Heutzutage ist der Zugriff auf das Internet und die Netzwerkressourcen eines Unternehmens oder einer Universität unerlässlich. Während der Pandemie arbeiten und lernen die meisten Menschen aus der Ferne. Deshalb ist die Kontinuität des Betriebs der IT-Infrastruktur so wichtig. Elektronische Geräte können unzuverlässig sein, aber es gibt Mechanismen, die das Risiko einer Netzwerkunverfügbarkeit verringern können. Bei HA-Lösungen (High Availability), also Hochverfügbarkeit, handelt es sich in erster Linie um die Einführung redundanter IT-Infrastrukturelemente, wodurch die Netzwerkverfügbarkeit erhöht wird. Nachfolgend finden Sie einige interessante Lösungen, die Sie dank Fortinet-Geräten und mehr problemlos implementieren können.
FortiGate HA-Cluster
FortiGate ist das Flaggschiffprodukt von Fortinet, das die Funktionalitäten eines Routers und einer NGFW (Next Generation Firewall) vereint. Mit der HA-Lösung für FortiGate-Geräte können Sie die Zuverlässigkeit des Netzwerkbetriebs erhöhen. Zwei bis vier Geräte, die über sogenannte Heartbeat-Links miteinander verbunden sind, bilden einen HA-Cluster. Für Heartbeat-Verbindungen finden Sie am Gerät dedizierte HA- oder HA1- und HA2-Ports. Einige FortiGate-Geräte verfügen möglicherweise nicht über HA-Ports. Machen Sie sich darüber keine Sorgen, während der Konfiguration können Sie jeden verfügbaren physischen Port des Geräts verwenden (mit Ausnahme der internen Switch-Ports).
Denken Sie daran, dass die Geräte, die Sie zu einem Cluster verbinden möchten, vom gleichen Typ (Hardware) sind und über die gleiche Version des FortiOS-Betriebssystems (Firmware) verfügen. Wenn Sie den vollen Funktionsumfang des Systems nutzen möchten, sollten Sie für alle Geräte im Cluster identische Lizenzen erwerben. Andernfalls bestimmt die niedrigste Lizenz die Betriebsfähigkeit des gesamten Systems. Jedes Gerät sollte über denselben Port mit dem LAN, WAN und Internet verbunden sein. Fortinet empfiehlt die Verwendung fester IP-Adressen an den Schnittstellen der Geräte im Cluster.
FortiGate verwendet FGCP, um Fehler im Cluster zu erkennen. Das FortiGate Clustering Protocol (FGCP) überträgt Informationen über Heartbeat-Links und synchronisiert den Cluster. In regelmäßigen Abständen versendete Hello-Pakete geben Auskunft über den Status des Clusters. Wenn Sie einen Switch verwenden, um HA-Ports in FortiGats zu verbinden, denken Sie daran, diesen Datenverkehr von anderen Geräten zu trennen, vorzugsweise mit einem dedizierten VLAN.
Sie können den Cluster auf zwei Arten konfigurieren: Aktiv-Aktiv und Aktiv-Passiv .
Im Aktiv-Passiv- Modell gibt es nur ein Gerät, das den Datenverkehr aktiv verarbeitet (aktiv/primär). Das zweite Gerät im Passivmodus überwacht den Status des ersten Geräts und übernimmt im Fehlerfall den Datenverkehr. Die Clusterleistung entspricht der Leistung jedes einzelnen Geräts im Cluster. Der Ausfall eines Geräts im Cluster beeinträchtigt die Systemleistung nicht.
Im Aktiv-Aktiv- Modell verarbeiten alle Geräte im Cluster den Datenverkehr. Das primäre Gerät empfängt den gesamten Datenverkehr und verteilt ihn an die anderen. Die Leistung eines Clusters ist größer als die Leistung eines einzelnen Geräts. Der Ausfall eines Geräts im Cluster verringert die Systemleistung.
Eine beispielhafte Netzwerktopologie mit einem HA-Cluster könnte wie folgt aussehen:
Internetverbindungen werden auf dem Switch von der WAN-/Internetseite terminiert und dann mit Ports auf FortiGate-Routern im Cluster verbunden. Auf der LAN-Seite ist es ähnlich. Der Cluster kann auch die Schnittstellen überwachen, die den wichtigsten Datenverkehr übertragen, und reagieren, wenn eine der Verbindungen ausfällt. Ein Ausfall der Schnittstelle/des primären Geräts im Ethernet/Broadcast-Netzwerk führt dazu, dass das ARP-Protokoll Netzwerkbenutzer über die Änderung der Schnittstelle für die (virtuelle) MAC-Adresse informiert, ähnlich wie die Protokolle HSRP, GLBP, VRRP.
FortiGate SD-WAN
Hochverfügbarkeit bedeutet nicht nur Redundanz von Geräten im Netzwerk, sondern auch Redundanz von Internet-/WAN-Verbindungen. SD-WAN (Software-Defined Wide Area Network) ist eine Technologie, die die Zusammenarbeit mehrerer Internet-/WAN-Verbindungen unterschiedlicher Technologien und Anbieter ermöglicht. FortiGate erstellt eine virtuelle SD-WAN-Schnittstelle, die ausgewählte physische Schnittstellen zusammenführt. Dies vereinfacht die Router-Konfiguration (Routing-Tabelle, Firewall-Regeln usw.). Die SD-WAN-Schnittstelle verfügt über umfangreiche Konfigurationsmöglichkeiten. Damit können Sie den Datenverkehr so steuern, dass Sie ihn an Ihre Bedürfnisse anpassen und die Netzwerkleistung maximieren können.
SD-WAN-Verkehrsverteilungsmethoden, Lastausgleich:
Spillover – der gesamte Datenverkehr wird zum ersten Link geleitet. Überschreitet er einen bestimmten Schwellenwert, wird der verbleibende Verkehr zum nächsten Link weitergeleitet. Sie können den Schwellenwert frei konfigurieren.
Sitzungen – Der Datenverkehr wird entsprechend der angegebenen Schnittstellengewichtung weitergeleitet, z. B. 60 % und 40 % zum entsprechenden Link. Der Datenverkehr wird basierend auf der Anzahl der der Ausgabeschnittstelle zugewiesenen Sitzungen weitergeleitet.
Volumen – Der Datenverkehr wird wie zuvor gemäß der angegebenen Schnittstellengewichtung geleitet, jedoch basierend auf der in Paketen gezählten Datenverkehrsmenge.
Quell-IP – Datenverkehr von einer Quell-IP wird immer an dieselbe Ausgabeschnittstelle weitergeleitet. Der Datenverkehr wird gleichmäßig auf die Ausgabeschnittstellen aufgeteilt.
Quell-Ziel-IP – Datenverkehr von einer bestimmten Quell-IP zu einer bestimmten Ziel-IP wird immer an dieselbe WAN-Schnittstelle weitergeleitet. Der Datenverkehr wird gleichmäßig auf die Ausgabeschnittstellen aufgeteilt.
Darüber hinaus können Sie Ihre eigenen Traffic-Routing-Regeln erstellen, indem Sie Kriterien festlegen und die Auswahlmethode für die Ausgabeschnittstelle konfigurieren. Zu diesem Zweck bietet SD-WAN vier zusätzliche Strategien: Manuell, Beste Qualität, Niedrigste Kosten (SLA), Maximize Bandwidth (SLA). Hier können Sie SLA, Schnittstellenpräferenzen und Kostenanforderungen definieren.
Darüber hinaus überwacht SD-WAN die Qualität der Internetverbindung mittels Ping, http, DNS sowie TCP- und UDP-Echo (Performance SLA). Es untersucht Paketverlust, Verzögerung und Jitter für jede Verbindung und wählt dynamisch die beste aus. Jitter ist eine Änderung der Paketverzögerung, ein wichtiger Parameter für VoIP, Video und Streaming.
Die Haupt-Internetverbindung wird meist als Hochgeschwindigkeits-Glasfaserkabel oder Kupferkabel im Ethernet-Standard realisiert. Eine Backup-Verbindung bedeutet mehr Vielfalt. Die beste Lösung ist eine Verbindung mit ähnlichen Parametern wie die Basisverbindung, die von einer unabhängigen Infrastruktur eines anderen Anbieters bereitgestellt wird. Eine andere Lösung ist ein Mobilfunkanbieter, der 4G/5G-Dienste anbietet. Sie können ein solches Funkmodem auf zwei Arten mit dem FortiGate-Gerät verbinden: über die Ethernet-Schnittstelle oder den USB-Anschluss. Sie finden PPPoE-Verbindungen und dedizierte Funkleitungen in lizenzierten und nicht lizenzierten Bändern. Das Wichtigste ist nicht die Implementierungstechnologie, sondern die Tatsache, dass der Backup-Link vorhanden ist.
LAG-Port-Aggregation
Die Technologie, die mehrere physische Schnittstellen zu einer logischen LAG-Schnittstelle (Link Aggregation) zusammenfasst, wird als Port-Aggregation bezeichnet. Mit der Aggregation können Sie den Verbindungsdurchsatz erhöhen und die Kommunikationskontinuität aufrechterhalten, wenn eine der Schnittstellen oder Links nicht mehr funktioniert. Für diese Aufgabe nutzt es das im Standard IEEE 802.1AX (ehemals 802.3ad) veröffentlichte LACP-Protokoll (Link Aggregation Control Protocol). LAG erfordert, dass jede physische Schnittstelle im Vollduplexmodus arbeitet und die gleiche Datenübertragungsrate aufweist. Und außerdem: parallele Punkt-zu-Punkt-Verbindung und Terminierung an einem Switch oder Server. Sie können LACP in zwei Modi konfigurieren: passiv und aktiv. Active sendet LACPDU-Frames (Link Aggregation Control Protocol Data Unit), unabhängig von der Konfiguration der anderen Partei. Der Passive sendet LACPDU-Frames nur, wenn sich die andere Seite im aktiven Modus befindet. Das LACP-Protokoll ermöglicht eine schnellere Identifizierung von Fehlern und Ausfällen.
Das in der Abbildung unten gezeigte Beispiel zeigt den Unterschied, der auftritt, wenn zwei Switches über zwei Ethernet-Kabel verbunden werden. Wenn sie nicht aggregiert sind, blockiert STP (Spanning Tree Protocol) einen von ihnen, um Schleifen zu vermeiden. Aus diesem Grund verwenden wir nur einen Link. Durch die Schaffung einer LAG haben wir viel größere Möglichkeiten, Netzwerkressourcen zu nutzen.
FortiGate-Geräte ermöglichen die IPsec-Tunnelaggregation (ipsec-aggregate). Wenn Ihnen zwei Internetverbindungen zur Verfügung stehen, können Sie über zwei unabhängige Internetrouten VPN-Tunnel zum Ziel einrichten. Sollte einer Ihrer Linkanbieter ausfallen, steht Ihnen ein zweiter alternativer Weg zur Verfügung. Um es zu verwenden, konfigurieren Sie zwei einzelne IPsec-Tunnel auf verschiedenen WAN-Schnittstellen. Erstellen Sie eine Aggregationsschnittstelle und weisen Sie dieser Aggregationsschnittstelle VPN-Tunnel zu. Anschließend konfigurieren Sie Routing- und Firewall-Regeln mithilfe der neuen Aggregationsschnittstelle. Dies vereinfacht die Konfiguration (Routing, Firewall, NAT). Darüber hinaus können Sie den Verkehrsverteilungsalgorithmus konfigurieren – Lastausgleich für IPsec-Tunnel: L3, L4, Round-Robin und redundant.
FortiLink
Der FortiGate-Router ist mit einem Switch-Controller ausgestattet, mit dem Sie Switches verwalten können. FortiGate erfordert eine Verbindung zu nur einem FortiSwitch, um die anderen Switches im LAN zu verwalten. Diese Verbindung wird FortiLink (ein Fortinet-Protokoll) genannt. Für diese Aufgabe finden Sie auf jedem FortiSwitch- und FortiGate-Modell bestimmte Ports. Meistens sind dies die letzten Ports in Switches. Das FortiLink-Protokoll bietet automatische Erkennung, Konfiguration, Software-Updates usw. Sie können mehrere Geräte von einem FortiGate-Gerät aus verwalten. FortiLink kann mehr als einen physischen Port verwenden und eine LAG (Link Aggregation) oder MCLAG (Multichassis LAG) erstellen.
FortiLink und MCLAG können mit herkömmlichem Switch-Stacking verglichen werden. Der Unterschied besteht darin, dass alle Fortinet-Geräte von einem Ort aus verwaltet werden: FortiGatea. Dieser Ansatz erleichtert die Konfiguration, Verwaltung von Sicherheitsrichtlinien und sogar die Aktualisierung der Software einzelner Geräte im Netzwerk.
Eine gut konzipierte IT-Infrastruktur verfügt über viele verschiedene HA-Mechanismen und -Technologien. Dies ist zwar mit einem höheren finanziellen Aufwand verbunden, bietet aber jederzeit Betriebssicherheit und Sicherheit. Die Frage müssen Sie selbst beantworten: Ist Ihre IT-Infrastruktur ausreichend vor Ausfällen geschützt?
Kontaktieren Sie uns – zunächst führen wir ein IT-Audit durch und wählen dann geeignete Lösungen aus, um die Funktionsweise Ihres Unternehmens zu verbessern und zu unterstützen.
Unser Angebot umfasst ein breites Spektrum an IT-Dienstleistungen , die von erfahrenen IT-Spezialisten auf Basis modernster Lösungen erbracht werden.
24/7- Helpdesk , Serververwaltung oder Cloud-Dienste ? Rufen Sie uns an und finden Sie heraus, was wir Ihnen bieten können.
Quellen:
- https://docs.fortinet.com
- FortiGate Infrastructure Study Guide (NSE4)
Piotr Gawin
Netzwerkadministrator bei Support Online
