FortiGate-60E 備援&FAILOVER設定

fortigate ha failover

fbitom 2017-07-18 17:51:48 ‧ 14544 瀏覽

分享至

請教各位大大~~有關FortiGate-60E如何設定下面需求
公司狀況:皆為同型號FortiGate-60E
5F=>裝一台，有中華電信(主線WAN1)和CABLE(副線WAN2)，主線不通，自動跳副線，通常5F PC都是走WAN1 IP出去上網

6F=>裝一台，有中華電信(主線WAN1)，6F PC走6F WAN1 IP出去

買同型號兩台的目的是要做HA備援(但有人說這算FAILOVER)目前，5F和6F之間有拉一條網路線，目的希望萬一5F防火牆或雙網都掛時，可以自動走6F沒問題的網路WAN上網，達到不斷線運作~~
請較這要如何接線和在防火牆裡面設定~~感謝

看更多先前的討論...收起先前的討論...

msnman iT邦研究生 1 級 ‧ 2017-07-19 14:23:44 檢舉

個人的淺見，5F與6F的防火牆作lantolan的連接。
但為防止迴圈風爆，6F防火牆的lan必須是獨立的線路，不相通。
如有錯誤請指教。謝謝。

fbitom iT邦新手 5 級 ‧ 2017-07-19 21:58:35 檢舉

感謝M大回覆~~

所以我們應該只是要做單純FAILOVER就好!!不用兩台做HA~~但不曉得這樣是指防火牆(七個LAN PORT)，選擇兩台的同LAN PORT對接嗎!
和靜態路由不知怎麼設定判斷斷線時自動指向過去

在國外有看到這文章算蠻清楚了，只是有些指令要搞懂和修改@@"
http://cookbook.fortinet.com/high-availability-two-fortigates/

msnman iT邦研究生 1 級 ‧ 2017-07-19 23:46:21 檢舉

另一種接法 5FWan2接6FLAN2
首先在6FLAN2接電腦，設定與LAN1不同網段，再將防火牆規則設定與LAN1相同，要走NAT架構。
然後，6FLAN2連接5FWAN2，然後5FLAN2接一台電腦網段與LAN1相同，並設定5FLAN1TOWAN2和5FLAN1TOWAN1相同的規則。一樣是NAT架構，正常情況下是會相通。

mwp iT邦新手 4 級 ‧ 2017-07-27 02:18:46 檢舉

樓主你有L2 Switch嗎?

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

mytiny

iT邦超人 1 級 ‧ 2017-07-20 23:47:24

樓主，小弟的不成熟淺見如下：

主線不通，自動跳副線，這是"線路"的FAILOVER
一台機器當了，另一台自動接替過來這是"設備"的HA(high-availability)

您自己找的手冊都說是high-availability
怎麼可能還說"只是要做單純FAILOVER就好"

更何況您還沒有思考過，同一棟大樓裡
如果外面挖斷線路了，5F與6F的線路都不會通
如果5F的FortiGate-60E掛了
接在上面連往6F的線路還會通嗎?
反向亦然

在下個人認為的標準做法應該如下：
將三條線合併成共同聯外線路(幾條都不是問題)
(採用ECMP,WLLB,SD-WAN都可以)
這樣不會閒置任何連外線路的頻寬
FortiGate-60E兩台，做成high-availability
任何一台故障時就立馬另一台會接手(手冊已有)
這樣的網路架構才會完整備援

覺得複雜不好處理
請找專業有技術認證的來做
花錢做一次學到技術就是自己的