FortiGateの冗長化構成におけるha-direct設定方法について

NW機器

FortiGateの冗長化構成(HA構成)におけるha-direct設定について

この記事は投稿日から1年以上経過しています。

当記事では、冗長構成(HA構成)のFortiGateにおけるha-direct設定方法を記載します。

前提条件
本記事内で利用しているFortiGateのバージョンは以下の通りです。

  • FortiOS
  • v6.4.2 build 1723

HAとは

HA(高可用性)とは、複数のFortiGateをグループとして設定し設定を同期することで、ネットワーク障害によるダウンタイムを最小限に抑える機能となります。

ha-directとは

ha-directとは、HA構成時に以下の通信をHAの管理インターフェースを使用して行う機能となります。

    • syslog
    • SNMP
    • SNMP Trap(※1)
    • リモート認証(RADIUS)
    • FortiAnalyzer
    • FortiSandbox
    • sFlow
    • Netflow

※1:SNMP Trapのみ設定箇所が異なります。

事前準備

  • FortiGateを冗長構成にて使用していること
  • 管理インターフェースの予約を有効に設定していること(※2)

※2:[ネットワーク] > [インターフェース]よりmanagement-ipを設定し、スタンバイ機に管理アクセスするために使用している場合、ha-direct設定を追加することはできません。

ha-directの設定方法

ha-directの設定方法(SNMPTrapを除く)
本記事における構成は以下の通りです。

1号機(active)

管理用IPアドレス 172.16.10.2
管理インターフェースの予約 有効
  • インターフェース
 port1
  • ゲートウェイ
 172.16.10.1
ha-direct設定 有効

2号機(passive)

管理用IPアドレス 172.16.10.3
管理インターフェースの予約 有効
  • インターフェース
 port1
  • ゲートウェイ
 172.16.10.1
ha-direct設定 有効

ha-directの設定を行うためには、CLIから設定が必要となります。
ha-directの設定以外はGUIからも設定を行うことが可能です。

1. 以下のコマンドを実施し、HA構成にします。

# config system ha
(ha) # set mode a-p

2. 管理インターフェースの予約を有効にします。

(ha) # set ha-mgmt-status enable

3. 管理インターフェースの予約の設定を追加します。

(ha) # config ha-mgmt-interfaces
(ha-mgmt-interfaces) # edit 1
(1) # set interface “port1”
(1) # set gateway 172.16.10.1
(1) # next
(1) # end

※IPアドレスが設定されているインターフェースは管理インターフェースとして設定できないので、管理インターフェース設定後に[ネットワーク] > [インターフェース]より該当インターフェース(本記事port1)設定にてIPアドレスを設定します。

4. ha-directの設定を有効にします。

(ha) # set ha-direct enable

5. 設定を保存します。

(ha) # end

6. 設定が正しく行われているか確認します。

# show system ha
config system ha
 set mode a-p
 set ha-mgmt-status enable
 config ha-mgmt-interfaces
  edit 1
   set interface "port1"
   set gateway 172.16.10.1
  next
 end
 set ha-direct enable
end

7. HAに関連する各種設定は同期されないので、2号機(passive)も同様の手順で設定を行います。

ha-directの設定方法(SNMPTrap)
本記事における構成は以下の通りです。

SNMPマネージャIPアドレス 172.17.10.1
ha-direct設定 有効

ha-directの設定を行うためには、CLIから設定が必要となります。
ha-directの設定以外はGUIからも設定を行うことが可能です。

1. SNMP設定のSNMPマネージャから設定します。

# config system snmp community
(community) # edit 1
(1) # config hosts
(hosts) # edit 1
(1) # set ip 172.17.10.1 255.255.255.255
(1) # set ha-direct enable
(hosts)# next
(1) # end
(1) # next
(community) # end

2. 設定が正しく行われているか確認します。

# show system snmp community
 edit 1
  config hosts
   edit 1
       set ip 172.17.10.1 255.255.255.255
       set ha-direct enable
   next
  end
 next
end

以上で、冗長構成のFortiGateにおけるha-direct設定方法の説明は終了します。

記載されている会社名、システム名、製品名は一般に各社の登録商標または商標です。

当社製品以外のサードパーティ製品の設定内容につきましては、弊社サポート対象外となります。

CloudFront関連メトリクス一覧前のページ

LogStare Reporter連携時にご確認いただきたい事項について次のページ

ピックアップ記事

  1. ログフォワーダー「okurun.jar」について
  2. Zabbixヒストリデータのレポート生成について
  3. 自社製品をAMIにしてAWSマーケットプレイスへ出品
  4. IoT機器「Raspberry pi」とLogStare Collectorで温…

関連記事

  1. NW機器

    Q.【FortiGate】GUIのテーブル設定における表示カラムの変更はコンフィグに影響しますか?

    A.影響しません。FortiGateのテーブル設定については以下の…

  2. Nutanix Prism ElementにOVAファイルをインポートする方法

    NW機器

    Nutanix Prism ElementにOVAファイルをインポートする方法

    当記事では、Nutanix Prism ElementにOVAファイル…

  3. NW機器

    FortiOS v5.6.6におけるログ出力仕様の変更について

    FortiOS v5.6.6より、従来のログ出力方式に仕様変更が行われ…

  4. NW機器

    SonicWall UTMのログ活用事例

    当記事では、SonicWall社製UTMのログ活用事例としてSyslo…

  5. NW機器

    OpenSSLの脆弱性(CVE-2022-0778)に対する各UTM/IPS/WAFの対応状況につい…

    セキュアヴェイルの新入社員となりました新社会人 0x90 がOpenS…

  6. FortiGate

    FortiGate 遮断ポリシーが意図しない挙動になるケース

    FortiGateにおいてmatch-vipという重要な設定があります…

ナレッジステアはセキュアヴェイルグループが運営しています

ネットワーク管理者向けセキュリティセミナー

無料で使えるシステム監視・ログ管理ソフト

  1. AWS/Azure

    AWSマーケットプレイス上から無償版のLogStare Collectorを試す…

  2. NW機器

    PaloAltoのIPsec IKEv1 Phase1におけるトラブルシューティ…

  3. 実践記事

    DNSキャッシュポイズニングやってみた
  4. SNMPを触ってみた

    ログ分析・監視テクニック

    SNMPとは?新入社員が生まれてはじめて触ってみた!
  5. デフォルト画像イメージ

    FortiGate

    FortiGateのSD-WAN設定について
PAGE TOP