Dalam membangun desain network ada 3 aspek yang harus diperhatikan oleh seorang administrator jaringan
3 aspek tersebut sebagai berikut :
1.Confidentiality : Kerahasian suatu network menyangkut keamanan
2.Integrity : Proteksi keamanan dan pencegahan dari serangan
3.Availability : Menyediakan sumber daya jaringan yang dapat diakses kapanpun (anti failure kasarnya,wk..wk.wk.)
Availability disini adalah redudansi(sumber daya cadangan) pada network,jadi user kapanpun dapat mengakses dan menggunakan jaringan tersebut untuk kebutuhan-kebutuhan yang diperlukan user,kita tidak mau kan,pas mau gajian tiba-tiba servernya/jaringannya mati,terus telat gajian,wk..wk..wk..
seperti point 3 yang kita bicarakan yaitu diatas sumber daya cadangan ,fortigate menyediakan fitur tersebut,berbeda dengan protocol old school seperti vrrp,hsrp..pada HA ini gak perlu capek ngonfig and nyamain antar perangkat
Fortigate Clustering Protocol
pada contoh gambar diatas,ada 2 perangkat yang harus dikonfigurasikan manual oleh seorang administrator jika kita menggunakan VRRP/HSRP dan belum lagi jika ada penambahan konfigurasi ketika ditengah operasional kantor misalnya,bisa dibayangkan repotnya?? wk..wk.wk..
Pada HA Selaku FGCP menyediakan service bagi HA antara lain :
1.memastikan dan discovery perangkat fortigate mempunyai HA group yang sama
2.synchronize configuration
3.memilih device yang mana yang akan menjadi primary dan secondary
4.mendeteksi bila adanya failure
kita lihat yuk perbedaan bila menggunakan HA sebagai redudansi dibanding protocol old school
Pada gambar tersebut seorang administrator hanya cukup mengkonfigurasi pada device active(primary) jika telah mengkonfigurasi pada device primary,device backup/secondary akan mensinkronisasikan konfigurasi pada device
active(primary),jadi HA ini sangat fleksible kan selain dapat memonitor dan sinkronisasi konfigurasi antar perangkat(checksum) selain itu bisa juga dapat mensikronisasi distribusi session trafic(active-active mode),oh iya pada fortigate juga akan selalu mengirimkan hello packet secara periodik,untuk mengecek perangkat active apa enggak..(antar satu perangkat care banget eaaa,selalu mengirimkan hello packet,hello kamu sehat sayang..masih hidup?? wk..wk..wk.)
btw untuk synkronisasi tersebut bisa kita compare caranya ketik dalam CLI keduanya pastikan sama checksum/sequencenya
FGT-01 # diagnose sys ha checksum cluser
FGT-01 # diagnose sys ha checksum show
Election Of HA
By default overide pada fortigate adalah disable,maka fortigate untuk memilih primary device berdasarkan berikut :
1.Link UP : Fortigate akan memilih dengan monitor interface siapa yang interfacenya paling duluan up itulah yang akan dipilih sebagai device primary.
2.Uptime :Yang perangkatnya duluan nyala
3.Priorty : yang prioritynya high
4.Serial number : serial number yang tinggi
Untuk Konfigurasinya yuk kita coba
sebelum nyoba HA pastikan device agan mempunyai spek tipe fortigate yang sama yak..(memory,cpu,dll) and untuk topologinya sebagai berikut
1.Masuk Ke Menu HA ,Klik menu system HA
Klik Ok bila hasilnya belum synchronized seperti berikut :
bisa agan ketik pada command line
FGT-01#execute ha synchronize start
Pastikan hasilnya sudah ngesyc seperti dibawah ini :
Bisa dilihat untuk HA statusnya
No.1 : cluster assign Heartbeat IP Address Interface berdasarkan dari higher serial number kalau 169.254.0.1(highest SN),169.254.0.2(second high SN) dan seterusnya
No.2:Priority yang tinggi menjadi master(primary)
Virtual Mac-Address
Setelah mengkonfigurasikan HA agan bisa lihat setiap interface akan mempunyai virtual-mac address,virtual mac address sendiri mempunyai fungsi untuk mengurangi masa failure(biar gak lama lah gitu) dan untuk mencegah conflict pada broadcast domain yang sama virtual mac-address hanya ada pada 1 perangkat saja(primary).
lalu bagimana dengan mode active-active ??
Agan bisa lihat pada gambar diatas ketika mode active-active ketika client mengirimkan syc melalui virtual mac pada box primary,maka selanjutnya box primary bila akan meneruskan ke box secondary,mac-address akan dirubah menjadi physical mac-address selanjutnya box secondary akan mengirimkan physical mac ke server dan akan di kembalikan ke client dengan fiskal mac -address juga,begitupun ketika client akan mengembalikan ACK sama saja flownya.
oke kita lanjut yuk,hmmm dah sampe mana ya?? wk..wk.wk.lupa
Management Interface
Nah kalau lihat di konfigurasi pada konfigurasi keduanya memiliki IP management yang sama,so jadi agan gak bisa masuk ke dalam box/perangkat secondary,terus gimana dong?? ya kita buat management interfaces keleuss
Kita bisa cek terlebih dahulu pada FGT-01 dan FGT-02
caranya biar masuk ke box 2(perangkat secondary)
FGT-01 # execute ha manage 0 admin
Warning: Permanently added ‘169.254.0.1’ (ED25519) to the list of known hosts.
FGT-02 #
lalu kita buat ip managementnya
FGT-02 # config system ha
FGT-02 (ha) # set ha-mgmt-status enable
FGT-02 (ha) # config ha-mgmt-interfaces
FGT-02 (ha-mgmt-interfaces) # edit 0
new entry ‘0’ added
FGT-02 (0) # set interface VLAN-99
FGT-02 (0) # set gateway 192.168.137.1
setelah itu kita buat IP Interface pada Box 2
FGT-02 # sho system interface VLAN-99
config system interface
edit “VLAN-99”
set ip 192.168.137.201 255.255.255.0
set allowaccess ping https ssh http telnet
set device-identification enable
set role lan
set snmp-index 12
set interface “port1”
set vlanid 99
next
end
sekarang agan bisa login box1 dan box2 dengan IP Management masing-masing
Sekarang Kita Coba yuk untuk testing HA-Failovernya,kita matikan box1 perangkatnya
Box2 sudah menjadi master(primary),and sekarang kita kembalikan box1 kita aktifkan kembali
Loh hasilnya Masternya masih di box 2(FGT-02/secondary) kok gak pindah ya??tenang gan untuk mengembalikan ke box1 menjadi primary/master kita bisa ketikkan di CLI
FGT-02 # diag sys ha reset-uptime
maka hasilnya primary kembali ke box 1(FGT-01)
Coba lihat atau dibaca kembali keatas election of HA,karena basicnya overide disable maka yang menjadi master adalah berdasarkan uptime untuk itu kita harus mengetikkan diag sys ha reset uptime,jika ingin auto kembali ke box primary,masuk melalui CLI
FGT-01 # config system ha
FGT-01 (ha) # set override enable
Ocre Gan
Semoga Bermanfaat
Dani.P.N 