FortiGate設定マニュアル - HA徹底入門
【第1回】High Availabilityとは

ケーブルの配線方法

HAを構成する際、多くの初心者が不安を感じるのはケーブルの配線方法です。しかし余程特殊なものを除き、パターンはそれほど多くありません。主なパターンは下記の4種類です。
この他には、図中のL2スイッチがL3スイッチやロードバランサに置き換わるパターンなどが考えられますが、上級者向けとなるため、ここでは割愛します。

配線例①	配線例②
FortiGateのみが冗長化されています。	FortiGateのみが冗長化されています。
配線例③	配線例④
複数回線と接続しています。	対向機器も冗長化されています。

LAGを組み合わせた場合の注意点

LAG（リンクアグリゲーション）を利用している場合、対向ポートの位置に注意しましょう。2台のスイッチがスタックされている場合は「論理的に1台」の状態です。常に1台のスイッチと接続していることを意識して配線を行ってください。

HA構成でLAGを組む場合、対向となるL2スイッチ側の「LAGグループ」を異なるものに分離してください。デフォルトでは、セカンダリ機もLACPネゴシエーションに参加します。両機は1つの仮想的なシステムを構成するために、共通の「仮想MACアドレス」を持ちます。この時、全てのインターフェースが同じLAGグループに含まれてしまうと、HAの機能を混乱させます。このため、対向のL2スイッチからの受信トラフィックがセカンダリに送られないよう、LAGグループを分ける必要があります。

LAGグループが同じ場合	LAGグループが異なる場合

L2スイッチ側で異なるLAGグループを設定できない場合は、次のコマンドで、セカンダリがLACPネゴシエーションに参加しないようにします。「lacp-ha-secondary」を無効にすることで、HAセカンダリによるLACPメッセージの送受信がブロックされます。

Active-Active HAでは、セカンダリもパケットを受信して処理します。この設定を行うと処理ができなくなるので、注意してください。Active-Active HAの場合は、必ず対向となるL2スイッチ側のLAGグループを異なるものにしてください。

スイッチ機能を利用する場合の注意点

HA構成でハードウェアスイッチ/VLANスイッチ機能を利用する場合、次のように接続するとループが起きて通信できなくなります。通常はセカンダリにトラフィックが流れることはありませんが、この場合はスイッチ部分が機能しているため、このような現象が起きます。

STPが無効の場合	STPが有効の場合

ハードウェアスイッチ/VLANスイッチでは、デフォルトで「STP（スパニングツリープロトコル）」機能が有効のため、予めループを防げる設計になっていますが、誤ってSTPを無効にした場合は有効に戻してください。ソフトウェアスイッチの場合はセカンダリで機能しないため、ループは起きません。このような混乱を防ぐため、HA構成時はFortiGateのスイッチ機能を使わず、個別ポートに分離した上で、別途L2スイッチを組み合わせることをお奨めします。

著者

浦 弘平

ネットワークセキュリティ事業本部 カスタマーサポート部

誰もが知っているようで意外と知らない。今さら人に聞けない。
そんなかゆいところに手が届く情報や現場で役立つ豆知識を紹介していきます。