Fortigate HA Üzerinde LACP Yapılandırması Nasıl Yapılır?

Yapımızda HA olarak Active – Passive modda çalışan 2 adet Fortigate cihazımız bulunmaktadır. Bu cihazlarımızdan Switchlere uplink portu atarken portun yedekliliği şart olmasada kesinlikle önerilen ve büyük yapılarda şart olarak görülen konfigürasyonlardan biridir.

Öncelikle LACP nin ne olduğunu sizlere çok kısa anlatmak isterim.

Etherchannel (LACP), switch, firewall, waf vb tüm network cihazlarında  kullanılan bir bağlantı birleştirme teknolojisidir. En az iki hattlı birleştirmek için gerekli iletişim dinamik portlar tarafından sağlanmaktadır. Bant genişliğini artırmak veya hat yedeklemek için Etherchannel teknolojisini kullanarak,Birden çok portu sanki tek bir portmuş gibi kullanabilirsiniz. Bu teknolojiyi kullanarak 8 adede kadar bağlantı noktası birleştirilebilir. Etherchannel teknolojisinin fiziksel olarak birden çok bağlantı noktası olmasına rağmen, mantıksal olarak yalnızca bir bağlantı noktası vardır. Genel olarak, anahtarlar arasında birden fazla bağlantı noktası kullanılırsa, bir loop oluşur, ancak STP (Spanning Three Protocol) bu döngünün oluşmasını engeller. Bu teknikle, bağlantı noktası mantıksal olarak tek bir bağlantı noktası gibi göründüğünden, STP hiçbir bağlantı noktasını engellemez.

Daha detaylı bilgiyi LACP nedir? Yazarak google’da bulabilirsiniz.

Şimdi gelelim bizim yapımıza. Öncelikle  sizlere yapımı görsel ile anlatmak isterim.

Forti LCAP 1

Görselden de anlaşılacağı üzere HA Active – Passive modda çalışan Fortigate cihazlarımın 1 ve 2 numaralı portları 802.3ad yani lacp modunda Cisco Switch’e girmektedir.

Fortigate HA Üzerinde LACP Yapılandırması Nasıl Yapılır?

  1. Fortigate üzerinde interface tabına girilir.
Forti LCAP 2
  1. Create New butonuna tıklanarak yeni bir interface oluştururuz.
Forti LCAP 3
  1. Açılan sayfamızda interface bilgilerimizi gireriz.
Forti LCAP 4
  1. Type alanında 802.3ad Aggregate değerini seçtiğinizden emin olunuz ve ayarlarınızı kaydediniz.
  1. Kaydetme işlemi sonrası interface tabınızda yeni LACP interface’inizi göreceksiniz.
Forti LCAP 4

Not: Benim 802.3ad interfacelerimin altında birden fazla vlan olduğu için + (artı) butonu gözükmektedir. Sizlerde olmaması çok normaldir.

Şu anda Fortigate cihazımız üzerinde LACP ayarımızı yaptık. Bu ayarlarımızın ardından cisco marka switch üzerinde LACP konfigurasyonumuzu yapacağız. Gerekli tüm komutları sizlere aşağıda paylaşıyorum.

Cisco Swicth üzerinde LACP konfigürasyonu;

# Configuration terminal
# port-channel load-balance src-dst-ip
# interface range gigabitethernet 1/0/1-2 (PRIMARY FORTIGATE için LACP modunda kullanacağınız portları seçiniz)
# channel-group 1 mode active
# channel-protocol lacp
# description PRIMARYFORTIGATE_UPLINK
# exit
# interface port-channel 1
# description PRIMARYFORTIGATE_UPLINK_LACP
# switchport mode trunk (Ben bu uplink üzerinde Vlan yönetiyorum. Eğer sizde tek ağ varsa sw port mode access yazınız)
# switchport trunk allowed vlan 1,5,10,15,20,25,30 (vlanlarımı belirtiyorum. All yazmak güvenlik açığıdır !!!)      
# exit
# interface range gigabitethernet 1/0/3-4 (SECONDARY FORTIGATE için LACP modunda kullanacağınız portları seçiniz)
# channel-group 2 mode active
# channel-protocol lacp
# description SECONDARYFORTIGATE_UPLINK
# exit
# interface port-channel 2
# description SECONDARYFORTIGATE_UPLINK_LACP
# switchport mode trunk
# switchport trunk allowed vlan 1,5,10,15,20,25,30
# exit

Buraya kadar Hem fortigate hemde cisco üzerinde LACP ayarlarımızı tamamladık. Cisco üzerinde LACP aktif olduğu anda Fortigate interface tabında 802.3ad portunuz yeşil olacaktır.

Troubleshot için;

LACP işlemini Fortigate ve Cisco üzerinde yaptığınız halde aktif olmuyorsa denemeniz gerek adımları yazıyorum

  1. Fortigate lacp slave mod disable edilir. Cli açılır ve aşağıdaki komut yazılır.
config system interface
edit MANAGEMENT<802.3ad_ismi>
set lacp-ha-slave disable
end

Bu komut sonrası sorun düzelecektir. Sayfayı refresh etmeyi unutmayın 😊

  1. Eğer sorununuz devam ediyorsa Cisco üzerinde portları shutdown no shutdown ederek sorunu çözebilirsiniz.

Zaman ayırıp okuduğunuz için teşekkür ederim. Takıldığınız yerde bana ulaşabilirsiniz.


İlginizi Çekebilecek Makaleler
DeepFake Nedir?
Siber Güvenlik

DeepFake Nedir?

Aralık 9, 2021 10:18

Deepfake teknolojisi, dünyadaki herhangi bir kişiyi, hiç katılmadıkları bir videoya veya fotoğrafa kusursuz bir...

Metaverse- Etik ve Mahremiyet
Siber Güvenlik

Metaverse- Etik ve Mahremiyet

Aralık 8, 2021 10:28

Metaverse, Dijital ve fizikselin genellikle meta veri deposu olarak adlandırılan bir yerde birleştirilmesiyle gerçekleşecek....

Mozilla Firefox Artık RLBox Korumalı
Siber Güvenlik

Mozilla Firefox Artık RLBox Korumalı

Aralık 7, 2021 4:17

Mozilla, güvenilmeyen kodun ve diğer güvenlik açıklarının “tedarik zinciri saldırıları kadar kazara kusurlara” neden...

Scada Sistemler ve Triton-Triconex
Siber Güvenlik

Scada Sistemler ve Triton-Triconex

Aralık 7, 2021 11:55

SCADA/ICS altyapısı sürekli tehdit altındadır. Bu sistemler, herhangi bir ulusun ekonomik sağlığı ve refahı...

Siber Güvenlik İçin Makine Öğrenimi
Siber Güvenlik

Siber Güvenlik İçin Makine Öğrenimi

Aralık 6, 2021 2:51

Siber güvenlik için makine öğrenimi, bizi siber saldırılardan koruma yeteneğini ele alıyor. Yine de,...

Saldırı Yüzeyi Nedir?
Siber Güvenlik

Saldırı Yüzeyi Nedir?

Aralık 6, 2021 11:01

Saldırı Yüzeyi Nedir? Yetkisiz bir kullanıcının bir sisteme erişebileceği ve verileri çıkarabileceği tüm olası...

Sflow, NetFlow ve SNMP Farkları Nelerdir?
Network

Sflow, NetFlow ve SNMP Farkları Nelerdir?

Aralık 5, 2021 6:02

Etkili ağ izleme ve trafik yönetimi, en yüksek ağ performansını sağlamak için hayati önem...

FortiClient EMS Kurulumu
Siber Güvenlik

FortiClient EMS Kurulumu

Aralık 4, 2021 3:00

FortiClient EMS kurulumu yapılabilmesi için tüm güncellemelerin önceden yapılmış olması gerekmektedir. Eksiksiz bir endpoint...

Olay Müdahalesi Nedir?
Siber Güvenlik

Olay Müdahalesi Nedir?

Aralık 3, 2021 1:54

Olay müdahalesi, bir kuruluşun saldırı veya ihlalin sonuçlarını (“olay”) yönetme girişimi de dahil olmak...

İletişim
OZZTECH Bilgi Teknolojileri olarak siber güvenlik danışmanlığı ve bilgi güvenliği eğitimleri alanlarında 10 yılı aşkın bir süredir ülkemizin önde gelen kurumlarına hizmet vermeye devam etmektedir. Detaylı bilgi ve danışmanlık hizmetlerimiz için aşağıdaki formu kullanarak veya [email protected] adresimiz üzerinden bizlerle iletişime geçebilirsiniz.