FortiGate設定マニュアル - HA徹底入門
【第3回】HAの管理
プライマリ機からセカンダリ機へログインする方法
下記のCLIコマンドで、プライマリ機からセカンダリ機へログインできます。プライマリ機からセカンダリ機をコマンドで直接操作できます。
<id> please input peer box index.
<0> Subsidiary unit FGT70FTKYYYYYYYY
FG70F_1st # execute ha manage 0 admin << セカンダリにログイン
admin@169.254.0.1‘s password: XXXXXXXX << パスワード入力
FG70F_2nd # << セカンダリへのログイン完了
FG70F_2nd # exit << セカンダリからログアウト
Connection to 169.254.0.1 closed.
FG70F_1st #
HAにおける自発的な通信の可否
HA構成では、FortiGate自身が行う自発的な通信(例:DNS問い合わせ、NTPによる時刻同期など)は、基本的にプライマリ機(稼働中)からのみ行われ、セカンダリ機(待機中)は、これらの通信には参加しません。
これは、HA構成において常にプライマリ機が代表して通信を行う設計になっているためです。ただし、管理インターフェースを利用している場合は、セカンダリ機も独立したIPアドレスを持つ機器として動作するため、セカンダリ機からも自発的な通信を行うことができます。
| 種類 | プライマリ機 | セカンダリ機 | 管理インターフェース |
|---|---|---|---|
| NTP | 〇※1 | × | 〇※5 |
| Syslog/FortiAnalyzer | 〇※1、※2 | × | 〇※5 |
| SNMPポーリング/トラップ | 〇※1 | × | 〇※5 |
| NetFlow/sFlow | 〇※1 | × | 〇※5 |
| Ping | 〇 | × | 〇※6 |
| FortiGuardライセンス確認 /シグネチャ更新 | 〇 | × | × |
| Telnet/SSH(機器へのログイン) | 〇 | 〇※3、※4 | 〇 |
| HTTP/HTTPS(機器へのログイン) | 〇 | 〇※4 | 〇 |
※1:「ha-direct」を有効後、管理インターフェース経由で取得します。
※2:プライマリ経由でセカンダリの情報も送信されます。
※3:一旦、プライマリ機にログインして、コマンドでセカンダリ機に接続できます。この接続はハートビートを経由します。
※4:インバンドIPを設定することで、セカンダリ機へ直接ログインできます。
※5:「ha-direct」を有効にすることで、各機器が管理インターフェース経由で通信します。
※6:「execute enter vsys_hamgmt」実行後に実行できます。
管理インターフェースで自発通信を行う方法
管理インターフェースでNTP/SNMP/Syslog/FortiAnalyzer/NetFlow/sFlow等の通信を行いたい場合は、「ha-direct」機能を有効にする必要があります。ha-directを有効にすると、HA構成における管理系の通信が、通常のデータ通信とは分離され、専用の管理インターフェースを経由して行われるようになります。
(ha) # set ha-direct enable << ha-direct有効
(ha) # end
When ha-direct is enabled, source ip may not work.
We recommend to unset all log-related, netflow and sflow source ip.
By selecting to continue, all source ip will be unset.
Do you want to continue? (y/n)y << "y"を選択
管理インターフェースでNTP通信を行う方法
「ha-direct」有効後、FortiGateは管理インターフェース経由でNTPサーバを参照するようになります。NTPサーバを特定のIPアドレスに変更したい場合は、CLIコマンドで下記の設定を行ってください。
(ntp) # set type custom << カスタム設定に変更
(ntp) # config ntpserver
(ntpserver) # edit 1 << NTPサーバの追加
(1) # set server 192.168.3.111 << NTPサーバのIPアドレス入力
(1) # end
(ntp) # end
管理インターフェースでSNMP通信を行う方法
SNMPの場合、「ha-direct」を有効にした後、SNMPバージョンごとに個別の「ha-direct」の設定が必要になります。CLIコマンドで下記の設定を行うと、FortiGateは管理インターフェース経由でSNMPマネージャと通信するようになります。
# config system snmp community
(community) # edit 1 << SNMPコミュニティ編集
(1) # config hosts
(hosts) # edit 1 << SNMPマネージャ編集
(1) # set ha-direct enable << ha-direct有効
(1) # end
(1) # end
<SNMP v3のとき>
# config system snmp user
(user) # edit public << SNMPユーザー名編集
(public) # set ha-direct enable << ha-direct有効
(public) # end
HA徹底入門 シリーズ一覧
著者
関連製品
-
FortiGate/FortiGateCloud強固なセキュリティ機能を一台で提供する統合脅威管理(UTM)アプライアンスです。- Cloud / SaaS
- Network Security
- OT Security