FortiGate & NGFW22 Mayıs 20269 dakika okuma

FortiGate High Availability (HA) Nedir? Active-Passive ve Active-Active Kurulumu

FortiGate HA, iki veya daha fazla cihazın birlikte çalışarak kesintisiz erişim sağlamasıdır. Active-Passive ve Active-Active modları, failover süresi, heartbeat bağlantısı ve HA kurulum adımlarını kapsamlı şekilde açıklıyoruz.

FortiGateHigh AvailabilityHAActive-PassiveActive-ActiveFailover

High Availability (HA) Nedir?

High Availability (HA), iki veya daha fazla FortiGate cihazının bir küme (cluster) oluşturarak kesintisiz hizmet sunmasıdır. Birincil cihaz arızalandığında ikincil cihaz saniyeler içinde devreye girerek ağ trafiğinin kesintisiz akmasını sağlar.

HA, kurumsal ağlarda firewall'ın tek başarısızlık noktası (single point of failure) olmasını önleyen kritik bir mimarik unsurdur.

FortiGate HA Modları

Active-Passive (A-P) Modu

En yaygın kullanılan HA modudur. Bir cihaz aktif olarak tüm trafiği işlerken, diğeri pasif konumda bekler ve heartbeat paketiyle aktif cihazı sürekli izler.

  • Failover: Aktif cihaz arızalandığında pasif cihaz 1-3 saniye içinde devreye girer
  • Performans: Pasif cihaz trafik işlemez, kapasite iki katına çıkmaz
  • Avantaj: Basit yapılandırma, düşük karmaşıklık, kolay sorun giderme
  • Dezavantaj: Pasif cihaz "boşa" çalışır — yatırım verimliliği düşer

Active-Active (A-A) Modu

Her iki cihaz da aktif olarak trafik işler. Master cihaz, gelen trafiği cluster üyeleri arasında dağıtır.

  • Performans: İki cihazın UTM işleme kapasitesi birleşir — yüksek trafik ortamlarında avantajlı
  • Failover: Bir cihaz düşerse diğeri tek başına devam eder
  • Avantaj: Her iki cihaz da aktif kullanılır, UTM throughput iki katına çıkar
  • Dezavantaj: Daha karmaşık yapılandırma, bazı özellikler A-A modda desteklenmez

HA Bileşenleri

Heartbeat Arayüzü

Cluster üyeleri birbirini heartbeat paketleri ile izler. Heartbeat bağlantısı kopan veya yanıt vermeyen cihaz arızalı kabul edilir. En az bir, tercihen iki bağımsız heartbeat bağlantısı önerilir.

Bağlantı türleri:

  • Doğrudan kablo bağlantısı (önerilen — en güvenilir)
  • Dedicated switch üzerinden bağlantı

Cluster Synchronization

Aktif ve pasif cihazlar arasında yapılandırma, oturum tablosu ve routing tablosu sürekli senkronize edilir. Bu sayede failover sırasında aktif TCP oturumları kesilmeden devam edebilir (session pickup).

Virtual MAC ve Virtual IP

HA cluster'ı ağa tek bir sanal MAC adresiyle görünür. Failover sırasında MAC adresi değişmediği için switch tabloları güncellenmez ve bağlantı kesintisi minimale iner.

FortiGate HA Kurulumu — Adım Adım

Ön Gereksinimler

  • Aynı FortiGate modeli (örn. her ikisi de FG-100F)
  • Aynı FortiOS sürümü
  • Aynı lisanslar (UTM, TP vb.)
  • En az 2 boş port heartbeat için ayrılmış

1. Primary (Master) Cihaz Yapılandırması

config system ha
    set mode a-p
    set group-name "LiderNetwork-HA"
    set group-id 1
    set password "HA_Cluster_Pass123"
    set priority 200
    set hbdev "port3" 50
    set hbdev "port4" 50
    set session-pickup enable
    set override enable
end

2. Secondary (Slave) Cihaz Yapılandırması

config system ha
    set mode a-p
    set group-name "LiderNetwork-HA"
    set group-id 1
    set password "HA_Cluster_Pass123"
    set priority 100
    set hbdev "port3" 50
    set hbdev "port4" 50
    set session-pickup enable
end

Priority değeri yüksek olan cihaz master seçilir. Secondary'de daha düşük priority verilir.

3. Cluster'ı Doğrulama

# Cluster durumunu görüntüle
get system ha status

# Beklenen çıktı:
# Model: FortiGate-100F
# Mode: HA A-P
# Group: 1
# Debug: 0
# Master: FG100F-Master (prio=200, id=0)
# Slave : FG100F-Slave  (prio=100, id=1)

Failover Testi Nasıl Yapılır?

Üretime geçmeden önce failover testini mutlaka yapın:

  1. Aktif trafik varken (ping, iperf vb.) master cihazın güç kablosunu çekin
  2. Slave cihazın master olarak devreye girdiğini doğrulayın
  3. Kesinti süresini ölçün (hedef: 3 saniye altı)
  4. Master cihazı geri bağlayın — override enable ise master rolüne geri döner

HA Yönetimi: Her Cihaza Ayrı Erişim

HA kurulumunda her cihazın yönetim IP'si ayrı tanımlanmalıdır — aksi halde slave cihaza ayrı erişim mümkün olmaz:

config system ha
    set ha-mgmt-status enable
    config ha-mgmt-interfaces
        edit 1
            set interface "mgmt"
            set gateway 192.168.100.1
        next
    end
end

Master'a cluster IP'sinden, slave'e ise ha-mgmt arayüzünün IP'sinden erişilir.

Yaygın HA Sorunları ve Çözümleri

  • Split-brain: Her iki cihaz da kendini master sanıyor — heartbeat bağlantısı kesilmiş olabilir. İki bağımsız heartbeat arayüzü bu riski minimize eder.
  • Senkronizasyon hatası: diagnose sys ha showcsum ile checksum karşılaştırması yapın
  • Failover çok uzun sürüyor: heartbeat-interval ve dead-time değerlerini düşürün
  • Session pickup çalışmıyor: Her iki cihazda da session-pickup enable olmalı

Sonuç

FortiGate HA, kurumsal ağlarda firewall katmanında kesintisizlik sağlamanın en güvenilir yoludur. Active-Passive mod çoğu senaryo için yeterli ve yönetimi kolaydır; yüksek UTM throughput gerektiren ortamlarda Active-Active değerlendirilebilir. Lider Network olarak FortiGate HA tasarımı, kurulumu ve failover testlerinde NSE sertifikalı mühendislerimizle yanınızdayız.

İlgili Makaleler

FortiGate & NGFW

FortiGate Nedir? Kurumsal Ağlarda Yeni Nesil Güvenlik

Oku FortiGate & NGFW

Fortinet Security Fabric: Entegre Güvenlik Ekosistemi

Oku FortiGate & NGFW

Kurumsal Şirketler İçin Doğru Firewall Nasıl Seçilir?

Oku
Tüm MakalelerÜcretsiz Altyapı Analizi