İşletmelerin dijital altyapılarında internet ve ağ erişiminin kesintiye uğraması, iş süreçlerinin durmasına ve ciddi finansal kayıplara yol açabilir. Bu nedenle, kurumsal ağların merkezinde yer alan güvenlik duvarlarının (firewall) yedekli bir yapıda çalışması hayati önem taşır. Fortinet'in geliştirdiği FortiGate HA (High Availability) teknolojisi, iki veya daha fazla FortiGate cihazını tek bir küme (cluster) altında birleştirerek kesintisiz ve yedekli bir ağ altyapısı sunar.
Bu rehberde, FortiGate güvenlik duvarlarında HA kurulumunun mantığını, gereksinimlerini ve adım adım yapılandırma aşamalarını ele alacağız.
FortiGate HA (High Availability) Nedir?
FortiGate HA, birden fazla fiziksel FortiGate cihazının bir araya gelerek tek bir mantıksal cihaz gibi çalışmasını sağlayan bir kümeleme teknolojisidir. Bu mimaride, cihazlardan biri arızalandığında veya bağlantısı kesildiğinde, diğer cihaz otomatik olarak trafiği devralır. Bu geçiş işlemi milisaniyeler içinde gerçekleştiği için kullanıcılar ve sistemler kesintiyi hissetmez.
HA Çalışma Modları
FortiGate HA mimarisinde en yaygın kullanılan iki çalışma modu bulunur:
- Active-Passive (Aktif-Pasif): Kümedeki cihazlardan biri tüm trafiği yönetirken (Active), diğeri pasif durumda bekler (Passive). Aktif cihazda bir sorun oluştuğunda pasif cihaz otomatik olarak aktif hale geçer. Kurulumu ve yönetimi en kolay, en kararlı moddur.
- Active-Active (Aktif-Aktif): Kümedeki tüm cihazlar trafiği paylaşarak işler ve yük dengeleme (load balancing) yapar. Performans ihtiyacının çok yüksek olduğu büyük ölçekli ağlarda tercih edilir.
FortiGate HA Kurulum Gereksinimleri
Başarılı bir HA kurulumu gerçekleştirmek için cihazların birebir aynı donanım ve yazılım özelliklerine sahip olması gerekir.
- Aynı Donanım Modeli: Kümedeki tüm cihazlar aynı model olmalıdır (Örn: İki adet FortiGate 60F).
- Aynı Firmware Sürümü: Cihazların üzerinde çalışan FortiOS sürümleri birebir aynı olmalıdır.
- Aynı Lisans Seviyesi: Cihazların lisans paketleri (FortiGuard, UTM vb.) aynı olmalıdır.
- Fiziksel Bağlantılar: Cihazların port yapılandırmaları ve kablolamaları birebir simetrik olmalıdır.
Adım Adım FortiGate HA Yapılandırması
Bu bölümde, en yaygın kullanılan Active-Passive (Aktif-Pasif) modunun kurulum adımlarını inceleyeceğiz.
1. Fiziksel Bağlantıların Yapılması
Cihazları yapılandırmaya başlamadan önce fiziksel bağlantıları hazırlayın:
- İki cihazın birbirleriyle haberleşmesi (senkronizasyon) için en az bir (tercihen iki) adet "Heartbeat" bağlantısı kurun. Cihazların doğrudan birbirine bağlanacağı bu portlar (Örn: HA veya port5/port6) arasına ethernet kablosu çekin.
- WAN ve LAN bağlantılarını her iki cihazda da simetrik portlara bağlayın (Örn: Her iki cihazın da WAN1 portu aynı internet switch'ine, LAN portları ise aynı iç ağ switch'ine gitmelidir).
2. Birinci Cihazın (Primary/Master) Yapılandırılması
İlk olarak aktif olarak çalışacak ana cihazın arayüzüne bağlanın ve şu adımları izleyin:
- System > HA menüsüne gidin.
- Mode alanını Active-Passive olarak seçin.
- Device Priority değerini 128'den daha yüksek bir sayı yapın (Örn: 200). Bu değer, bu cihazın öncelikli olarak "Master" seçilmesini sağlar.
- Group Name ve Password alanlarını belirleyin (Kümedeki diğer cihazda da aynı olmalıdır).
- Heartbeat Interfaces alanından, cihazların birbirine bağlandığı portları seçin ve önceliklerini belirleyin.
3. İkinci Cihazın (Secondary/Slave) Yapılandırılması
İkinci cihazın arayüzüne bağlanın:
- System > HA menüsüne gidin.
- Mode alanını Active-Passive olarak seçin.
- Device Priority değerini varsayılan olan 128'de bırakın veya ana cihazdan daha düşük bir değer girin (Örn: 100).
- Birinci cihazda belirlediğiniz Group Name ve Password bilgilerini birebir aynı şekilde girin.
- Heartbeat Interfaces alanında yine aynı portları seçin.
Yapılandırmayı kaydedip cihazları birbirine bağladığınızda, ikinci cihaz tüm ayarlarını otomatik olarak birinci cihazdan senkronize edecek ve pasif modda beklemeye başlayacaktır.
Pro Tip: HA kümesinin kararlılığını test etmek için ana cihazın elektrik kablosunu çekerek veya heartbeat kablosunu sökerek trafiğin kesintisiz bir şekilde yedek cihaza geçip geçmediğini (failover) kontrol edin.
HA Yapılandırmasında En İyi Uygulamalar (Best Practices)
Güvenilir bir HA yapısı için aşağıdaki noktalara dikkat edilmelidir:
- Yedekli Heartbeat Bağlantısı: Heartbeat bağlantısının tek bir kablo arızası nedeniyle kopmasını önlemek için her zaman en az iki portu heartbeat olarak yapılandırın.
- Monitored Interfaces (İzlenen Arayüzler): HA ayarlarında WAN ve LAN portlarınızı izlenen arayüz (monitored interface) olarak ekleyin. Bu sayede, cihazın kendisi çalışsa bile internet kablosu koptuğunda trafik otomatik olarak diğer cihaza aktarılır.
- Yedekli Switch Altyapısı: Sunucu ve internet bağlantılarınızın tek bir switch arızasından etkilenmemesi için HA yapısını yedekli switch mimarileriyle destekleyin.
Ağ altyapınızın kesintisiz çalışmasını sağlamak ve güvenlik duvarı konfigürasyonlarını en iyi uygulama standartlarında gerçekleştirmek için Router, Switch ve Firewall Kurulum Hizmeti çözümlerimizden yararlanabilirsiniz.
Sıkça Sorulan Sorular
HA geçişi (failover) sırasında internet kesilir mi?
Active-Passive modda geçiş milisaniyeler içinde tamamlanır. Mevcut TCP bağlantıları ve VPN tünelleri (eğer "Session Synchronization" aktifse) kesilmeden yedek cihaz üzerinden akmaya devam eder. Kullanıcılar bu geçişi hissetmez.
Cihazlardan birinin lisansı biterse HA çalışmaya devam eder mi?
Evet, ancak küme "Unbalanced License" uyarısı verir ve bazı güvenlik servisleri (Web Filtreleme, IPS vb.) lisansı biten cihaz aktif olduğunda çalışmayabilir. Bu nedenle her iki cihazın da lisans sürelerinin güncel tutulması gerekir.
FortiGate HA yapısında firmware güncellemesi nasıl yapılır?
vSphere veya diğer yedekli sistemlerde olduğu gibi, FortiGate HA kümesinde de güncelleme kesintisiz yapılır. Güncelleme paketi vCenter benzeri bir yönetim arayüzünden veya doğrudan aktif cihaza yüklendiğinde, sistem önce pasif cihazı günceller, trafiği ona aktarır ve ardından diğer cihazı güncelleyerek süreci kesintisiz tamamlar.
Sonuç
FortiGate HA kurulumu, kurumsal ağların kesintisizliği ve siber güvenliği için atılması gereken en kritik adımlardan biridir. Doğru planlanmış bir yedeklilik mimarisi, donanım arızalarından veya kablo kopmalarından kaynaklanan kesintileri tamamen ortadan kaldırır.
Güvenlik duvarı yatırımlarınızı doğru planlamak ve KVKK/ISO 27001 standartlarına uyumlu ağ altyapıları tasarlamak için Donanım ve Yazılım Çözümleri sayfamızı inceleyebilir veya uzman mühendislerimizle görüşmek için bizimle iletişime geçebilirsiniz.
İlgili Yazı: FortiGate SSL VPN Kurulumu ve Güvenli Uzaktan Erişim
İlgili Yazı: Fortinet Security Fabric Nedir? Kapsamlı Mimari Rehberi
