Как настроить резервированную схему сети с двумя файерволами FortiGate

[shadowalone]

Какой ужас - использовать при включенном vdom, домен root как рабочий…

Вам бы за это руки оторвать. В таком случае отключите vdom, или создайте отдельный рабочий домен, а root оставьте как management.

[kkxen]

Здравствуйте! Большое спасибо за замечание. Цель текста была  показать, как вообще настроить отказоустойчивую схему BGP + Anycast, показать ее суть и работу. Информацию по настройке Fortigate скорректируем.

[algerka]

Какая-то сложная статья для восприятия.
Что такое Master/Slave? Это FG кластер в режиме HA Active/Passive ?

На мой взгляд, слабое решение с точки отказоустойчивости, раз внешние и внутренние каналы завязаны на одного провайдера, и совершенно отсутствует возможность подключения второго провайдера.
Весь функционал можно было и средствами самого VmWare сделать, и ФГ тут лишний.
Похоже, просто на рекламу selectel, а не какого-то интересного решения на ФГ :(

[kkxen]

Здравствуйте! Нет, фортигейты не в кластере HA, они находятся в двух географически распределенных дата-центрах. Master и Slave в данной схеме обуславливаются настройками BGP-атрибутов, то есть через какой FG трафик будет идти первостепенно. 

Если с главным FG (мастером) что-то случится, трафик переедет на второй FG (слейв). При создании такой схемы вместо FG может использоваться абсолютно любое оборудование, умеющее поднимать сессии по протоколу BGP.