Fortinet - Fortigate Ha Cluster Heartbeat Ips

I nodi del cluster Fortinet utilizzano le interfacce di Heartbeat per scambiare informazioni e per sincronizzare i nodi. In fase di configurazione del cluster, quando si selezionano le interfacce da utilizzare per l'heartbeat, non è necessario impostare un ip su di queste, dato che in automatico provvede il sistema stesso ad un'assegnazione in automatico. Il protocollo FGCP utilizza gli ip assegnati in automatico per scambiare le informazioni necessarie di default una volta ongi 200ms utilizzando la porta TCP 703. Sui nodi firewall viene assegnato un ip per l'interffaccia di heartbeat prelevandolo dalla classe 10.0.0.0/24 secondo questa logica: 10.0.0.1 al nodo primario, 10.0.0.2 al secondario, 10.0.0.3 a quello successivo e così via. Un'interfaccia del firewall può trasportare sia traffico dati che il traffico heartbeat, anche se in questo caso si dovrebbero valutare le possibili implicazioni di sicurezza ed eventuale stabilità del cluster. Ovviamente è consigliato riservare una o più interfacce al traffico di heartbeat. Riguardo al dubbio di poter utilizzare contemporaneamente la stessa classe di ip 10.0.0.0/24 anche su un'altra interfaccia utilizzata per il normale traffico dati, la risposta è si, è possibile. Infatti per il traffico di heartbeat viene utilizzato un VDOM dedicato, chiamato vsys_ha, in cui gli ip assegnati per l'heartbeat sono assegnati a un'interfaccia virtuale chiamata port_ha. Questo fa si che il traffico dati e quello heartbeat possano viaggiare anche sulla stessa interfaccia fisica ma rimanere separati logicamente in quanto appartenenti a due VDOM differenti.