一、管理需求

通过业务接口管理和配置HA集群。

二、网络拓扑

三、配置要点

1、配置HA基础配置

2、配置基础LAN/WAN上网服务

3、配置网络管理的相关参数

4、配置防火墙的SYSLOG、SNMP、FMG


四、操作步骤

1、配置HA基础配置

初始化配置防火墙的时候可以通过mgmt口登陆到防火墙上,一般mgmt口的管理IP是192.168.1.99,第一步可以通过此IP登陆防火墙,或者通过console口管理防火墙。具体型号初始化如果网管和接口的网管IP信息等可参考

链接:https://docs.fortinet.com/product/fortigate/hardware 和 https://docs.fortinet.com/document/fortigate/hardware/fortigate-quickstart-guide-high-end?model=all

举例FGT1500D:

https://docs.fortinet.com/document/fortigate/hardware/fortigate-1500d-information-supplement?model=all

按照以上方式登陆第一次开箱的防火墙。先登陆主防火墙,并配置进行HA的基础配置,然后登陆到备防火墙,配置备防火墙的HA基础配置。

分别配置主防火墙和备防火墙的HA,主防火墙优先级调整为150,备防火墙的优先级保持默认的120,配置HA-cluster组名字和密码,监控业务接口wan1和port1,使用HA1和HA2接口将二者互联。双方的HA配置完毕之后将ha1和ha2线相互直连,将会进行HA的选举,此时优先级150高的FGT将成为主防火墙,优先级低的120的FGT将成为备防火墙。然后备防火墙的配置将会和主防火墙进行同步,备防火墙所有配置和主防火墙一致,此时备防火墙也将不再可以WEB/SSH登录,仅仅可以Console登录。后续所有的操作和配置都在主防火墙上的GUI、SSH或Console完成。

主备防火墙HA的GUI配置:

 

主备防火墙的HA命令行配置:

FGT101E_Master_379 # config system ha
FGT101E_Master_379 (ha) # show
config system ha
    set group-name "FGT-101E"
    set mode a-p
    set password ENC qFCIFxyvcDoECk2Ysw2kMkrRd8Mrn8loJ2pHGXvs59vKg6hXAAnLZsasIa/Icht5CTdtlUmA2yXAfJAfwa3EgR4JSnzpfbL451HgDGoAT7rzPB8YgTU7KHiQSMgu4ShEZI1YVFD0bYQ3RxM4gW/2gzmvJWNDuDNfjwQXkTnAMTeWYLlNwTbLowPjTJZRjZKgiqJ8vw==
    set hbdev "ha2" 50 "ha1" 50
    set session-pickup enable
    set override disable
    set priority 150
    set monitor "port1" "wan1"
end

FGT101E_Slave_045 # config system ha
FGT101E_Slave_045 (ha) # show
config system ha
    set group-name "FGT-101E"
    set mode a-p
    set password ENC ZR+owfGtfZ/JmdqLcPi2QI6q8oZHUQFq0iF9esgd8Dzx1wUO8InUODuF+NX0A2R7Rmuh0t4QcCuLX6zh8+1ScAOD5zKOts0dm/YKBeShMJYNkQZGCAWGdbnNG2CgBevJ3Izq4qnSZcEdMytJybEMqXjiaqGffuGnHamqZa18v/0vH/1SQx4J0sKm9D6fGa90b1ClmQ==
    set hbdev "ha2" 50 "ha1" 50
    set session-pickup enable
    set override disable
    set priority 120
    set monitor "port1" "wan1"
end

配置完毕之后,直连接上ha1、ha2的心跳线,ha将会进行选举,选举结果如下:

FGT101E_Master_379 # diagnose sys ha status
HA information
Statistics
        traffic.local = s:0 p:576052 b:153225536
        traffic.total = s:0 p:575650 b:153242567
        activity.fdb  = c:0 q:0

Model=100, Mode=2 Group=0 Debug=0
nvcluster=1, ses_pickup=1, delay=0

[Debug_Zone HA information]
HA group member information: is_manage_master=1.
FG101E4Q17000379: Master, serialno_prio=0, usr_priority=150, hostname=FGT101E_Master_379
FG101E4Q17000045:  Slave, serialno_prio=1, usr_priority=120, hostname=FGT101E_Slave_045

[Kernel HA information]
vcluster 1, state=work, master_ip=169.254.0.1, master_id=0:
FG101E4Q17000379: Master, ha_prio/o_ha_prio=0/0
FG101E4Q17000045:  Slave, ha_prio/o_ha_prio=1/1

FGT101E_Master_379 # 

这三个命令都可以看到HA的选举结果和HA状态:
# diagnose sys ha status
# get system status
# get system ha status

GUI查看HA的选举结果和状态:

2、配置基础LAN/WAN上网服务

此步骤为正常上网的基础配置,大概的步骤是配置接口IP、配置默认路由、配置策略即可实现防火墙的简单上网配置。不详细展开说明,仅仅提供配置截图和命令行。(所有配置都在主防火墙上完成,备防火墙此时不可以登陆)

配置接口IP

配置默认路由:

配置上网策略:

配置上网的命令行:

config system interface
    edit "port1"
        set ip 192.168.10.1 255.255.255.0
        set allowaccess ping https ssh http fgfm
        set alias "LAN"
    next
end
    edit "wan1"
        set ip 202.100.1.21 255.255.255.0
        set allowaccess ping https ssh http fgfm
        set alias "WAN1_Unicom"
    next
end

config router static
    edit 1
        set gateway 202.100.1.192
        set distance 1
        set device "wan1"
    next
end

config firewall policy
    edit 1
        set name "TO_Internet"
        set srcintf "port1"
        set dstintf "wan1"
        set srcaddr "all"
        set dstaddr "all"
        set action accept
        set schedule "always"
        set service "ALL"
        set utm-status enable
        set logtraffic all
        set av-profile "default"
        set application-list "default"
        set profile-protocol-options "default"
        set ssl-ssh-profile "certificate-inspection"
        set nat enable
    next
end

3、配置LAN口网管相关参数
关于网管目前可以通过mgmt的192.168.1.99管理,也可以通过port1(lan)的192.168.10.1进行管理,比较关键的网管因素是:
3.1、port1接口下开启了网管的协议,比如https、http、ssh、snmp等

3.2、管理员可信任主机如果配置了的话,需要包含发起管理请求的主机IP或网段

3.3、网管PC到FGT的来回路由可达,可以通过ping和tracert测试。
上面1、2点确认没有问题之后,还是遇到不通的情况,可以通过sniffer抓包和debug flow确认问题所在:
FGT101E_Master_379 # diagnose sniffer packet any "host 192.168.10.1" 4 0 l

3.4、如果跨接口管理防火墙,比如处于port2的PC要通过防火墙port1接口的IP管理防火墙,则需要主要有port2到port1的策略,否则数据也是不通的

出现网管不了的情况,99%就是以上的原因了。


4、配置防火墙的SYSLOG、SNMP和FMG
关于发送syslog日志:
确认通过192.168.10.1网管没问题了的话,有时候需要配置SYSLOG等本机发出的网管配置:

对应命令行:
config log syslogd setting
    set status enable
    set server "192.168.10.125"
end

主/备防火墙的日志都会通过业务接口port1 192.168.10.1将syslog日志发送出去,备防火墙的syslog日志会通过心跳线到主机,然后由主机代为转发。

FGT101E_Master_379 # dia sniff pa any "port 514" 4
interfaces=[any]
filters=[port 514]
0.918154 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 635 // 主防火墙的syslog日志
0.918225 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 649
5.492057 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 649
5.961902 port_ha in 169.254.0.2.514 -> 169.254.0.1.514: udp 454   // 备防火墙的console登陆日志
5.962018 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 418
5.968684 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 554
8.314617 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 730
8.507346 port_ha in 169.254.0.2.514 -> 169.254.0.1.514: udp 473  // 备防火墙的console退出日志
8.507479 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 437
8.964545 port1 out 192.168.10.1.22418 -> 192.168.10.125.514: udp 724
9.074989 port1 out 192.168.10.1.15840 -> 192.168.10.125.514: udp 597


关于SNMP的配置:
lan接口下开启SNMP协议

开启SNMP协议:


对应命令行:
config system interface
    edit "port1"
        set allowaccess ping https ssh snmp http fgfm
    next
end
config system snmp sysinfo
    set status enable
    set description "FGT101E"
    set contact-info "support_cn@fortinet.com"
    set location "BEIJING"
end
config system snmp community
    edit 1
        set name "public"
        config hosts
            edit 1
                set ip 192.168.10.125 255.255.255.255
            next
            edit 2
            next
        end
    next
end

FGT101E_Master_379 # dia sniff pa any "port 161 and host 192.168.10.1" 4
interfaces=[any]
filters=[port 161 and host 192.168.10.1]
122.490897 port1 in 192.168.10.125.4543 -> 192.168.10.1.161: udp 39
122.491500 port1 out 192.168.10.1.161 -> 192.168.10.125.4543: udp 44
168.788284 port1 in 192.168.10.125.4644 -> 192.168.10.1.161: udp 39
168.788623 port1 out 192.168.10.1.161 -> 192.168.10.125.4644: udp 44
186.464508 port1 in 192.168.10.125.4676 -> 192.168.10.1.161: udp 39
186.478596 port1 out 192.168.10.1.161 -> 192.168.10.125.4676: udp 257
186.482659 port1 in 192.168.10.125.4676 -> 192.168.10.1.161: udp 44
186.483107 port1 out 192.168.10.1.161 -> 192.168.10.125.4676: udp 268
186.487744 port1 in 192.168.10.125.4676 -> 192.168.10.1.161: udp 44
186.488298 port1 out 192.168.10.1.161 -> 192.168.10.125.4676: udp 227
186.492820 port1 in 192.168.10.125.4676 -> 192.168.10.1.161: udp 44
186.507569 port1 out 192.168.10.1.161 -> 192.168.10.125.4676: udp 247
186.510309 port1 in 192.168.10.125.4676 -> 192.168.10.1.161: udp 44



HA切换的时候发送snmp trap:

关于FortiManger的管理(只能通过业务接口添加):
防火墙主动去找FMG:

对应命令行:
config system interface
    edit "port1"
        set allowaccess ping https ssh snmp http fgfm
    next
end
config system central-management
    set type fortimanager
    set fmg "192.168.147.250"
end

或者FMG主动添加FGT都可以:

如果是FGT主动去注册FMG,则FMG会有未注册的设备提示:
只需要将设备添加到FMG的设备管理中即可:



五、验证效果