FortiGate
HA(アクティブ/パッシブ)について
FortiGateのHAの特徴
アクティブ機とパッシブ機は共に同じIPアドレスとMACアドレスになります。
HA管理インターフェースのみアクティブ機とパッシブ機で異なるIPアドレスに設定できます。
HA構成条件
アクティブ機とパッシブ機で以下を揃える必要があります。
- ・機器型番
- ・FortiOS
- ・動作モード(NAT or トランスペアレント)
- ・VDOMモード
HA設定例
config system ha
set group-id 1 ← HAグループID(※1)
set group-name "Cluster" ← HAグループ名
set mode a-p ← HAモード
set hbdev "wan1" 50 "wan2" 50 ← HAポートとそのプライオリティ
set session-pickup enable ← フェイルオーバー時のセッション同期
set ha-mgmt-status enable ← HAの管理設定
config ha-mgmt-interfaces ← HA管理インターフェース
edit 1
set interface "dmz"
set gateway 10.10.10.10
next
end
set override disable ← 障害復旧時の自動切り戻り
set priority 64 ← HAプライオリティ(大きい方がマスターになる)
set monitor "internal1" "internal2" ← HAモニタポート
end
(※1)HA仮想MACアドレスの値がこのID値に影響します。 同セグメント内に複数のHAを構成する際は別IDにする必要があります。同じIDの場合、仮想MACアドレスが重複します。同セグメント内にHAが一つの場合は設定する必要はありません。
HAステータス確認コマンド
diagnose sys ha status
HAのマスター選出シーケンス
(1)リンクアップしているモニタポートが多い機器
(2)age time値が大きい機器
(3)HAのプライオリティ値が大きい機器
(4)シリアルナンバーが大きい機器
ただし、以下のいずれかの場合、(2)はスキップされます。
・"set override enable"を設定していた場合
・マスター機とスレーブ機のage timeの差が5分以内の場合
age timeとは
HAが構成されてからの経過時間です。機器の起動時間ではありません。
機器の再起動もしくはモニターポートのリンクダウンでage timeはリセットされます。
age timeをリセットするコマンド
diagnose sys ha reset-uptime
※マスター機で実行することでフェールオーバーさせることができます。
age timeの差の変更コマンド
コマンド例(3分に設定する場合)
FG # config system ha
FG (ha) # set ha-uptime-diff-margin 180
FG (ha) # end
HA管理インターフェースの仕様
HA管理インターフェースで以下の通信をするにはCLIで設定を加える必要があります。FortiOSv5.6以降のみ対応しています。
・Syslogの送信(※2)
・NTP同期(※2)
・SNMP通信(※3)
(※2)"config system ha"配下に"set ha-direct enable"を設定すると通信可能になります。
(※3)以下のようにSNMPに"set ha-direct enable"を設定すると通信可能になります。
SNMPの"set ha-direct enable"設定例
config system snmp community
edit 1
set name "public"
config hosts
edit 1
set ip 10.10.10.0 255.255.255.0
set ha-direct enable
next
edit 2
set ip 192.168.1.0 255.255.255.0
set ha-direct enable
next
end
next
end