التوفّر العالي High Availability0%
بناء cluster عالي التوفّر باستخدام FGCP
الـ High Availability تجمع جهازين FortiGate أو أكثر في cluster لتوفير الـ redundancy باستخدام بروتوكول FGCP. الهدف إنه لو فشل جهاز يتولى الآخر العمل بشكل شبه فوري وشفّاف للمستخدم. الـ cluster يتطلب أجهزة متطابقة في الموديل والـ firmware ويتبادل الحالة عبر الـ heartbeat interfaces.
- 1وضعا التشغيل: Active-Passive حيث يمرّر الـ primary كل الترافيك ويبقى الـ secondary على الاستعداد، و Active-Active حيث يوزّع الـ primary جلسات الـ proxy/UTM على الأجهزة الثانوية.
- 2الـ heartbeat interfaces تتبادل keepalives وتزامن الـ config والـ session بين الأجهزة؛ فقدها يؤدي إلى انقسام الـ cluster (split-brain) لذا يُفضّل ربطين heartbeat.
- 3اختيار الـ primary يقارن بالترتيب: عدد الـ monitored interfaces المتصلة، ثم HA uptime، ثم priority، ثم الـ serial number؛ وعند تفعيل Override يُفحص الـ priority أبكر ليبقى الجهاز المفضّل primary.
- 4الـ session pickup يحفظ جدول الجلسات على الجهاز الثانوي فيتم الـ failover بشكل stateful دون قطع الاتصالات القائمة.
- 5الـ monitored (port monitor) interfaces تُطلق failover عند سقوط الرابط، والـ cluster يشارك virtual MAC فيبقى الـ failover شفّافاً لأجهزة الشبكة المجاورة.
🖥️محاكاة واجهة FortiGate (تفاعلية)
واجهة تعليمية مستوحاة من شكل FortiOS — جرّب الأزرار والحقول.
▣ HQ-FGT
+ Add Widget🔍admin ▾
📊Dashboard
🌐Network
🛡️Policy & Objects
🔒Security Profiles
🔑VPN
👥User & Auth
📈Log & Report
⚙️System
System › HA
🛡️
FGT-A
Primary (نشط)
priority 200
🛡️
FGT-B
Secondary
priority 100
الـ FGCP heartbeat يبقي التزامن؛ جرّب الـ failover.
أوضاع الـ HA
Active-Passive
- ◆وحدة واحدة تمرر
- ◆الباقي احتياطي
- ◆إعداد أبسط
- ◆failover سلس
Active-Active
- ◆توزيع فحص الـ proxy
- ◆كل الوحدات نشطة
- ◆استغلال أعلى للـ CPU
- ◆session sync مطلوب
🔎تفاصيل أعمق
- الـ FGCP يتبادل الـ heartbeat عبر heartbeat interfaces مخصصة لاكتشاف فشل الـ primary بأقل تأخير.
- تفعيل session pickup يجعل الـ failover stateful فتنجو الجلسات القائمة من تبديل الوحدة.
- خيار Override يقدّم الـ Priority في ترتيب الاختيار فتستعيد وحدة مفضّلة دور الـ primary فوراً، وكل cluster يشارك virtual MAC.
⌨️معمل CLI تفاعلي
اختر مهمة، اكتب الأوامر بنفسك وشاهد النتيجة — أو اضغط «نفّذ التالي».
📖 شرح المهمة والأوامر
نفس group-id وpassword مطلوبان على الجهازين لتكوين العنقود.
config system ha— الدخول إلى قسم الإعدادset mode a-p— ضبط قيمة إعدادset group-name "CLUSTER"— ضبط قيمة إعدادset group-id 1— ضبط قيمة إعدادset password HAsecret123— ضبط قيمة إعدادset hbdev "port3" 50— ضبط قيمة إعدادset priority 200— ضبط قيمة إعدادset override enable— ضبط قيمة إعدادset monitor "port1"— ضبط قيمة إعدادend— حفظ والخروج من القسم
FGT-LAB-01 — FortiOS CLI
# المهمة: إعداد عنقود HA نشط-احتياطي
FGT-LAB-01 #
0/10
أوامر تحقّق من التشغيل (اضغط للتشغيل فورًا):
نفس group-id وpassword مطلوبان على الجهازين لتكوين العنقود.
📐تحجيم جدار ناري — معمل تفاعلي
حرّك القيم حسب متطلب العميل — التوصية تتحدّث فورًا.
عدد المستخدمين250
Threat Protection المطلوب1000 Mbps
التوصية
FortiGate 100F
حجّم بالـ Threat Protection throughput (1000 Mbps) لـ 250 مستخدم.
⚠️ فخّ تحجيم: الـ Firewall throughput في الـ datasheet أعلى بكثير من الحقيقي — حجّم دائمًا بالـ Threat Protection throughput.
أرقام تقديرية للتعلّم — التحجيم الرسمي بالـ datasheet وأدوات Fortinet.
ترتيب اختيار الـ primary
- ١الواجهات المراقَبةأقل أعطال
- ٢زمن تشغيل HAالأطول يفوز
- ٣الأولويةالأعلى يفوز
- ٤الرقم التسلسليالفاصل الأخير
💡 نصيحة مقابلة: 💡 سؤال شائع: ما ترتيب اختيار الـ primary؟ تذكّره كـ monitored interfaces ثم HA uptime ثم priority ثم serial number — وإذا أرادوا أن يعود جهاز معيّن دائماً primary بعد إصلاحه فالجواب هو تفعيل Override.