FortiGate Kümeleme Protokolü ile Yüksek Erişilebilirlik
FortiGate Kümeleme Protokolü uygulamalarınızda aşağıda verdiğimiz önerilerimizi uygulayarak yüksek erişilebilirlik elde edebilirsiniz.
- Fortigate kümeleme protokolü uygulamaya başlamak için ilk önce Active-Active HA’yı kullanarak TCP ve UTM oturumlarını birden çok küme birimi arasında dağıtabilirsiniz. Active-Active bir küme, bağımsız bir FortiGate biriminden veya Active-Passive bir kümeden daha yüksek verim almanızı sağlayacaktır.
- Bir HA kümesini konfigüre ederken her FortiGate birimi için farklı bir ana bilgisayar(host) adı kullanın. HA’yı yapılandırmadan ve bir küme oluşturmadan önce her küme birimine ana bilgisayar adları eklemek için daha az adım gerekir.
- Eğer HA sinyali için kullanılan arabirimlere bir Takma Ad (Alias) eklerseniz, her zaman bu arabirimlerin ne için kullanıldığına dair hatırlatma alırsınız.
load-balance-all
işlemini etkinleştirmek, daha fazla trafik load balanced (dengeli) olduğundan dolayı cihaz ve ağ yükünü(load) artırabilir. FortiGate biriminin ve IPS’nin güvenlik duvarı yeteneklerini kullanan bir dağıtımda kullanım için bu işlem uygun olabilir, ancak başka bir içerik denetimi yapılmaz.- Oturum başlatma avantajlarından birisi, non-content inceleme oturumlarının bir failover işleminden sonra yeni birincil birim tarafından alınmasıdır. Dezavantajı ise, oturum tablosunun daha büyük bir bölümünün senkronize edilmesi gerektiğinden, kümenin oturum başlatmayı desteklemek için daha fazla sinyal trafiği oluşturmasıdır. Oturum başlatma sadece gerekirse konfigüre edilmelidir ve SOHO FortiGate modelleriyle kullanılması önerilmez. Oturum başlatma yalnızca birincil sinyal bağlantısı ayrılmışsa kullanılmalıdır. Aksi halde, ek HA sinyal trafiği ağ performansını etkileyecektir.
- Eğer oturum başlatma seçilmezse, bir cihaz veya bağlantı failoverdan sonra tüm oturumlar kısa bir süreliğine kesilir ve küme yeniden anlaştıktan sonra uygulama düzeyinde tekrardan kurulmalıdır. Örneğin, bir failover işleminden sonra, web’de gezinen kullanıcılar, taramaya devam etmek için tarayıcılarını yenileyebilir. Büyük dosyaları indiren kullanıcıların, failover işleminden sonra indirmelerini yeniden başlatmaları gerekebilmektedir. Diğer protokoller veri kaybı yaşayabilir ve bazı protokoller, oturumların yeniden manuel olarak başlatılmasını gerektirebilir. Örneğin, FTP ile dosya indiren bir kullanıcının muhtemelen indirmeleri ya da FTP istemcisini yeniden başlatması gerekebilir.
- Oturum başlatmayı etkinleştirmeniz gerekiyorsa, senkronize edilen oturumların sayısını azaltarak performansı artırmak için
session-pickup-delay
etkinleştirebilirsiniz. - Oturum senkronizasyon trafiğini HA sinyal bağlantısından bir veya daha fazla ayrılmış oturum senkronizasyon arayüzüne taşımak için
session-sync-dev
seçeneğini kullanabilirsiniz. - Beklenmeyen sonuçlar yaşamamanız için, bir aktif-pasif kümede birden fazla yedekli veya toplu arabirime bir switch bağladığınızda, switch üzerinde ayrı olarak her küme biri için bir tane yedekli veya toplu arabirimler yapılandırmanız gerekir.
- Failover mesajları için bir kümeyi izlemek için SNMP, syslog veya e-posta uyarılarını kullanın. Çünkü Küme failoverla ilgili uyarı mesajları, ağ sorunlarının hızlı ve verimli bir şekilde bulunmasına ve tanılanmasına yardımcı olacaktır.
Fortinet Sinyal Bağlantıları
Fortinet, sinyal bağlantıları arayüzleriyle ilgili aşağıdaki uygulamaları öneririz:
HA sinyal bağlantısı için FortiGate switch bağlantı noktası kullanmayın. Herhangi bir HA arayüzü yoksa, bir switch bağlantı noktasını ayrı bir (individual) arayüze dönüştürün.
- En az iki sinyal arabirimi konfigüre edin ve bu arabirimleri farklı öncelikleri olacak şekilde ayarlayın.
- İki FortiGate biriminden oluşan kümeler için, mümkün olduğunca, sinyal bağlantısı arayüzleri patch kablolar kullanılarak diğer ağ ekipmanlarını kullanmadan direkt bağlanmalıdır. Switchlerin kullanılması gerekiyorsa, switchleri doldurabilecek ve sinyal bağlantılarının gecikmelerine neden olabilecek diğer network trafiği için kullanılmamalıdır.
- Özel bir switch kullanamıyorsanız, atanmış bir VLAN kullanmanız, sinyal trafiğini ve oluşturduğu bant genişliğini koruyabilmek için yayın alanını sınırlamaya yardımcı olabilir.
- Üç veya dört FortiGate ünitesinden oluşan kümelerde, sinyal bağlantısı arayüzlerini bağlamak için switchleri kullanmalısınız. Kümedeki her FortiGate biriminin karşılık gelen sinyal bağlantısı arayüzü aynı Switche bağlanmalıdır. Gelişmiş yedek sağlayabilmeniz için her bir sinyal bağlantısı arayüzü için farklı bir anahtar kullanmalısınız. Böylece, sinyal bağlantısı arayüzlerinden birini bağlayan switchin bozulması veya takılmaması durumunda bile sinyal bağlantısı trafiği diğer arayüzlerinde devam edebilir ve geçiş yapabilecektir.
- Diğer kullanıcı ağlarından sinyal bağlantısı arayüzlerini ayırın. Sinyal bağlantısı paketleri, hassas küme yapılandırma bilgilerini barındırır ve önemli miktarda ağ bant genişliği harcar. Küme iki FortiGate biriminden oluşuyorsa, bağlantı noktası arayüzlerini doğrudan bir çapraz kablo veya normal bir Ethernet kablosu kullanarak bağlayın. İkiden fazla birimi olan kümeler için, sinyal arabirimlerini herhangi bir ağa bağlı olmayan ayrı bir switche bağlayın.
Sinyal trafiği kullanıcı networklerinden ayırılmazsa, küme bilgilerini koruyabilmek adına sinyal mesajı şifrelemesini ve kimlik doğrulamasını etkinleştirin. - Yedek sinyal arabirimlerini yapılandırın ve bağlayın, böylece bir sinyal arayüzü arızalanırsa veya bağlantısı kesilirse, HA sinyal trafiği yedek sinyal arabirimi kullanılarak iletilmeye devam edecektir. Sinyal bağlantısı iletişimi başarısız olursa, tüm küme üyeleri, Bölünmüş beyin olarak adlandırılan bu durumda, ağ üzerinde aynı IP adreslerine ve MAC adreslerine sahip birden fazla cihazla sonuçlanan birincil birim olduklarını düşünür ve sinyal bağlantısı iletişimi yeniden kurulana kadar iletişim kesintiye uğrar.
- Özel sinyal bağlantısı arayüzlerini izlemeyin; bunun yerine arızası bir aygıt failover tetiklemesi gereken arabirimleri izleyin.
- NP4 veya NP6 ile ilgili sorunların sinyal bağlantısı trafiğini etkilemesini önleyebilmek için, en az bir sinyal bağlantısı arabirimi bir NP4 veya NP6 işlemcisine bağlanmamalıdır.
- Mümkün olduğunda, sinyal arabirimleri ağ trafiğini de işleyen bir NP4 veya NP6 işlemcisine bağlanmamalıdır.
- Mümkün olduğunda, her bir kalp atışı arabirimi farklı bir NP4 veya NP6 işlemcisine bağlanmalıdır.
- Herhangi bir FortiGate arabirimi, 10/100/1000Base-T, SFP, QSFP fiber ve bakır vb. dahil olmak üzere bir sinyal bağlantısı arabirimi olarak kullanılabilir. Böylece sinyal bağlantısı arabirimleri olarak iki veya daha fazla arabirim kurulumu yaparsanız her ara birimde farklı bir tür ve hız olabilir.
Arayüz İzleme (Port Monitoring)
- Arayüz izlemeyi etkinleştirmenizden önce, bir küme çalışır duruma gelene kadar ve tüm arabirimler bağlanana kadar beklemelisiniz. Aksi halde, İzlenen bir arabirimin bağlantısı, ilk kurulum sırasında kolayca kesilebilir ve küme tamamen konfigüre edilip test edilmesinden önce failoverların oluşmasına neden olabilir.
- Yüksek öncelikli trafiği işleyen ağlara bağlı arabirimleri izleyin, böylece bir hata oluşması durumunda kümenin bu ağlara olan bağlantıları korur.
- Bütün arabirimler için arabirim izlemeyi konfigüre etmemeye çalışın.
- Uzak (remote) bağlantı failover ile ek arayüz izlemeyi tamamlayın. Bir küme birimine doğrudan bağlı olmayan bir bağlantı başarısız olursa, paket akışını sürdürmek için uzak bağlantı failoverını yapılandırın. Örnek verecek olursak, bir küme arabirimine bağlı bir anahtar ile ağ arasında bağlantı başarısız olursa uzak bağlantı failoverını konfigüre etmelisiniz.
Fortigate en iyi öneriler (fortigate best practise) serimizin dokuzuncu bölümünün sonuna geldik. Okuduğunuz için teşekkür ederiz. Umarız işinize yarayacaktır.
Fortinet Best Practise serimizin bir önceki bölümünde anlattığımız Ağ Yapılandırması- Networking konulu yazımıza ulaşmak için tıklayabilirsiniz.