Sora Yazılım
Deutsch
Maßgeschneiderte Softwarelösungen aus der Türkei

FortiGate Hochverfügbarkeit (HA) konfigurieren – Leitfaden

Sora Yazılım Ekibi

FortiGate HA (Hochverfügbarkeit) betreibt zwei oder mehr Geräte als Cluster, sodass der Dienst beim Ausfall eines einzelnen Geräts unterbrechungsfrei weiterläuft. Das FGCP-Protokoll synchronisiert Konfiguration und Sitzungen; bei Ausfall übernimmt das Standby-Gerät.

Was ist HA und welche Modi gibt es?

HA (Hochverfügbarkeit) ist ein Clustering-Ansatz, der mehrere FortiGates als eine logische Firewall betreibt; es gibt zwei Hauptmodi: Active-Passive (Failover) und Active-Active (Lastteilung).

Im Active-Passive-Modus ist ein Gerät primär und verarbeitet den Verkehr, während das andere als sekundäres Gerät synchron wartet. Fällt das Primärgerät aus, übernimmt das Sekundärgerät binnen Sekunden. Wegen seiner Vorhersehbarkeit und Einfachheit ist dieser Modus die häufigste Wahl.

Im Active-Active-Modus verteilen die Cluster-Mitglieder insbesondere die UTM-Scan-Last, um den Durchsatz zu erhöhen. Das Verkehrsmanagement ist komplexer und passt nicht zu jedem Szenario.

Vor dem Aufbau von HA muss bei beiden Geräten die Grundeinrichtung abgeschlossen sein; siehe unseren Leitfaden zur FortiGate-Installation und Erstkonfiguration.

FGCP-Clustering und Synchronisation

FGCP (FortiGate Clustering Protocol) synchronisiert Konfiguration und Sitzungstabelle zwischen Cluster-Mitgliedern, wählt das Primärgerät und überwacht die Gesundheit per Heartbeat.

Beim Bilden eines Clusters bestimmt FGCP das Primärgerät anhand von Priorität, Seriennummer und Override-Einstellungen. Konfigurationsänderungen werden automatisch auf das andere Mitglied kopiert, sodass beide Geräte dieselben Regeln tragen.

Ist die Sitzungssynchronisation aktiviert, bleiben bestehende Sitzungen beim Failover erhalten und Nutzer arbeiten ohne Abbruch weiter. Heartbeat-Interfaces lassen die Mitglieder die Lebendigkeit des anderen laufend prüfen; mindestens zwei Heartbeat-Verbindungen werden empfohlen.

KomponenteFunktion
Heartbeat-InterfaceLebendigkeits- und Sync-Kanal zwischen Mitgliedern
PrioritätWahlpriorität des Primärgeräts
Session-SyncErhalt der Sitzungen beim Failover
OverrideErzwingt, dass das bevorzugte Gerät primär bleibt

Den HA-Cluster aufbauen

Die HA-Einrichtung erfolgt, indem zwei identische Geräte auf dieselbe Firmware gebracht, der HA-Modus und Gruppenname gesetzt, Heartbeat-Interfaces definiert und die Geräte physisch verbunden werden.

Stellen Sie sicher, dass beide Geräte dasselbe Modell und dieselbe FortiOS-Version haben. Wählen Sie unter System > HA den Modus (Active-Passive), legen Sie Gruppennamen und Gruppenpasswort fest und konfigurieren Sie Heartbeat-Interfaces und Priorität.

Verbinden Sie die Heartbeat-Interfaces direkt (oder über einen dedizierten Switch). Beim Speichern fügt FGCP die Geräte automatisch zu einem Cluster zusammen und startet die Synchronisation.

  • Bringen Sie beide Geräte auf dieselbe Firmware-Version.
  • Setzen Sie HA-Modus, Gruppennamen und Passwort.
  • Definieren Sie mindestens zwei Heartbeat-Interfaces.
  • Setzen Sie Priorität und bei Bedarf Override-Werte.
  • Verifizieren Sie Synchronisation und Cluster-Status.

Failover, Monitoring und Link Monitoring

Failover ist die Übernahme durch das Standby-Gerät, wenn das Primärgerät oder ein überwachter Link ausfällt; mit Link Monitoring wird auch der Zustand kritischer Interfaces als Failover-Auslöser genutzt.

Nicht nur ein Geräteausfall, sondern auch der Verlust eines überwachten WAN/LAN-Links kann ein Failover auslösen. Definieren Sie überwachte Interfaces (Link Monitoring), damit der Cluster auf das gesunde Mitglied umschaltet, wenn ein kritischer Uplink ausfällt.

Verifizieren Sie Failover-Zeit und -Verhalten in einer Testumgebung. Mit aktiviertem Override wird das bevorzugte Gerät nach der Reparatur wieder primär; nutzen Sie dies bei bewusstem Preempt-Verhalten, doch es kann auch unnötige Failovers verursachen.

Zur Bewertung von Failover-Tests und Performance-Auswirkung siehe unseren Leitfaden zu Performance-Optimierung und Best Practices.

Best Practices bei HA

Best Practices sind identische Hardware/Firmware, redundante Heartbeat-Links, das Testen von Failover-Szenarien und die laufende Überwachung des Cluster-Status.

Halten Sie Cluster-Mitglieder stets auf demselben Modell und derselben Firmware-Version; Abweichungen verursachen Synchronisationsfehler. Nutzen Sie mindestens zwei Heartbeat-Links, um einen Single Point of Failure zu vermeiden.

Zur zentralen Überwachung von Cluster-Gesundheit und Failover-Ereignissen siehe unseren Artikel zu Logging und Monitoring mit FortiAnalyzer und für die Gesamtarchitektur unseren Was-ist-FortiGate-Leitfaden.

Häufig gestellte Fragen

Was ist der Unterschied zwischen Active-Passive und Active-Active?

Bei Active-Passive verarbeitet ein Gerät den Verkehr, das andere wartet als Standby und übernimmt bei Ausfall. Bei Active-Active wird die Scan-Last auf die Mitglieder verteilt für höheren Durchsatz, doch die Verwaltung ist komplexer.

Müssen die beiden Geräte für HA identisch sein?

Ja. Für einen gesunden FGCP-Cluster müssen die Geräte dasselbe Modell, dieselbe Firmware-Version und kompatible Lizenzen haben. Unterschiede verursachen Synchronisations- und Failover-Probleme.

Was ist ein Heartbeat-Interface?

Heartbeat ist eine dedizierte Verbindung, über die Cluster-Mitglieder die Lebendigkeit des anderen überwachen und Konfigurations-/Sitzungssynchronisation tragen. Mindestens zwei Heartbeats werden empfohlen, um einen Single Point of Failure zu vermeiden.

Werden Sitzungen beim Failover abgebrochen?

Mit aktivierter Sitzungssynchronisation bleiben bestehende Sitzungen weitgehend erhalten und Nutzer bemerken die Unterbrechung oft nicht. Ist die Synchronisation aus, müssen Sitzungen ggf. neu aufgebaut werden.

Wofür dient Link Monitoring?

Fällt ein überwachtes kritisches Interface (z. B. ein WAN-Uplink) aus, löst Link Monitoring ein Failover auf das gesunde Mitglied aus und schützt so vor Link- und nicht nur Geräteausfällen.

Sollte ich Override nutzen?

Override erzwingt, dass das bevorzugte Gerät nach der Reparatur wieder primär wird. Es ist nützlich, wenn ein bestimmtes Gerät primär bleiben muss, kann aber unnötige Failovers verursachen und sollte vorsichtig eingesetzt werden.

Fazit

FortiGate HA hält kritische Netzwerksicherheitsdienste auch beim Ausfall eines einzelnen Geräts am Laufen. Mit identischer Hardware, redundanten Heartbeats, Sitzungssynchronisation und getesteten Failover-Szenarien bietet der Cluster echte Resilienz.

Um Ihre Hochverfügbarkeitsarchitektur zu entwerfen und Failover-Tests durchzuführen, sprechen Sie mit dem Netzwerkteam von Sora Yazılım.

← Blog

Brauchen Sie Hilfe zu den Themen dieses Beitrags?

Vereinbaren Sie ein kostenloses Discovery-Gespräch mit Sora Yazılım — wir schlagen eine konkrete Roadmap vor.

Kostenloses GesprächDienstleistungenLösungen