17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

DAVID ROMERO TREJO

Sécurité des informations | Réseau

27 mai 2019

DEUX FORTIGATES DANS UN DOMAINE VRRP

—

Je me souviens encore du moment où j'ai écrit l' article HSRP, VRRP et GLBP . J'étudiais pour l'
examen CCNP Route . En fait, cet article est le plus consulté de mon blog. J'ai appris comment
fonctionnent ces protocoles de redondance du premier saut (FHRP). J'ai appris que VRRP fonctionne
avec l'adresse IP de multidiffusion 224.0.0.18 et le numéro de protocole IP 112. C'était formidable de
savoir qu'il existait des protocoles pour le routage à haute disponibilité. Par conséquent, nous
pouvons configurer deux routeurs avec la même adresse IP, qui est la passerelle par défaut pour les
utilisateurs, et si l'un d'eux tombe en panne, l'autre prend le relais.

La semaine dernière, j'ai configuré deux FortiGates dans un domaine VRRP car j'avais besoin d'une
haute disponibilité entre différents modèles de pare-feu. Je sais que la meilleure architecture est un
cluster avec le même modèle de pare-feu mais lorsque le projet nécessite une haute disponibilité
avec un modèle différent, il faut chercher une solution. La configuration est simple. Nous devons
activer vrrp-virtual-mac sur le port et définir l'adresse IP virtuelle. De plus, nous devrions définir un
numéro de priorité plus élevé pour le FortiGate principal et un numéro de priorité plus faible pour le
FortiGate de sauvegarde.

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 1/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

Configuration de deux FortiGates dans un domaine VRRP

Si nous utilisons les pare-feu FortiGate pour des services sécurisés tels que les services HTTP et
HTTPS, nous souhaiterons également une haute disponibilité pour ces services. Par conséquent, les
IP virtuelles devront être configurées dans les deux pare-feu. Au début, si nous configurons la même
IP virtuelle dans les deux pare-feu, il y aura une IP dupliquée et cela ne fonctionnera pas
correctement. Cependant, FortiOS 6.0 prend déjà en charge le basculement des VIP et des pools IP
du pare-feu IPv4 . Grâce à un nouveau paramètre proxy ARP, nous pourrons mapper VIP au MAC
virtuel (VMAC) de chaque routeur.

Basculement des VIP du pare-feu IPv4

Un autre paramètre intéressant est l' équilibrage de charge VRRP , qui est utile lorsque nous voulons
que les deux pare-feu traitent le trafic. Par conséquent , un pare-feu est le routeur principal d'un
sous-réseau et l'autre est le routeur principal de l'autre sous-réseau . Cependant, si un pare-feu
tombe en panne, tout le trafic bascule vers l'autre qui fonctionne toujours. De mon point de vue, la
configuration Actif/Actif n'est pas la meilleure conception mais elle pourrait être utile dans
certaines architectures.

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 2/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

Équilibrage de charge VRRP

Tous ces paramètres sont configurés à l'aide de la CLI. Il n'existe aucun moyen de configurer VRRP à
l'aide de l'interface graphique de FortiGate. Par conséquent, la table de routage doit également être
obtenue à l'aide de la CLI. La commande « get router info vrrp » affiche l'état de VRRP. Par exemple,
nous pouvons savoir quel pare-feu est le routeur maître et quel est le routeur de secours. Nous
pouvons également connaître l'IP du routeur virtuel (vrip), le groupe de routeurs virtuels (vrgrp), etc,
etc.

Table de routage VRRP

VRRP est un protocole standard on peut donc également configurer un domaine VRRP entre un
pare-feu et un routeur. Par exemple, nous pourrions configurer un domaine VRRP entre un pare-feu
FortiGate et un routeur Cisco. C'est un grand avantage d'utiliser des protocoles standards au lieu de
protocoles privés tels que HSRP ou GLBP.

Vos commentaires sont les bienvenus !!

Libellés : Cisco, Fortinet, VRRP

COMMENTAIRES

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 3/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

Pour laisser un commentaire, cliquez sur le bouton ci-dessous afin de vous

connecter avec Blogger.

SE CONNECTER AVEC BLOGGER

ARTICLES LES PLUS CONSULTÉS

06 mai 2013

HSRP, VRRP OU GLBP

4 commentaires

juillet 03, 2017

AMÉLIORER LES PERFORMANCES DU VPN SSL AVEC DTLS
2 commentaires

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 4/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

octobre 13, 2014

SOMME DE CONTRÔLE
4 commentaires

juillet 10, 2017

DÉCRYPTER LE TRAFIC DTLS AVEC WIRESHARK
Enregistrer un commentaire

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 5/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

avril 22, 2013

MÉTHODOLOGIE RÉSEAU (FCAPS)
Enregistrer un commentaire

octobre 06, 2014

ÉQUILIBRAGE DE CHARGE DNS
Enregistrer un commentaire

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 6/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

février 03, 2014

ÉQUILIBREURS DE CHARGE
2 commentaires

octobre 01, 2018

EXEMPLE DE DÉBORDEMENT DE TAMPON LINUX
1 commentaire

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 7/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

avril 01, 2019

MLAG VS VPC VS EMPILAGE
1 commentaire

Fourni par Blogger

Images de thèmes de Mae Burke

AI DAVID ROMERO

David Romero
Trejo
—
Ingénieur en
informatique avec
une expérience dans
la sécurité de
l'information, les
réseaux TCP/IP et
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 8/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
l'administration des
systèmes Linux et
Windows

CONSULTER LE PROFIL

Archiver

Liste de blogs
Chema Alonso
29 novembre : événement
SaaS Academy dans les
bureaux de Microsoft
Xavier Genestós
Veeam Backup : restaurer
uniquement les
autorisations des fichiers
Œuvre d’art de sécurité
Opérations de proximité
dans le cyberespace
Joaquín Molina
EDR ou pas EDR, telle est
la question : contourner
Defender avec ScareCrow
José Aurelio García
Découverte des clés de
messagerie
Edorta Echave
Cours en ligne sur la
cybersécurité industrielle
v2.0
Javier Cao Avellaneda
Gestion d'incidents et de
crises, quand le
"RealWorld" impacte la
première personne.
Antonio Ramos
Est-il judicieux qu’une loi
exige une gestion des
risques ?
Raul GamezGamez
Plataforma perfecta (o
casi) para tu blog, vExpert
edition (1/x)
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 9/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP

Miguel Ángel Sánchez

Droits des personnes dans
le nouveau règlement sur
la protection des données
(RGPD)
Tout afficher

Libellés

Signaler un abus

https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 10/10