Bài viết này mình sẽ giới thiệu 1 số tùy biến sau khi cấu hình thành công HA
Cách cấu hình HA các bạn có thể tham khảo tại đây :
Sơ đồ mạng :
Mục lục :
1. Tách biệt cổng MGMT trong cấu hình HA
2. Tính năng dự phòng dây dẫn khi HA
Nội dung bài lab
1. Tách biệt cổng MGMT trong cấu hình HA
1.1 Tại FortiGate-2
Như các bạn đã biết, sau khi HA thành công thì ta mặc định chỉ có thể truy cập vào 1 thiết bị Fortigate đang ở mode Primary mà thôi. Nếu quá trình HA khi vận hành bị lỗi và quá trình quản lý sẽ rất khó khăn trong việt fix để tìm cách khắc phục
Để dễ hình dung, ở đây mình sẽ gắn thêm 1 thiết bị Switch với vài trò MGMT quản lý 2 thiết bị Fortigate
Bài trước vì Priority của FortiGate-2 lớn hơn ,nên là Primary. Vậy chúng ta chỉ có thể truy cập giao diện cấu hình FortiGate-2 trước
Tại FotiGate-2
Vào Network >> interfaces >> edit port 4 (sơ đồ)
Alias : MGMT
Role : DMZ
IP/Netmask : 10.10.10.2/24
Cho phép Service HTTPS, Ping
Nhấn OK để thiết lập
Tiếp theo các bạn vào System >> HA
Enable tính năng Management Interface Reservation lên
Interface : cổng kết nối đến thiết bị dùng quản lý thiết bị
Gateway : điền IP của thiết bị MGMT
Destination subnet : chọn lọc subnet
Kết quả :
Dùng VPC-2 ping đến IP MGMT của FortiGate-2
1.2 Tại FortiGate-1
Vì đang cấu hình HA nên Fortigate-1 Port4 cũng được đồng bộ như Fortigate-2 có IP MGMT 10.10.10.2
Chúng ta đang muốn tách ra để quản lý nên cần phải đổi IP này thành IP khác
Các bạn tiến hành cấu hình trên giao diện CMD như sau
Kết quả :
Dùng VPC-2 ping thử Port MGMT của FortiGate-1
2. Tính năng dự phòng dây dẫn khi HA
Vì hiện giờ chúng ta đang cấu hình Active-Active, nên lở đâu port2 bị đứt thì FortiGate-2 vẫn là Primary, các thiết bị mà muốn qua nó đễ đi internet thì không được nữa
Để khắc phục điều này ta cần cấu hình thêm tính dự phòng như sau
Tại Monitor interface : thêm Port2
