FortiGate の HA 設定について

2022年4月2日
2022年4月23日
Fortigate
7234view

Fortigate

1 HA とは
2 HA（FGCP）設定例
3 解説
- 3.1 コマンドの概要
4 確認コマンド
- 4.1 設定内容の確認
- 4.2 HA の状態確認
5 HA のプライマリ選択プロセス
- 5.1 自動切り戻しが無効の場合（set override disable）
- 5.2 自動切り戻しが有効の場合（set override enable）
6 参考書籍

HA とは

High Availability の略で高可用性を意味し、ネットワーク機器においては、一般的に機器冗長化を指します。Fortigate では以下の 4 つの HA 構成に対応します。

FGCP（FortiGate Cluster Protocol）

FortiGate 標準の HA 構成で、FGCP（FortigGate Cluster Protocol）という、独自プロトコルを使用します。FGCP を使った HA では、TCP / UDP / IPsec など、IPv4 / IPv6 トラフィックのセッションフェイルオーバー^[1]障害発生時に、既存のセッションを引継ぎ、通信が途切れることなく切り替わる機能が可能です。
また、アクティブ / アクティブ構成、アクティブ / パッシブ構成に対応し、VDOM と組み合わせた構成も可能です。
FortiGate で HA 構成で最も多く採用されている方式です。

FGSP（FotiGate Session Life Support Protocol）

アクティブ / パッシブの切り替えを、外部のネットワーク装置（ロードバランサー等）に頼る構成です。FortiGate 間はセッションの同期を行うため、FGCP と同様にセッションフェイルオーバーが可能です。

VRRP（Virtual Router Redundancy Protocol）

RFC3768 で標準化されたプロトコルで、多くのネットワーク装置でサポートしている冗長化プロトコルです。FortiGate でもサポートしており、FortiGate 間同士や、FortiGate と他のネットワーク装置間で冗長が可能です。

FRUP（FotiGate Redundant UTM Protocol）

FortiGate-100D などの一部のモデルでのみサポートされており、個人的にあまり使用されているのを見たことがなく、詳細は割愛します。

HA（FGCP）設定例

FortiGate 標準である FGCP のアクティブ / パッシブ方式の設定例です。

config system ha
set group-name "fw-ha"		
set mode a-p
set hbdev "wan2" 0
set override disable
set priority 200
set monitor "internal1" "wan1"
set ha-mgmt-status enable
set ha-mgmt-interface "mgmt"
end

config system ha
set group-name "fw-ha"
set mode a-p
set hbdev "wan2" 0
set override disable
set priority 100
set monitor "internal1" "wan1" 
set ha-mgmt-status enable
set ha-mgmt-interface "mgmt"
end

解説

コマンドの概要

config system ha コマンドを実行して、set コマンドでパラメータを指定します。

config system ha

set group-name コマンドで、任意の Group 名（本例では fw-ha）を設定します

set group-name "fw-ha"

set mode コマンドで、冗長方式（本例ではアクティブ / パッシブモード）を指定します。

set mode a-p

set hbdev コマンドで、HeartBeat を流すインターフェース（本例では wan2）を指定します。

set hbdev "wan2" 0

set override コマンドで、自動切り戻しを有効にするか指定します。disable を指定すると自動切り戻しは無効にとなります。

set override disable

set priority コマンドで、プライマリ / バックアップを指定します。数値が大きい方がアクティブとなります。詳細については、以下「HA のプライマリ選択プロセス」を参照ください。

set priority 200

set monitor コマンドで、監視するポートを指定します。監視ポーで障害発生時は、アクティブ / パッシブが切り替わります。

set monitor "internal1" "wan1"

set ha-mgmt-status コマンドで、HA の管理設定を指定します。enable を指定すると有効になります。

set ha-mgmt-status enable

set ha-mgmt-interface コマンドで、HA 構成図に各ノードを管理するインターフェースを指定します。

set ha-mgmt-interface "mgmt"

確認コマンド

設定内容の確認

設定の内容を確認するには、show system ha コマンドを実行します。

show system ha

HA の状態確認

HA の状態を確認するには、get system ha status コマンドを実行します。

get system ha status

HA のプライマリ選択プロセス

HA 構成時のプライマリは以下に基づいて選定されます。

自動切り戻しが無効の場合（set override disable）

モニタポートの接続（up）数が多いノード
スレーブ側の age time（稼働時間）が設定値（デフォルト5分）より長い場合は現状維持、短い場合は ➂ へ
デバイスのプライオリティが大きいノード
シリアル番号が大きいノード

自動切り戻しが有効の場合（set override enable）

モニタポートの接続（up）数が多いノード
デバイスのプライオリティが大きいノード
スレーブ側の age time（稼働時間）が設定値（デフォルト5分）より長い場合は現状維持、短い場合は ➃ へ
シリアル番号が大きいノード

age time について

マスター側の age time は常に0、スレーブ側がカウントされる。
age time の設定は、config system ha の ha-uptime-diff-margin で行う。
age time の設定値との差分は、diagnose sys ha dump-by all-vcluster で確認できる。

以上

FortiGate の概要と基本設定

FortiGate とはフォーティネット（Fortinet,Inc.）が開発した統合脅威管理（UTM）アプライアンスです。次のような非常に多様な防御機能を持ち、単体で多層防御に対応します。ステートフルインスペクションファイ[…]

参考書籍

FortiGate完全攻略 [ 椎屋淳伸 ]

created by Rinker

¥3,080 (2023/01/27 14:30:51時点楽天市場調べ-詳細)

脚注[+]

脚注
↑1	障害発生時に、既存のセッションを引継ぎ、通信が途切れることなく切り替わる機能