HA no FortiGate: Active-Passive vs Active-Active
Alta Disponibilidade elimina o firewall como ponto único de falha. Entenda as diferenças entre os modos ativo-passivo e ativo-ativo e como configurar o HA corretamente no FortiGate.
O que é HA e por que implementar
O FortiGate é o dispositivo mais crítico da rede — todo o tráfego passa por ele. Uma falha de hardware ou firmware pode derrubar a conectividade de toda a empresa. Alta Disponibilidade (HA) elimina esse risco colocando dois appliances em cluster: se um falhar, o outro assume automaticamente sem interrupção perceptível para os usuários.
O FortiGate suporta cluster HA com dois membros (o mais comum) e sincronização de configuração automática entre eles. Qualquer alteração feita no membro primário é sincronizada para o secundário em tempo real.
Active-Passive: failover automático
No modo Active-Passive (A-P), apenas um membro do cluster processa tráfego por vez — o membro primário. O secundário fica em standby, sincronizado e pronto para assumir, mas não encaminha tráfego em condições normais.
O failover ocorre automaticamente quando o primário falha: o secundário detecta a ausência de heartbeat via interface de HA dedicada e assume todas as interfaces em milissegundos. Sessões TCP estabelecidas são mantidas graças à sincronização de tabela de sessões — a maioria das conexões ativas sobrevive ao failover sem interrupção.
Vantagens: simples de configurar, comportamento previsível, fácil de diagnosticar problemas. Limitação: o appliance secundário fica ocioso — capacidade desperdiçada em operação normal.
Active-Active: distribuição de carga
No modo Active-Active (A-A), ambos os membros processam tráfego simultaneamente. O primário distribui sessões para o secundário usando um algoritmo de balanceamento — por padrão, round-robin por sessão.
O throughput efetivo do cluster A-A é aproximadamente o dobro de um único appliance — o que pode eliminar a necessidade de um modelo superior em ambientes com volume de tráfego crescente.
Vantagens: melhor aproveitamento do hardware, throughput agregado maior, failover igualmente automático. Limitação: mais complexo de configurar e diagnosticar — especialmente para troubleshooting de sessões específicas, que podem estar sendo processadas em qualquer um dos membros.
Qual escolher? Para a maioria das empresas, o Active-Passive é suficiente e mais simples de operar. O Active-Active faz sentido quando o throughput de um único appliance não é suficiente para o tráfego do ambiente e a compra de um modelo superior seria desproporcionalmente mais cara.
Pré-requisitos para configurar HA
Dois appliances idênticos: ambos os membros devem ser do mesmo modelo e, idealmente, da mesma versão de hardware. Diferenças de capacidade de memória ou número de interfaces podem causar instabilidade no cluster.
Interface dedicada de heartbeat: o FortiGate usa uma interface dedicada para o heartbeat de HA — a comunicação entre os membros que detecta falhas e sincroniza configuração. Use um cabo direto entre os dois appliances nessa interface, sem passar por switch.
Mesma versão de firmware: ambos os membros devem estar na mesma versão de FortiOS antes de formar o cluster. O membro com versão diferente não ingressará no cluster.
Licenças: cada membro precisa de sua própria licença FortiCare e FortiGuard. Em cluster HA, a Fortinet tem política especial de licenciamento — consulte a Fortilab para detalhes do modelo específico.
Configurando o cluster HA
A configuração de HA é feita em Sistema > HA em cada membro. Os parâmetros essenciais são:
Mode: selecione Active-Passive ou Active-Active conforme a necessidade.
Group Name: nome do cluster — deve ser idêntico em ambos os membros.
Password: senha de autenticação do cluster — deve ser idêntica em ambos.
Priority: o membro com maior prioridade torna-se o primário. Configure prioridade diferente em cada membro (ex: 200 no primário, 100 no secundário).
Heartbeat interfaces: selecione a interface dedicada de heartbeat. Recomendamos usar duas interfaces para redundância do próprio canal de HA.
Após salvar a configuração em ambos os membros, o cluster é formado automaticamente em alguns segundos. O membro secundário sincroniza a configuração completa do primário.
Monitoramento e manutenção do cluster
Após a formação do cluster, monitore regularmente em Sistema > HA o status de ambos os membros, a última sincronização de configuração e o tempo de uptime. Uma divergência de sincronização indica problema que precisa de investigação imediata.
Para manutenção e atualização de firmware no cluster, o FortiGate suporta upgrade em sequência: atualiza o membro secundário primeiro, faz failover manual para o secundário atualizado, e então atualiza o primário original. Isso garante que o cluster nunca fique sem um membro operacional durante o processo de atualização.
Dica Fortilab: teste o failover do HA periodicamente — pelo menos a cada 6 meses. Desligue o membro primário em uma janela de manutenção e confirme que o secundário assume e que o tráfego flui normalmente. HA não testado é HA não confiável.