FortiGate設定マニュアル - HA徹底入門
【第2回】Active-Passive HA
HAの設定(1号機)
2号機よりもプライオリティを高く設定します。
[システム] > [HA]
| 項目 | 解説 |
|---|---|
| モード | HAのモードです。ここでは「アクティブ・パッシブ」を選択してください。 |
| デバイスのプライオリティ | 機器の優先度です。クラスタを構成する機器の中で、値の大きい方が優先度が高く、プライマリになる可能性が高くなります。 |
| 優先度の効果を上げる | 有効にすると「オーバーライド」設定が有効になり、デバイスのプライオリティが優先されます。無効にするとHAの稼働時間が優先されます。通常は有効を選択してください。デフォルトは無効です。 |
| グループID | 1号機と2号機で共通の値を入力します。この値は仮想MACアドレスの定義に影響します。 |
| グループ名 | 1号機と2号機で共通の文字列を入力します。 |
| パスワード | 1号機と2号機で共通のパスワードを入力します。 |
| セッションピックアップ | セッションを同期する場合は有効にします。 |
| モニタインターフェース | 監視対象のインターフェースを選択します。このインターフェースのうち、どれか1つが不通になると、フェイルオーバーが発生します。 |
| ハートビートインターフェース | 機器間の設定やセッション情報を同期するためのインターフェースを選択します。 |
| ハートビートインターフェースのプライオリティ | 値の大きいインターフェースが優先されます。値が同じ場合は登録順です。 |
| 管理インターフェースの予約 | WebGUIに接続するための管理インターフェースを有効にします。 |
| インターフェース | WebGUIに接続するための管理インターフェースを選択します。 |
| ゲートウェイ | 別のサブネットから接続する場合はIPアドレスを入力します。 |
| 宛先サブネット | 別のサブネットから接続する場合はサブネットを指定します。 |
HAの設定(2号機)
1号機よりもプライオリティを低く設定します。
[システム] > [HA]
CLIによるHAの設定(1号機)
CLIコマンドでHAの設定を行う手順です。2号機よりもプライオリティを高く設定します。
# config system ha
(ha) # set mode a-p << HAモードの選択
(ha) # set priority 250 << HAのプライオリティ(2号機よりも高くする)
(ha) # set group-id 150 << HAのグループID(1号機&2号機共通)
(ha) # set group-name HA-Group << HAのグループ名(1号機&2号機共通)
(ha) # set password XXXXXXXX << HAのパスワード(1号機&2号機共通)
(ha) # set session-pickup enable << セッション同期の有効化
(ha) # set session-pickup-connectionless disable << UDP/ICMPのセッション同期の無効化
(ha) # set monitor internal1 wan1 << モニターインターフェースの選択
(ha) # set hbdev a 100 b 50 << ハートビートインターフェースの選択とプライオリティ
(ha) # set ha-mgmt-status enable << 管理インターフェースの有効化
(ha) # config ha-mgmt-interfaces << 管理インターフェースの設定
(ha-mgmt-interfaces) # edit 1
new entry '1' added
(1) # set interface internal2 << 管理インターフェースの選択
(1) # set gateway 192.168.3.254 << 管理インターフェースのゲートウェイ
(1) # end
(ha) # end
(ha) # set mode a-p << HAモードの選択
(ha) # set priority 250 << HAのプライオリティ(2号機よりも高くする)
(ha) # set group-id 150 << HAのグループID(1号機&2号機共通)
(ha) # set group-name HA-Group << HAのグループ名(1号機&2号機共通)
(ha) # set password XXXXXXXX << HAのパスワード(1号機&2号機共通)
(ha) # set session-pickup enable << セッション同期の有効化
(ha) # set session-pickup-connectionless disable << UDP/ICMPのセッション同期の無効化
(ha) # set monitor internal1 wan1 << モニターインターフェースの選択
(ha) # set hbdev a 100 b 50 << ハートビートインターフェースの選択とプライオリティ
(ha) # set ha-mgmt-status enable << 管理インターフェースの有効化
(ha) # config ha-mgmt-interfaces << 管理インターフェースの設定
(ha-mgmt-interfaces) # edit 1
new entry '1' added
(1) # set interface internal2 << 管理インターフェースの選択
(1) # set gateway 192.168.3.254 << 管理インターフェースのゲートウェイ
(1) # end
(ha) # end
| 項目 | 解説 | ||
|---|---|---|---|
| mode | HAのモード(standalone/a-a(アクティブ・アクティブ)/a-p(アクティブ・パッシブ))を選択します。 | ||
| priority | 機器の優先度の値を入力します。クラスタを構成する機器の中で、値の大きい方が優先度が高く、プライマリになる可能性が高くなります。デフォルトは128で、範囲は[0-255]です。 | ||
| group-id | HAのグループIDです。1号機と2号機で共通の値を入力します。 この値は仮想MACアドレスの定義に影響します。範囲は[0-1023]です。 |
||
| group-name | HAのグループ名です。1号機と2号機で共通の文字列を入力します。 | ||
| password | HAのパスワードです。1号機と2号機で共通のパスワードを入力します。 | ||
| session-pickup | セッション同期の有効/無効を設定します。この設定を有効化しないと、機器間でセッションの同期が行われません。デフォルトは無効です。 | ||
| session-pickup-connectionless | 有効にすると、UDP/ICMPのコネクションレス通信のセッションを同期します。デフォルトは無効です。コネクションレス通信のセッションは同期しても動作に影響が無いので、厳密なセッション数の監視を行う場合を除き、通常は無効にしてください。 | ||
| monitor | 監視対象のインターフェースを選択します。インターフェースは複数選択できます。選択されたインターフェースのうち、どれか1つが不通になると、フェイルオーバーが発生します。 | ||
| hbdev | 機器間の設定やセッション情報を同期するためのハートビートインターフェースを選択します。インターフェースは複数選択でき、それぞれに優先度の値を入力します。値の大きいインターフェースが優先されます。値が同じ場合は登録順です。範囲は[0-512]です。 | ||
| ha-mgmt-status | WebGUIに接続するための管理インターフェースの有効/無効を設定します。デフォルトはdisableです。 | ||
| ha-mgmt-interfaces | 管理インターフェースの設定項目です。config+editコマンドで編集します。 | ||
| interface | 管理インターフェースを選択します。 | ||
| gateway | 管理インターフェースのゲートウェイです。別のサブネットから接続する場合はIPアドレスを入力します。 | ||
CLIによるHAの設定(2号機)
CLIコマンドでHAの設定を行う手順です。1号機よりもプライオリティを低く設定します。
# config system ha
(ha) # set mode a-p << HAモードの選択
(ha) # set priority 200 << HAのプライオリティ(1号機よりも低くする)
(ha) # set group-id 150 << HAのグループID(1号機&2号機共通)
(ha) # set group-name HA-Group << HAのグループ名(1号機&2号機共通)
(ha) # set password XXXXXXXX << HAのパスワード(1号機&2号機共通)
(ha) # set session-pickup enable << セッション同期の有効化
(ha) # set session-pickup-connectionless disable << UDP/ICMPのセッション同期の無効化
(ha) # set monitor internal1 wan1 << モニターインターフェースの選択
(ha) # set hbdev a 100 b 50 << ハートビートインターフェースの選択とプライオリティ
(ha) # set ha-mgmt-status enable << 管理インターフェースの有効化
(ha) # config ha-mgmt-interfaces << 管理インターフェースの設定
(ha-mgmt-interfaces) # edit 1
new entry '1' added
(1) # set interface internal2 << 管理インターフェースの選択
(1) # set gateway 192.168.3.254 << 管理インターフェースのゲートウェイ
(1) # end
(ha) # end
(ha) # set mode a-p << HAモードの選択
(ha) # set priority 200 << HAのプライオリティ(1号機よりも低くする)
(ha) # set group-id 150 << HAのグループID(1号機&2号機共通)
(ha) # set group-name HA-Group << HAのグループ名(1号機&2号機共通)
(ha) # set password XXXXXXXX << HAのパスワード(1号機&2号機共通)
(ha) # set session-pickup enable << セッション同期の有効化
(ha) # set session-pickup-connectionless disable << UDP/ICMPのセッション同期の無効化
(ha) # set monitor internal1 wan1 << モニターインターフェースの選択
(ha) # set hbdev a 100 b 50 << ハートビートインターフェースの選択とプライオリティ
(ha) # set ha-mgmt-status enable << 管理インターフェースの有効化
(ha) # config ha-mgmt-interfaces << 管理インターフェースの設定
(ha-mgmt-interfaces) # edit 1
new entry '1' added
(1) # set interface internal2 << 管理インターフェースの選択
(1) # set gateway 192.168.3.254 << 管理インターフェースのゲートウェイ
(1) # end
(ha) # end
HAの動作を確認する方法
全ての設定が完了した後、ケーブルの結線を行うと、ネットワークの主導権がプライマリへと移ります。以後のネットワーク接続はプライマリが担当するため、セカンダリには接続できなくなります。唯一の例外として、管理インターフェースが独立しているため、セカンダリに接続したい場合は管理インターフェースから行ってください。
[システム] > [HA]
HAの構成が正しく行われていれば、HAのリストに自身以外の機器が出現し、設定の同期が行われます。
同期には数分の時間がかかります。ステータスが「同期済み」になれば、同期は完了です。
FortiGate本体の前面LEDランプで正常性を確認できます。それぞれの機器の「HA」が緑点灯していれば正常です。
HAの設定を編集する方法
それぞれの機器にログインして、設定を変更します。
[システム] > [HA]を選択 → 自身の機器を選択して[編集]。
HA徹底入門 シリーズ一覧
- HA徹底入門【第1回】High Availabilityとは
- HA徹底入門【第2回】Active-Passive HA
- HA徹底入門【第3回】HAの管理
- HA徹底入門【第4回】HAの同期と切り替え
- HA徹底入門【第5回】HA構成時のファームウェアアップグレード
著者
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security