{{tag> cluster fortigate ha }}
===== Cluster de Alta disponibilidad con Fortigate =====

==== Requisitos ====
  - Dos equipos Fortigate iguales, mismo hardware, mismo disco, etc
  - Misma versión del Firmware
  - Mismo modo (NAT o transparente )
  - Mismo modo VDOM



==== recomendaciones ====
  - Usar diferentes nombres de host para cada nodo
  - Habilitar load-balance-all
  - Usar enlaces hearbeat dedicados. Si sólo son dos nodos podemos conectarlos entre si.
  - Usar al menos dos interfaces para heartbeat
  - No monitorizar enlaces heartbeats
  - Usar Session Pickup (seguimiento de las sesiones) sólo con ciertos modelos de Fortigate y además que tengan enlaces de heartbeat dedicados.
  - Si vamos a usar session pickup utilizar la opción de delay para mejorar el rendimiento.
  - Usar enlaces agregados (802.3ad) para conectar los nodos a la red.

{{:hardware:fortigate:esquema_firewall_ha.jpg?200| }}
==== Cluster Activo - Activo ====
Paso para crear el cluster:
  - Backup de la configuración actual.
  - Habilitar el modo activo-activo
  - Poner la prioridad del nodo que queramos poner como primario a 255 
  - Conectar el segundo nodo con el primero (interfaces hearbeat)
  - Habilitar en el segundo no el modo cluster pero dejando la prioridad como está (128)



Las dos unidades del cluster tienen que tener los mismos interfaces conectados a los  mismos switchs de manera que NO tengamos un punto único de fallo. La idea es tener varios puerto en trunk en cada cortafuegos conectados a distintos switchs

le ponemos un nombre distinto a cada cortafuegos  
<sxh>
config system global
set hostname cortafuegos1
end
</sxh>


Para definir quien será el nodo primario hay que poner dicho nodo con mayor prioridad que el otro.
<sxh>
config system ha
set priority 200
end
</sxh>

Configuramos el grupo de alta disponibilidad
<sxh>config system ha
set mode a-a
set group-name grupodeha
set password contraseñadelgrupo
set hbdev port15 50 port16 50
end
</sxh>


<note important>No se puede crear el cluster si uno de los interfaces está configurado para obtener la dirección ip por DHCP o PPPoE.</note>
Si esto ocurre el equipo Fortigate vuelve al modo standalone cuando presionas ok sin dar ningún mensaje de aviso o error. Para solucionarlo basta con poner en todos los interfaces en modo manual.

<note warning>De un cluster HA en modo activo-activo desapare la opción de configurar cualquier interfaz como PPPoE</note>


=== Para ver la configuración del cluster ===
 <sxh>get system ha</sxh>

=== Para conocer el estado ===
<sxh>get system ha status</sxh>

=== Forzar devolver el control al master ===
<sxh>diag sys ha reset-uptime</sxh>
https://kb.fortinet.com/kb/viewContent.do?externalId=FD33114


===== Reiniciar uno de los nodos de un cluster =====
Lo primero es saber el id que tiene asignado el fortigate que queremos reiniciar
<sxh>get system ha status </sxh>

Una vez que sabemos el id nos conectamos al equipo 
<sxh>execute ha manage id </sxh>
y lo reiniciamos
<sxh>execute reboot</sxh>

  * http://www.shogan.co.uk/how-tos/how-to-restart-a-slave-fortigate-firewall-in-an-ha-cluster/


===== Actualizar el firmware del cluster =====
Para actualizar el firmware de cluster tenemos que actualizar el firmware de la unidad **master** y automáticamente la unidad **slave** se actualizará.

==== Solucionar problemas de sincronización ====


https://kb.fortinet.com/kb/documentLink.do?externalID=FD36494
==== Referencias ====
  * http://help.fortinet.com/fos50hlp/52data/Content/FortiOS/fortigate-high-availability-52/HA_config_troubleshooting.htm?Highlight=cluster%20problem
  * Guía HA FortiOS 5.0 http://docs.fortinet.com/fgt/handbook/50/fortigate-ha-50.pdf
  * http://docs.forticare.com/cb/fortigate-cookbook.pdf
  * http://www.soportejm.com.sv/kb/index.php/article/virtual_cluster
  * http://docs-legacy.fortinet.com/fos50hlp/50/index.html#page/FortiOS%25205.0%2520Help/clustering.082.34.html