Cluster Forti & WANs & HA

Para temas sobre nuevas y futuras caracteristicas, o caracteristicas nuevas que os gustaría que se incluyeran en un futuro.
Responder
dsanchez
Mensajes: 12
Registrado: 04 Oct 2013, 20:49

Cluster Forti & WANs & HA

Mensaje por dsanchez »

Consulta
-----------
Escenario
-----------
Actualmente cuento con un clúster HA entre dos equipos fortinet.
Los mismos cuentan con dos proveedores de internet distintas wan1 & wan2.
En la estructura existen dos SW:
A cada SW le yega un enlace de internet.

Proveedor de internet 1 a "sw-A"
Proveedor de internet 2 a "SW-B"
Proveedor de internet 3 a "SW-C" # Esto quiero adicionar (tercer enlace) #

Como está conectado
-------------------(Misma Locación)

PRV NET1 == SW-A == wan1 forti-A
PRV NET1 == SW-A == wan1 forti-b
forti-A & Forti-B == se conectan entre sí x cable directo.
PRV NET2 == Sw-B == wan2 forti-A
PRV NET2 == sw-B == wan2 forti-b

(Distinta Locación) # Adicionar #

PRV NET3 == SW-C == wan3 foti-C # Esto quiero a adicionar (dejando un clúster de 3 nodos) #


Consulta, podría existir el escenario donde los SW-A y SW-B no existieran y los proveedores de internet se conecten directamente a los forti.

EJ: Prov1 == forti-A(WAN1)
EJ: Prov2 == forti-B(WAN2)

Consulta, debería de conectar las wan3 en todos los equipos y la wan1 y wan2 en el equipo nuevo.

Desde ya muchas gracias.
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Cluster Forti & WANs & HA

Mensaje por gabyrossi »

hola, a ver si entendi..
vas a poner un 3er fortigate en ha? y un 3er enlace?

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
Avatar de Usuario
sedlav
Mensajes: 41
Registrado: 09 Oct 2009, 22:47
Ubicación: Santiago - Chile

Re: Cluster Forti & WANs & HA

Mensaje por sedlav »

Por lo que se entiende asi es...

en el caso de hacer desaparecer los switch A, B y C, si el router de tu ISP tiene la capacidad fisica para la cantidad de cables que van hacia los FGTs no debiese haber ni un problema.
Hoy por VI mañana por BIND..9
dsanchez
Mensajes: 12
Registrado: 04 Oct 2013, 20:49

Re: Cluster Forti & WANs & HA

Mensaje por dsanchez »

Buenos días, agradezco las molestias.

Gaby, si es exactamente lo que comentas. Una tercer forti en HA y un tercer enlace (Todos Distintos Poveedores de internet)

Sedlav, El problema es que cada ISP cuenta con su propio router el cual solo provee de una interface que seria (Internet). No tengo la posibilidad de que compartan hardware.

Lo que no estoy seguro es si es técnicamente viable, conectar cada router de cada proveedor de internet a cada equipo forti por separado.

Ejemplo cada forti solo cuenta con un wan conectada.

Router-A == Forti-A-wan1.
Router-B == Forti-B-wan2.
Router-C == Forti-C-wan3.

Saludos
Avatar de Usuario
sedlav
Mensajes: 41
Registrado: 09 Oct 2009, 22:47
Ubicación: Santiago - Chile

Re: Cluster Forti & WANs & HA

Mensaje por sedlav »

Si es un H/A debes considerar que todos son clones de todos, si lo que requieres es cambiar y salir de vias diferentes desarma el H/A y rutea por puertas de enlaces diferentes, claro que es es mas engorroso para la administracion, por lo que es mas comodo tener este cluster y mantienes unificada la adm, por ultimo crea VDOMs
Hoy por VI mañana por BIND..9
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Cluster Forti & WANs & HA

Mensaje por gabyrossi »

Hola,
La idea de tener un HA o Cluster de fortigate es que tengas redundancia de todo lo que mas se pueda (harware, interfaces, etc).

Cual seria el interres de poner un 3er equipo en ha... estas muy apretado en performance??

lo ideal es que cada router de internet vaya a un switch y de ese switch vaya a por ejemplo la wan1 de cada fortigate.
asi con cada proveedor de internet, y tambien con las redes internas que tengas.

Tambien podrias tener un switch grande, administrable y hacer grupos de puertos, x puertos para el primer enlace( un puerto para el router, y x puertos para los fortigate) asi con cada interface que necesites configurar...

espero que se entienda.

adjunto imagen de ha (con 2 equipos) con una red interna y un proveedor de internet
No tiene los permisos requeridos para ver los archivos adjuntos a este mensaje.
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
dsanchez
Mensajes: 12
Registrado: 04 Oct 2013, 20:49

Re: Cluster Forti & WANs & HA

Mensaje por dsanchez »

Buenas Gaby.

El tema de un tercer equipo en HA, responde a varios motivos. Uno de ellos es que cada edificio cuenta con su enlace (internet) + un centro de cómputos replicado del primario (A-A). Con lo cual si ocurre algún incidente de fuerza mayor en el edificio A. La compañía continúa en operaciones desde edificio B o C.

Actualmente la infraestructura ya desde hace algunos años se encuentra montada de la forma que comentas. Solo que a diferencia del ejemplo de la imagen, cara proveedor cae en un SW distinto para no contar con un único punto de falla. (De esta manera puedo perder una WAN en todos los equipos forti. Pero no pierdo todas las wans en caso de caída de un único SW)

Una de las complejidades en la adición de un tercer nodo en el clúster HA es que actualmente los dos nodos instalados se conectan entre sí mediante cable directo, a corta distancia.

En el nuevo escenario cada nodo se encontraría en un edificio diferente, con lo cual requiero de adicionar SW para cubrir la distancia + adicionar el nodo o nodos. Con lo cual si mantengo la actual configuración requiero de conectar los equipos fortigate entre sí por medio de un SW para lo que es el trafico de HA y demás + adicionar un SW para el nuevo proveedor de internet y cruzar cables de cada SW a la boca WAN de cada equipo forti en casa edificio.

Nunca lo intente, pero la consulta venia orientada a que siempre tuve la incógnita de que pasaba si directamente conectaba desde cada router del proveedor de internet a una pata WAN del equipo forti Ej: wan1, dejando en este mismo equipo el resto de las wans Ej: WAN2/WAN2 sin conectar. Y en el resto de los equipos forti por Ej: conectada la WAN2 pero no la WAN1/WAN3, siendo todos miembros del mismo clúster HA.
Capas es una absoluta barrabasada lo que planteo. Pero era algo que tenia curiosidad de consultar en el foro :-)

Saludos
Avatar de Usuario
gabyrossi
Mensajes: 10898
Registrado: 30 Oct 2007, 19:47

Re: Cluster Forti & WANs & HA

Mensaje por gabyrossi »

hola...
contestando tu duda,,, acordate que cada foritgate tiene la misma config.. si el a tiene wan1 y el btiene wan2 por algun motivo deja de funcionar el a, el b no tendra nada en wan1, ni publicacion ni nada por ese enlace...

no es lo recomendale... a demas de que no podras monitorear esas interfaces para chequea el failover del ha..

saludos
NSE 7 – Fortinet Network Security Architect
NSE 5 - Network Security Analyst
dsanchez
Mensajes: 12
Registrado: 04 Oct 2013, 20:49

Re: Cluster Forti & WANs & HA

Mensaje por dsanchez »

gracias gente :-)
Responder