Balanceo de carga con Fortigate

Una de las múltiples “features” de estos cacharros … balanceo de carga. Hemos estado probando para ver si podíamos sustituir a unos cacharros que están hasta arriba.


Una de las múltiples “features” de estos cacharros … balanceo de carga. Hemos estado probando para ver si podíamos sustituir a unos cacharros que están hasta arriba.

El balanceo funciona bien, funciona como un balanceador de red puro y duro … nada de proxy inverso (que es lo que necesitábamos).

Para configurarlo.

En nuestro caso probamos a balancear unos servidores web (https) así que, lo primero es importar el certificado en los FG’s.

System -> Certificates -> Local Certificates -> Import

Una vez importado vamos a System -> Policy&Objects -> Load Balancing

y damos de alta el virtual server.

balanceo de carga fg

Nombre, protocolo (https en nuestro caso), el interface por el que va a entrar la conexión (Internet), el tipo de balanceo (Round robin en nuestra prueba) y el tipo de persistencia (http cookie en nuestra prueba).

Después seleccionas el certificado y los tests que necesitas.

Lo siguiente es dar de alta los servidores reales (y asociarlos al servidor virtual).

Pones las IPs, el puerto (443), el peso (para que el firewall sepa cuanta carga le tiene que pasar) y el numero de conexiones (0 para ilimitado) ademas del modo en el que esta el servidor (activo, stand by o inactivo).

Con esto ya tenemos configurado el balanceo, 1 ip virtual que balancea contra 2 ips reales.

Ahora hace falta la regla que permita el trafico … y tiene que ser asi (en el manual lo hace de otra forma, y a mi no me funcionaba).

From -> Internet (el mismo interface que has definido en el virtual server)
To -> La DMZ donde estan los servidores reales
Source -> all
Destination -> el objeto virtual server que has creado
Puerto https
NAt -> Desactivado (esto es lo distinto del manual, alli dicen que hay que poner NAT -> use outgoing interface address … pero no había forma).

Cosas a tener en cuenta … los test del balanceo los hace con la ip física de interface interno (por el que ernruta hacia los servidores reales).

Ademas hay que abrir las reglas pertinentes en los demas firewalls (en nuestro caso) para permitir el trafico desde internet hacia los servidores virtuales.

El manual se puede descargar desde el siguiente enlace:

http://docs.fortinet.com/uploaded/files/2144/fortigate-load-balance-521.pdf

Lo extraño es lo del nat … pero tampoco pude dedicarle mucho mas tiempo. Si alguien lo tiene puesto así se agradecería un comentario. De momento no lo vamos a usar … pero nunca se sabe.