Configurar HA FGT1000C "Active-Passive".

Para temas sobre nuevas y futuras caracteristicas, o caracteristicas nuevas que os gustaría que se incluyeran en un futuro.
Cerrado
dortega
Mensajes: 13
Registrado: 27 Dic 2010, 20:23

Configurar HA FGT1000C "Active-Passive".

Mensaje por dortega »

Buenas tardes,

Me dirijo a vosotros para consultaros acerca de la configuración HA entre dos FGT1000C (v4.0,build0665,130514 (MR3 Patch 14).

La configuración que hacemos es la siguiente:

HA modo ACTIVE-PASSIVE (master con priority 128 slave con priority 200)
Port 17 y Port 18 enable (port monitor disable) Priority Hearthbeat interface 20 y 50 en ambos FGT.
Mismo grupo y password en ambos FGT
No tienen IP definida ninguno de estos interfaces.
Activado en ambos la opción de ENABLE SESSION PICK UP.

Una vez que esta configurado esto en ambos FGT, reinicio el SLAVE y conecto los cables de red en los respectivos puertos...

Pues bien, hecho esto el problema es que toda la configuración del SLAVE se pasa al MASTER por lo que tenemos corte de comunicaciones (el SLAVE está configurado de fabrica, no tiene ninguna politica definida, ni ruta.... puesto que en teoría todo lo tendría que recoger del MASTER).

Despues de darle varias vueltas, he accedido por consola al FGT SLAVE con los siguientes comandos:

config system HA
sh system HA

he visto que aparecía un comando OVERRIDE disable, lo he activado y sigue ocurriendo exactamente lo mismo.

La idea de esto es, que la configuración del MASTER se copie exactamente igual en el SLAVE y en caso de fallo con el MASTER, entre en funcionamiento el SLAVE.

¿Os ha ocurrido esto alguna vez? ¿estoy configurando mal el HA? ¿tema de prioridades?.

Os agradezco enormemente vuestras respuestas.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Configurar HA FGT1000C "Active-Passive".

Mensaje por gabyrossi »

Hola, podrias hacer un backup del master, modificar el hostname y la prioridad y levantarla en el slave. luego conectar todo y listo...

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
dortega
Mensajes: 13
Registrado: 27 Dic 2010, 20:23

Re: Configurar HA FGT1000C "Active-Passive".

Mensaje por dortega »

Cuando dices modificar el HOSTNAME, te refieres a que tengo que poner en ambos el mismo nombre?.

La prioridad actual del MASTER es 128 y del SLAVE es 200 (las prioridades del hb interface son las mismas en ambos fgt, 20 y 50).

Muchas gracias por tu ayuda.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Configurar HA FGT1000C "Active-Passive".

Mensaje por gabyrossi »

nombre del equipo....

cada equipo tendra su nombre diferente.

saludos.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Felipe
Mensajes: 229
Registrado: 02 Ago 2011, 14:27

Re: Configurar HA FGT1000C "Active-Passive".

Mensaje por Felipe »

Buenas,

Supongo que será tarde pero bueno, la prioridad en este caso es a la inversa que en otros dispositivos, es decir a mayor número más prioridad. Por tanto tus equipos están funcionando correctamente y es que estás diciendo que el slave es el maestro. Deberás cambiar las prioridades, ponerle un número mayor al que va a ser el maestro.

Saludos.
dortega
Mensajes: 13
Registrado: 27 Dic 2010, 20:23

Re: Configurar HA FGT1000C "Active-Passive".

Mensaje por dortega »

Muchas gracias a todos. Ya lo tengo resuelto.
Cerrado