VMware上Fortigate集群的同步

Question

我想要创建一个Fortigate集群，其中两个Fortigate运行着相同的frimware版本。每个Fortigate都有自己的许可证，所以每个Fortigate都有自己的序列号。我按照Cookbook上描述的步骤配置了HA链接。但是路由器(Salve & Master)不同步。有人可能知道原因吗？o_O

请救救我！

提前谢谢。

The configurations are:
####################Fortigate 1####################
config system ha

set group-name "Cluster"

    set mode a-p

    set password ENC YYxXRRuXdiXkbfjL...

    set hbdev "port3" 50  "port4" 50

    set session-pickup enable

    set override disable

    set monitor "port1" "port3" "port4" "port5"

end
#############################

get system ha status

Model : Fortigate-VM64

Mode: a-p

Group: 0

Debug: 0

ses_pickup: enable, ses_pickup_delay=disable

Master : 128 Fortigate1         

Number of vcluster: 1

vcluster 1 : work 168.254.0.4

Master : 0 FGVM100000XXXX

Salve : 1 FGVM100000XXYY

#############################

diagnose sys ha cluster-csum

=======================Fortigate 1 ================================

is_manage_master ()=0, is_root_master ()=0
debugzone

global : 8c db d6 fc 9a 84 bb 8d d7 10 d6 e0 a6 6f 09 7e

root : 49 f0 12 10 42 09 c7 66 aa 04 c5 2c 29 52 0f 76

all: 9e 2c a7 e5 7c 6f a6 88 e5 a9 ea 26 e6 48 69 e6


checksum

global : 8c db d6 fc 9a 84 bb 8d d7 10 d6 e0 a6 6f 09 7e

root : 49 f0 12 10 42 09 c7 66 aa 04 c5 2c 29 52 0f 76 

all: 9e 2c a7 e5 7c 6f a6 88 e5 a9 ea 26 e6 48 69 e6


####################Fortigate 2####################

config system ha

    set group-name "Cluster"

    set mode a-p

    set password ENC YYxXRRuXdiXkbfjL...

    set hbdev "port3" 50  "port4" 50

    set session-pickup enable

    set override disable

    set priority 50

    set monitor "port1" "port3" "port4" "port5" 

end

get system ha status

Model : Fortigate-VM64

Mode: a-p

Group: 0

Debug: 0

ses_pickup: enable, ses_pickup_delay=disable

Slave : 50 Fortigate2       

Number of vcluster: 1

Salve : 1 FGVM100000XXXX

Master : 0 FGVM100000XXXX


diagnose sys ha cluster-csum

=======================Fortigate 2 ================================

is_manage_master ()=0, is_root_master ()=0
debugzone

global : 0f d4 37 ca f2 7e 5b ff ca fb ac aa 8b 38 88 6d

root : 1c 85 55 fe a7 e5 7c 6f a6 88 e5 a9 ea 26 e6 92

all: f5 62 b2 ce 81 9a c9 04 8f 67 07 ec a7 44 60 1f


checksum

global : 0f d4 37 ca f2 7e 5b ff ca fb ac aa 8b 38 88 6d

root : 1c 85 55 fe a7 e5 7c 6f a6 88 e5 a9 ea 26 e6 92

all: f5 62 b2 ce 81 9a c9 04 8f 67 07 ec a7 44 60 1f

Answer 1

逐步配置Fortigate VM集群：

首先，当您配置一个由两个Fortigate VM组成的集群时，您必须：

• 在VMware上，这两个路由器通过vSwitch链接，确保VM是链接的。
• 在vSwitch上启用promicsious模式以允许HA接口之间的HA通信，如下步骤所示:1.在vSphere客户机中，在左窗格中选择VMware服务器，然后在右窗格中选择Configuration选项卡。2.在硬件方面，选择联网。3.选择用于连接心跳接口的vSwitch的属性。4.在“属性”窗口左窗格中，选择“vSwitch”，然后选择“编辑”。5.选择Security选项卡，将杂乱模式设置为接受，然后选择OK。6.选择Close。
• 当我们创建一个或多个虚拟网络适配器的虚拟机时，将为每个虚拟适配器自动生成两个MAC地址。
  • 第一个称为初始MAC地址，并存储在配置文件中。这是不能改变的。
  • 第一个是有效MAC地址，由来宾操作系统配置，并在与其他系统通信时用作源MAC地址。然而，有效的MAC地址可以在vSwitch上改变。

因为FGCP将虚拟MAC地址设置到Fortigate上的相同接口，所以您必须：

• 设置vSwitch以接受MAC地址更改:如果初始和有效地址不匹配，则允许通信量通过vSwitch传递到虚拟marchine (Incomming通信量)。
• 将vSwitch设置为接受伪造传输:因为当这是在“接受”时，ESXi在发送paquets时不将初始MAC地址与有效MAC地址进行比较。因此，虚拟机监控程序(传出流量)不会拒绝paquets，请按照以下步骤执行：

1.在vSphere客户机中，在左侧窗格中选择VMware服务器，然后在右侧窗格中选择Configuration选项卡。2.在硬件方面，选择联网。3.选择用于连接心跳接口的vSwitch的属性。4.在“属性”窗口左窗格中，选择“vSwitch”，然后选择“编辑”。5.选择“安全”选项卡，将MAC地址更改为“接受”，并将伪造传输设置为“接受”。6.选择“确定并关闭”。

• 完成此操作后，您可以按照以下方法开始配置两个Fortigate：http://cookbook.fortinet.com/high-availability-two-fortigates/