FortiGate設定マニュアル - HA徹底入門
【第2回】Active-Passive HA

本ブログでは、FortiGateの「HA（High Availability）」モードの中で、最も需要のある「Active-Passive HA」の設定手順について解説します。

設定を始める前に

ここでは、FG70Fを例にして解説します。HAでは構成する物理ポートの数が多いため、それぞれの役割で利用するポートを用意します。

機種によっては、デフォルトで「fortilink」や「VLANスイッチ」が設定されている場合があるため、これらを解除する必要があります。例えば管理用のPCとつながっているポートがスイッチ機能に所属している場合、DHCPでIPアドレスを取得していると、スイッチを解除した後につながらなくなる恐れがあります。PCには予め固定IPアドレスを付与した上で、FortiGateへログインすることをお奨めします。上位モデルでは、予めMGMTポートが用意されています。DHCPまたは固定IPアドレスでMGMTポートからログインしてください。

Active-Passive HAの構成例

次のような構成で、Active-Passive HAを設定してみましょう。個別の機器ごとに設定を行い、ケーブルの結線は設定後に行ってください。

インターフェースの準備（1号機 & 2号機）

1）1号機と2号機で、それぞれインターフェースを準備します。

機種によっては、複数のポートに「fortilink（フォーティリンク）」が割り当てられているため、これを解除します。fortilinkはFortiSwitchと接続するための専用ポートです。
[ネットワーク] > [インターフェース] を選択 → 削除対象となるfortilinkの[参照] 欄を選択してください。

2）参照されている項目を選択して[削除]します。

3）システムNTPの削除は、[システム] > [設定] で行います。

「リッスンするインターフェース」からfortilinkを削除し、別のインターフェースに変更して[適用] してください。

4）参照項目が全て削除されると、fortilinkを削除できます。

5）機種によっては複数のポートがスイッチとして束ねられているため、これを解除します。

[ネットワーク] > [インターフェース] を選択 → 削除対象となるスイッチの[参照] 欄を選択してください。

6）参照されている項目を選択して[削除]します。

削除できない場合は[リストを表示]を選択して該当のアドレスを削除します。

7）参照項目が全て削除されると、スイッチを削除できます。

internalから接続している場合、スイッチを解除すると、IPアドレスも削除され、接続が失われます。接続が失われた場合は、コンソールからCLIコマンドで再度ネットワーク設定を行ってください。

ホスト名の設定（1号機 & 2号機）

1号機と2号機で、それぞれ異なるホスト名を入力し、[適用]します。機器のホスト名は同期の対象外となります。
[システム] > [設定]

インターフェースの設定（1号機）

LAN側、WAN側、マネジメントポートに、それぞれネットワーク設定を行います。HA用のポートには何も設定しないでください。
[ネットワーク] > [インターフェース]

インターフェースの設定（2号機）

LAN側、WAN側、マネジメントポートに、それぞれネットワーク設定を行います。HA用のポートには何も設定しないでください。マネジメントポートのIPアドレスには、1号機と異なるものを設定してください。
[ネットワーク] > [インターフェース]

著者

浦 弘平

ネットワークセキュリティ事業本部 カスタマーサポート部

誰もが知っているようで意外と知らない。今さら人に聞けない。
そんなかゆいところに手が届く情報や現場で役立つ豆知識を紹介していきます。