Wenn Sie einen Fortigate HA Cluster konfigurieren, erscheint die Option: “Reserve Management Port for Cluster Member”. Ist diese Option aktiv, kann ein Interface ausgesucht werden.
Mit dieser Option haben Sie die Möglichkeit, jedem Cluster Member eine IP Adresse zuzuweisen, die nicht synchronisiert wird. Speziell hilfreich ist dieses Feature in einem “virtual Cluster”, mit unterschiedlichen Master und Subordinate Geräten. So kann auch sehr einfach die CPU und Memory Auslastung pro Gerät abgefragt werden.
Auf dem GUI können Sie einiges konfigurieren, auf der Kommandozeile gibt es aber noch ein paar Möglichkeiten mehr.
Zuerst schalten Sie das Management Interface ein:
config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface wan2
set gateway 192.168.147.254
next
end
endVergessen Sie den Default-Gateway nicht. Dieses Interface ist isoliert und benötigt sein eigenes Routing.
Dann weisen Sie jedem Cluster Mitglied eine eigene IP Adresse zu:
System 1:
config system interface edit wan2 set ip 10.11.101.101/24 set allowaccess https ping ssh snmp end
System 2:
config system interface edit wan2 set ip 10.11.101.102/24 set allowaccess https ping ssh snmp end
Das war’s. Nun können Sie auf jedes Gerät in einem Cluster individuell zugreifen.
Neu seit FortiOS 5.6:
Seit 5.6 gibt es eine neue Möglichkeit, jede Maschine direkt anzusprechen. Die ist In-Band, benötigt aber kein reserviertes Interface.
Sie können auf jedem beliebigen Interface eine Management IP-Adresse setzen, die im Cluster nicht synchronisiert wird.
System 1:
config system interface
edit mgmt1
set ip 10.11.101.254/24
set management-ip 10.11.101.251/24
set allow access https ping ssh snmp
next
endSystem 2:
config system interface
edit mgmt1
set ip 10.11.101.254/24
set management-ip 10.11.101.252/24
set allow access https ping ssh snmp
next
endSo erhält jede Maschine eine dedizierte Management IP-Adresse. Für das Routing wird die reguläre Routing Tabelle der FortiGate verwendet.