FortiGateの冗長化構成におけるha-direct設定方法について

NW機器

FortiGateの冗長化構成(HA構成)におけるha-direct設定について

この記事は投稿日から2年以上経過しています。

当記事では、冗長構成(HA構成)のFortiGateにおけるha-direct設定方法を記載します。

若手エンジニア志望者を募集!支度金あり

前提条件
本記事内で利用しているFortiGateのバージョンは以下の通りです。

  • FortiOS
  • v6.4.2 build 1723

HAとは

HA(高可用性)とは、複数のFortiGateをグループとして設定し設定を同期することで、ネットワーク障害によるダウンタイムを最小限に抑える機能となります。

ha-directとは

ha-directとは、HA構成時に以下の通信をHAの管理インターフェースを使用して行う機能となります。

    • syslog
    • SNMP
    • SNMP Trap(※1)
    • リモート認証(RADIUS)
    • FortiAnalyzer
    • FortiSandbox
    • sFlow
    • Netflow

※1:SNMP Trapのみ設定箇所が異なります。

事前準備

  • FortiGateを冗長構成にて使用していること
  • 管理インターフェースの予約を有効に設定していること(※2)

※2:[ネットワーク] > [インターフェース]よりmanagement-ipを設定し、スタンバイ機に管理アクセスするために使用している場合、ha-direct設定を追加することはできません。

ha-directの設定方法

ha-directの設定方法(SNMPTrapを除く)
本記事における構成は以下の通りです。

1号機(active)

管理用IPアドレス 172.16.10.2
管理インターフェースの予約 有効
  • インターフェース
port1
  • ゲートウェイ
172.16.10.1
ha-direct設定 有効

2号機(passive)

管理用IPアドレス 172.16.10.3
管理インターフェースの予約 有効
  • インターフェース
port1
  • ゲートウェイ
172.16.10.1
ha-direct設定 有効

ha-directの設定を行うためには、CLIから設定が必要となります。
ha-directの設定以外はGUIからも設定を行うことが可能です。

1. 以下のコマンドを実施し、HA構成にします。

# config system ha
(ha) # set mode a-p

2. 管理インターフェースの予約を有効にします。

(ha) # set ha-mgmt-status enable

3. 管理インターフェースの予約の設定を追加します。

(ha) # config ha-mgmt-interfaces
(ha-mgmt-interfaces) # edit 1
(1) # set interface “port1”
(1) # set gateway 172.16.10.1
(1) # next
(1) # end

※IPアドレスが設定されているインターフェースは管理インターフェースとして設定できないので、管理インターフェース設定後に[ネットワーク] > [インターフェース]より該当インターフェース(本記事port1)設定にてIPアドレスを設定します。

4. ha-directの設定を有効にします。

(ha) # set ha-direct enable

5. 設定を保存します。

(ha) # end

6. 設定が正しく行われているか確認します。

# show system ha
config system ha
 set mode a-p
 set ha-mgmt-status enable
 config ha-mgmt-interfaces
  edit 1
   set interface "port1"
   set gateway 172.16.10.1
  next
 end
 set ha-direct enable
end

7. HAに関連する各種設定は同期されないので、2号機(passive)も同様の手順で設定を行います。

ha-directの設定方法(SNMPTrap)
本記事における構成は以下の通りです。

SNMPマネージャIPアドレス 172.17.10.1
ha-direct設定 有効

ha-directの設定を行うためには、CLIから設定が必要となります。
ha-directの設定以外はGUIからも設定を行うことが可能です。

1. SNMP設定のSNMPマネージャから設定します。

# config system snmp community
(community) # edit 1
(1) # config hosts
(hosts) # edit 1
(1) # set ip 172.17.10.1 255.255.255.255
(1) # set ha-direct enable
(hosts)# next
(1) # end
(1) # next
(community) # end

2. 設定が正しく行われているか確認します。

# show system snmp community
 edit 1
  config hosts
   edit 1
       set ip 172.17.10.1 255.255.255.255
       set ha-direct enable
   next
  end
 next
end

以上で、冗長構成のFortiGateにおけるha-direct設定方法の説明は終了します。

若手エンジニア志望者を募集!支度金あり

LogStare Collector 無償版

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

CloudFront関連メトリクス一覧前のページ

LogStare Reporter連携時にご確認いただきたい事項について次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. IoT機器「Raspberry pi」とLogStare Collectorで温…
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. ログフォワーダー「okurun.jar」について

関連記事

  1. FortiGate

    FortiGate 遮断ポリシーが意図しない挙動になるケース

    FortiGateにおいてmatch-vipという重要な設定があります…

  2. NW機器

    Fortinet製品における認証バイパスの脆弱性(CVE-2022-40684)に対するFortiO…

    ※本記事の内容は、2022年10月18日現在の公開情報およびセキュアヴ…

  3. NW機器

    PaloAltoの送信元・宛先NAT設定方法

    当記事ではPaloAltoにおける送信元NAT・宛先NATの設定方法に…

  4. FortiGate

    FortiGateのGARP(Gratuitous ARP)の送信タイミングについて検証してみた!

    こんにちは、takiです。直近の案件で別チームがUTMのリプレ…

  5. FortiGate

    [FortiGate]Webフィルタの設定方法と確認方法について

    新人社員のINAです。本記事ではFortiGateでWebフィルタ…

  6. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

若手エンジニア志望者を募集!
LogStare Collector 無償版
クラウド活用の「困った」「焦った」事例
月額200円でM356の監査ログの運用レベルUP LogStare M365
AWSのログ分析・モニタリングに 次世代のマネージド・セキュリティ・プラットフォーム LogStare

  1. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…
  5. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
PAGE TOP