Académique Documents
Professionnel Documents
Culture Documents
27 mai 2019
Je me souviens encore du moment où j'ai écrit l' article HSRP, VRRP et GLBP . J'étudiais pour l'
examen CCNP Route . En fait, cet article est le plus consulté de mon blog. J'ai appris comment
fonctionnent ces protocoles de redondance du premier saut (FHRP). J'ai appris que VRRP fonctionne
avec l'adresse IP de multidiffusion 224.0.0.18 et le numéro de protocole IP 112. C'était formidable de
savoir qu'il existait des protocoles pour le routage à haute disponibilité. Par conséquent, nous
pouvons configurer deux routeurs avec la même adresse IP, qui est la passerelle par défaut pour les
utilisateurs, et si l'un d'eux tombe en panne, l'autre prend le relais.
La semaine dernière, j'ai configuré deux FortiGates dans un domaine VRRP car j'avais besoin d'une
haute disponibilité entre différents modèles de pare-feu. Je sais que la meilleure architecture est un
cluster avec le même modèle de pare-feu mais lorsque le projet nécessite une haute disponibilité
avec un modèle différent, il faut chercher une solution. La configuration est simple. Nous devons
activer vrrp-virtual-mac sur le port et définir l'adresse IP virtuelle. De plus, nous devrions définir un
numéro de priorité plus élevé pour le FortiGate principal et un numéro de priorité plus faible pour le
FortiGate de sauvegarde.
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 1/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
Si nous utilisons les pare-feu FortiGate pour des services sécurisés tels que les services HTTP et
HTTPS, nous souhaiterons également une haute disponibilité pour ces services. Par conséquent, les
IP virtuelles devront être configurées dans les deux pare-feu. Au début, si nous configurons la même
IP virtuelle dans les deux pare-feu, il y aura une IP dupliquée et cela ne fonctionnera pas
correctement. Cependant, FortiOS 6.0 prend déjà en charge le basculement des VIP et des pools IP
du pare-feu IPv4 . Grâce à un nouveau paramètre proxy ARP, nous pourrons mapper VIP au MAC
virtuel (VMAC) de chaque routeur.
Un autre paramètre intéressant est l' équilibrage de charge VRRP , qui est utile lorsque nous voulons
que les deux pare-feu traitent le trafic. Par conséquent , un pare-feu est le routeur principal d'un
sous-réseau et l'autre est le routeur principal de l'autre sous-réseau . Cependant, si un pare-feu
tombe en panne, tout le trafic bascule vers l'autre qui fonctionne toujours. De mon point de vue, la
configuration Actif/Actif n'est pas la meilleure conception mais elle pourrait être utile dans
certaines architectures.
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 2/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
Tous ces paramètres sont configurés à l'aide de la CLI. Il n'existe aucun moyen de configurer VRRP à
l'aide de l'interface graphique de FortiGate. Par conséquent, la table de routage doit également être
obtenue à l'aide de la CLI. La commande « get router info vrrp » affiche l'état de VRRP. Par exemple,
nous pouvons savoir quel pare-feu est le routeur maître et quel est le routeur de secours. Nous
pouvons également connaître l'IP du routeur virtuel (vrip), le groupe de routeurs virtuels (vrgrp), etc,
etc.
VRRP est un protocole standard on peut donc également configurer un domaine VRRP entre un
pare-feu et un routeur. Par exemple, nous pourrions configurer un domaine VRRP entre un pare-feu
FortiGate et un routeur Cisco. C'est un grand avantage d'utiliser des protocoles standards au lieu de
protocoles privés tels que HSRP ou GLBP.
COMMENTAIRES
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 3/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
06 mai 2013
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 4/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 5/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 6/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 7/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
AI DAVID ROMERO
David Romero
Trejo
—
Ingénieur en
informatique avec
une expérience dans
la sécurité de
l'information, les
réseaux TCP/IP et
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 8/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
l'administration des
systèmes Linux et
Windows
CONSULTER LE PROFIL
Archiver
Liste de blogs
Chema Alonso
29 novembre : événement
SaaS Academy dans les
bureaux de Microsoft
Xavier Genestós
Veeam Backup : restaurer
uniquement les
autorisations des fichiers
Œuvre d’art de sécurité
Opérations de proximité
dans le cyberespace
Joaquín Molina
EDR ou pas EDR, telle est
la question : contourner
Defender avec ScareCrow
José Aurelio García
Découverte des clés de
messagerie
Edorta Echave
Cours en ligne sur la
cybersécurité industrielle
v2.0
Javier Cao Avellaneda
Gestion d'incidents et de
crises, quand le
"RealWorld" impacte la
première personne.
Antonio Ramos
Est-il judicieux qu’une loi
exige une gestion des
risques ?
Raul GamezGamez
Plataforma perfecta (o
casi) para tu blog, vExpert
edition (1/x)
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 9/10
17/11/2023 11:26 Deux FortiGates dans un domaine VRRP
Libellés
Signaler un abus
https://www.davidromerotrejo.com/2019/05/two-fortigates-in-vrrp-domain.html 10/10