Merhaba arkadaşlar, ben Cem Zengin.

Kurumsal network mimarilerinde kesintisizlik en kritik gereksinimdir. Firewall gibi ağın merkezinde duran bir cihazın arızalanması tüm iş süreçlerinin durmasına sebep olur. FortiGate üzerinde bu riski sıfırlamak için High Availability (HA) yani yüksek kullanılabilirlik teknolojisini kullanıyoruz. Bu yazıda, iki adet özdeş FortiGate cihazını Active-Passive (Aktif-Pasif) yedekli cluster yapısında nasıl kuracağımızı adım adım anlatacağım.

1. HA Cluster Kurulumu Öncesi Altın Kurallar

HA kurulumuna başlamadan önce aşağıdaki maddelerin eksiksiz sağlandığından emin olmalısınız. Aksi takdirde cluster kurulamaz veya stabil çalışmaz:

  1. Cihazların Özdeşliği: İki cihazın donanım modeli (örn: iki adet 80F), lisans paketleri ve üzerindeki firmware sürümü (örn: ikisinde de v7.2.5) birebir aynı olmak zorundadır.
  2. Kablolama Senaryosu: Her iki cihazın da aynı portları aynı switch/vlan’lere bağlı olmalıdır. Örneğin, master cihazın wan1 portu hangi switch portuna gidiyorsa, slave cihazın da wan1 portu aynı VLAN’deki bir porta gitmelidir.
  3. Heartbeat Linkleri: Cihazların birbirini izlemesi ve senkronize olması için aralarında en az bir (tercihen iki) adet doğrudan kablo bağlantısı (Heartbeat/HA portları üzerinden) kurulmalıdır. Bu bağlantı için araya switch koyulmaması, doğrudan patch kablo çekilmesi önerilir.

2. Master (Ana) Cihazın HA Yapılandırması

Öncelikle tüm ayarlarımızın ve lisanslarımızın yüklü olduğu, cluster yapısının lideri olacak Master cihazda HA yapılandırmasını başlatıyoruz.

Web GUI Adımları:

  1. System > HA sayfasına gidin.
  2. Mode: Active-Passive seçin.
  3. Aşağıdaki parametreleri ayarlayın:
    • Device Priority: 250 (Priority değeri yüksek olan cihaz Master seçilir. 0-255 arası bir değer verebilirsiniz)
    • Group Name: Sirket-HA-Grup (Her iki cihazda da aynı olmalıdır)
    • Password: GucluClusterSifresi123 (Her iki cihazda da aynı olmalıdır)
    • Heartbeat Interfaces: Cihazları birbirine doğrudan bağladığınız portları seçin (Örn: ha ve port8). Priority değerlerini varsayılan (50) bırakabilirsiniz.
  4. OK butonuna tıklayarak kaydedin.

CLI Komutları:

config system ha
    set group-id 1
    set group-name "Sirket-HA-Grup"
    set mode a-p
    set password GucluClusterSifresi123
    set hbdev "ha" 50 "port8" 50
    set route-ttl 10
    set priority 250
    set override disable
end

Not: override disable komutu, Master cihaz yeniden başlasa bile öncelik (priority) değerine göre cluster liderliğini korumasını sağlar veya duruma göre stabil bir geçiş sunar.

3. Slave (Yedek) Cihazın HA Yapılandırması

İkinci cihazı (Slave) kutusundan çıkarıp temiz bir şekilde (Fabrika ayarlarında veya sadece firmware güncellemesi yapılmış halde) konumlandırıyoruz. Slave cihazın üzerine herhangi bir konfigürasyon yapmanıza gerek yoktur, çünkü Master cihazdaki tüm ayarlar otomatik olarak bu cihaza senkronize edilecektir.

Cihaza konsol veya varsayılan yönetim IP’sinden bağlanıp sadece HA ayarlarını yapıyoruz:

Web GUI Adımları:

  1. System > HA sayfasına gidin.
  2. Mode: Active-Passive seçin.
  3. Aşağıdaki gibi yapılandırın:
    • Device Priority: 100 (Master cihazdan daha düşük bir değer veriyoruz ki yedek olarak beklesin)
    • Group Name: Sirket-HA-Grup (Master ile birebir aynı)
    • Password: GucluClusterSifresi123 (Master ile birebir aynı)
    • Heartbeat Interfaces: Master ile aynı fiziksel portları seçin (Örn: ha ve port8).
  4. OK butonuna basarak kaydedin.

CLI Komutları:

config system ha
    set group-id 1
    set group-name "Sirket-HA-Grup"
    set mode a-p
    set password GucluClusterSifresi123
    set hbdev "ha" 50 "port8" 50
    set priority 100
    set override disable
end

4. Senkronizasyon ve Doğrulama Adımları

Slave cihaz üzerinde HA ayarlarını kaydettikten ve kabloları bağladıktan sonra senkronizasyon işlemi başlar. Bu işlem cihazlardaki yapılandırma boyutuna göre 1 ila 5 dakika arasında sürebilir.

Senkronizasyonu doğrulamak için Master cihazın web arayüzünde System > HA sayfasına gelin. Ekranın üst kısmında iki cihazın da yeşil renkte ve yan yana listelendiğini görmelisiniz.

CLI ile Doğrulama ve Sağlık Kontrolü Komutları:

  • Cluster Özet Durumu: 
    get system ha status

    Bu komutla Master ve Slave cihazların durumunu, uptime sürelerini ve cluster üyelerinin birbirini görüp görmediğini kontrol edebilirsiniz.

  • Senkronizasyon Kontrolü (Checksum Karşılaştırma): 
    diagnose sys ha checksum show

    Çıktıdaki checksum değerlerinin Master ve Slave cihazlarda birebir aynı olması gerekir. Eğer checksum değerleri farklıysa cihazlar henüz tam senkronize olmamıştır veya bir yapılandırma uyuşmazlığı vardır.

5. HA Failover Testi (Hattı Kapatıp Test Etme)

Yapınızın sağlıklı çalıştığından emin olmak için mesai saatleri dışında bir failover testi gerçekleştirmelisiniz:

  1. Master cihazın konsoluna veya web arayüzüne sürekli ping atın.
  2. Master cihazın elektrik kablosunu çekin veya heartbeat kablolarını sökün.
  3. Ping kaybının en fazla 1 veya 2 paket olduğunu ve trafiğin kesintisiz bir şekilde Slave (artık yeni Master olan yedek) cihaz üzerinden akmaya devam ettiğini gözlemleyin.
  4. Cihazı tekrar açtığınızda otomatik olarak tekrar cluster’a dahil olduğunu doğrulayın.

Senaryolarınızda takıldığınız noktaları veya karşılaştığınız senkronizasyon hatalarını yorumlarda paylaşabilirsiniz. Bir sonraki teknik yazıda görüşmek üzere!