak arızalı cihazın yerini alarak aynı şekilde çalışmasını ifade eder.

Failover (Geçiş) Bir FortiGate ünitesinin, bir cihaz arızası veya bağlantı arızası nedeniyle kümedeki diğer bir ünite yerine ağ trafiğini üstlenmesi.

Failure (Arıza) Bir FortiGate ünitesinin veya izlenen arayüzün ağ trafiğini işlemeyi durdurmasına neden olan donanım veya yazılım problemi.

FGCP (FortiGate Küme Protokolü) FortiGate ünitelerinin bir küme içindeki iletişimini ve kümenin çalışmasını sağlayan protokol.

Full Mesh HA (Tam Mesh HA) HA kümesi içeren bir ağda tekil arıza noktalarını ortadan kaldıran bir yöntemdir. Yedekli arayüzleri destekleyen FortiGate modelleri ile oluşturulan bu yapı, ağ bileşenleri arasında yedekli bağlantılar içerir. Herhangi bir bileşen veya bağlantı arızalandığında trafik yedek bileşene veya bağlantıya yönlendirilir.

HA Virtual MAC Address (HA Sanal MAC Adresi) HA modunda çalışırken, birincil ünitenin tüm arayüzleri aynı HA sanal MAC adresini alır. Küme ile yapılan tüm iletişimler bu MAC adresini kullanmalıdır. HA sanal MAC adresi grup kimliğine göre belirlenir.

Heartbeat (Kalp Atışı) FGCP kalp atışı veya HA kalp atışı olarak da adlandırılır. Kalp atışı, kümenin düzgün çalıştığından emin olmak için HA durumu ve senkronizasyon bilgilerini sürekli olarak iletişime geçer.

Heartbeat Device (Kalp Atışı Cihazı) Küme içinde FGCP tarafından kalp atışı iletişimi için kullanılan bir Ethernet ağ arayüzü.

Heartbeat Failover (Kalp Atışı Failover’ı) Kalp atışı cihazı olarak işlev gören bir arayüz arızalandığında, kalp atışı başka bir HA kalp atışı cihazı olarak yapılandırılmış arayüze aktarılır.

Hello State (Merhaba Durumu) Bir küme ünitesinin HA modunda açıldığını, HA kalp atışı arayüzlerini kullanarak merhaba paketleri gönderdiğini ve diğer FortiGate ünitelerinden merhaba paketlerini dinlediğini belirten durum. Merhaba durumu HA günlük mesajlarında görünebilir.

High Availability (Yüksek Kullanılabilirlik) Bir kümenin cihaz veya bağlantı arızası durumunda bağlantıyı koruma yeteneği. Bir diğer ünite bağlantıyı devralarak herhangi bir bağlantı kaybı olmadan çalışmaya devam eder. Yüksek kullanılabilirlik sağlamak için, kümedeki tüm FortiGate üniteleri oturum ve yapılandırma bilgilerini paylaşır.

Interface Monitoring (Arayüz İzleme) FortiGate arayüzlerini izlemek ve izlenen arayüzlerin düzgün çalışıp çalışmadığını doğrulamak için yapılandırma. İzlenen bir arayüz arızalandığında veya ağından bağlantısı kesildiğinde, arayüz kümeden çıkarılır ve bir bağlantı failover’ı gerçekleşir.

Link Failover (Bağlantı Failover’ı) İzlenen bir arayüz arızalandığında, küme, arızalı arayüzün bağlı olduğu ağa yeniden bağlantı kurarak minimum veya sıfır kesinti ile çalışmaya devam eder.

Load Balancing (Yük Dengeleme) Aktif-aktif HA olarak da bilinir. Kümedeki tüm üniteler ağ trafiğini işler. FGCP, unicast yük dengeleme tekniğine benzer bir yöntem uygular. Birincil ünite arayüzlerine sanal MAC adresleri atanır ve bu adresler küme IP adresleri ile ilişkilendirilir. Birincil ünite, küme için gönderilen paketleri yalnızca kendisi alır ve bu paketleri işleyebilir veya bir yük dengeleme planına göre alt ünitelerine iletebilir.

Monitored Interface (İzlenen Arayüz) Bir küme tarafından izlenen, bağlı ve düzgün çalışan bir arayüz. Küme, bu arayüzün bağlantısını tüm küme üniteleri için izler. Bir izlenen arayüz arızalandığında veya ağından bağlantısı kesildiğinde, küme telafi eder.

Primary Unit (Birincil Ünite) Ayrıca birincil küme ünite olarak da bilinir, bu ünite kümenin nasıl çalıştığını kontrol eder. Birincil ünite, tüm küme ünitelerine merhaba paketleri gönderir, oturum bilgilerini senkronize eder, yapılandırmayı senkronize eder ve yönlendirme tablosunu senkronize eder. Birincil ünite, tüm alt ünitelerin durumunu da izler.

Session Failover (Oturum Failover’ı) Bir cihaz veya bağlantı failover’ı sonrasında kümenin aktif ağ oturumlarını sürdürmesi anlamına gelir. FortiGate HA varsayılan olarak oturum failover’ını desteklemez. Oturum failover’ını etkinleştirmek için HA yapılandırmasını “Enable Session Pick-up” seçeneğini seçmeniz gerekir.

Session Pickup (Oturum Alma) Küme için oturum alma etkinleştirildiğinde, birincil ünite veya aktif-aktif bir kümede bir alt ünite arızalandığında, küme iletişim oturumlarını sürdürebilir veya alabilir. Eğer oturum alma gereksiniminiz yoksa, bu seçeneği kapatarak işlem kaynaklarını tasarruf edebilir ve HA oturum senkronizasyonu için kullanılan ağ bant genişliğini azaltabilirsiniz. Çoğu durumda, kesilen oturumlar failover’dan sonra kendiliğinden yeniden başlar, oturum alma etkin olmasa bile. Ayrıca, oturum alma gecikmesini etkinleştirerek oturum senkronizasyonu için senkronize edilen oturum sayısını azaltabilirsiniz.

Standby State (Bekleme Durumu) Aktif-pasif HA kümesindeki bir alt ünite bekleme durumunda çalışır. Sanal bir kümede, bir alt sanal alan da bekleme durumunda çalışır. Bekleme durumu, alt ünite veya alt sanal alanın trafik işlemediği ancak birincil ünite oturum tablosunu izleyerek bir arıza durumunda birincil ünite veya birincil san