개요
모델 : FortiGate 100E/101F
모드 : Active - Passive
Active 장비 Monitor Interface 가 Down 시 Failover 되며 Active 장비가 복구 되더라도 Failback 되지 않아야 한다.
설정
구성도
Downlink 는 Port1, Port2 가 LACP 로 묶여져 있다.
Monitor Interface는 Uplink인 wan1, Downlink LACP(Port1, Port2) 로 Active, Passive 모두 동일 하다.
Priority 값은 Active 150, Passive 100이다.
GUI 설정
System - HA 에서 설정한다.
Session pickup : Session 동기화
Heartbeat interface Priority : Weight 값은 동일하게 설정
Active
Passive
CLI 설정
Active
config system ha
set group-name "HA-GROUP"
set mode a-p
set password *****
set hbdev "ha1" 250 "ha2" 250
set session-pickup enable
set ha-uptime-diff-margin 1
set override disable
set priority 150
set monitor "wan1" "Lan"
Passive
config system ha
set group-name "HA-GROUP"
set mode a-p
set password *****
set hbdev "ha1" 250 "ha2" 250
set session-pickup enable
set ha-uptime-diff-margin 1
set override disable
set priority 100
set monitor "wan1" "Lan"
옵션
CLI 에서만 설정 가능하다.
override
HA 협상 로직은 아래 그림을 참고 하여
1. override 값이 disable이면 다음과 같은 순위로 Master를 결정 함.
- Monitor interface 수가 많음 -> HA Cluster Uptime 이 큼 -> Priority 값이 큼 -> S/N 값이 큼
2. override 값이 enable이면 다음과 같은 순위로 Master를 결정함.
- Monitor interface 수가 많음 -> Priority 값이 큼 -> HA Cluster Uptime 이 큼 -> S/N 값이 큼
ha-uptime-diff-margin
ha-uptime-diff-margin <seconds> 값에 의해 HA Cluster Uptime 은 <seconds> 값 차이는 무시함
Failback을 최소화 할 수 있는 조건
가정1. Active(ha cluster)가 복구 되고 override 값이 enable 일 경우
- Monitor Interface 다음 수위 값인 Priority 값에 의해 무조건 Failback이 발생한다.
가정2. Active(ha cluster)가 복구 되고 override 값이 disable 일 경우
- HA Uptime 순위에 따라 ha-uptime-diff-margin <seconds> 값에 의해 <seconds> 이내 복구 시 Failback이 발생한다.
- <seconds> 값 이후 복구 시에는 Failback이 발생하지 않는다.
결론. Failback을 최소화 할 수 있는 조건
- override disable
- ha-uptime-diff-margin 1
-> 1초 이후 복구 되면 failback이 발생하지 않는다.
HA 관련 팁
Management Interface Reservation
HA 구성 시 Active, Passive 장비의 인터페이스 설정이 동기화 되는데 이때 Passive 장비로의 접근이 불가능하게 된다.
"Management Interface Reservation" 설정을 통해 동기화 되는 포트를 제외할 수 있고 IP 설정을 통해 각각의 장비로 접근 할 수 있다.
강제 Failover
"override disable" 상태에서는 Master 협상로직에서 ha uptime 이 priority 값보다 우선하게 되는데 Master 장비의 Ha uptime 값을 reset 함으로서 강제로 Failover 시킬 수 있다.reset 시 Passive 장비의 Ha uptime 값이 더 크게 되므로 Failover 가 발생하게 된다.
diagnose sys ha reset-uptime
CLI 상에서 Passive 장비로 접근하기
execute ha manage <index> <username>index 값은 아래와 같이 확인 가능하다
> get system ha status
...
vcluster 1: work 169.254.0.1
Master: FG100ETK1, HA operating index = 0
Slave : FG100ETK1, HA operating index = 1
강제 ha sync
강제로 active와 passive 장비의 config 를 동기화 하고 싶을 경우 사용한다.
execute ha synchronize start'네트워크 > FW(UTM)' 카테고리의 다른 글
| [Fortigate] hardware sensor 정보, PSU 상태정보, Disk 정보 (0) | 2023.08.24 |
|---|---|
| [FortiGate 3000D] management access ip 설정 (ssh 접근제어) (0) | 2023.06.08 |
| [FortiGate] elasticsearch를 이용한 로그 수집 (0) | 2022.12.16 |
| [FortiGate] 외부 syslog 서버로 로그 보내기 (0) | 2022.12.15 |
| axgate-1300 utm | Dashboard cgi request 출력값을 json으로 파싱하기 (0) | 2022.10.25 |
