Fortinet製品サポートトップ > Fortinet製品FAQ(よくあるご質問)トップ > HA (冗長化)
FortiGate FAQ - HA (冗長化)
ID
:
FG-41-0027
公開日
:
2019/04/01
更新日
:
2023/02/07
OS Ver
:
5.6, 6.0, 6.2, 6.4, 7.0, 7.2, 7.4
FGCP(FortiGate Clustering Protocol)によるHA構成では、通常、機器へのリモートアクセスはプライマリ機器に対して行われます。バックアップ機器にログインするには、以下何れかの方法で行えます。
※シリアルコンソールでアクセスする場合は、直接バックアップ機器にログインすることが出来ます。
※バックアップ機器へのアクセスはCLIで行います。
・プライマリ機器にログイン後に、バックアップ機器に移動
CLIでは、execute ha manage コマンドで、バックアップ機器に移動することが出来ます。
このコマンドは、6.2.1以降では、引数にバックアップ機器にログインするユーザ名を指定する必要がありますので、バージョンによって引数が異なります。
まず、execute ha manage の後に ? を入力し、移動できる機器と、対応する id を確認します。
以下例では、S/N:FGT60EYYYYYYYYYY の機器に id : 0 が紐づいています。
- OSが6.0系以下の場合
id を確認後、execute ha manage <id> コマンドを入力することで移動することができます。
移動後は、ホスト名が変わっていること、プロンプトが # から $ に変わっていることを確認して下さい。
- OSが6.2.1以降の場合
id を確認後、execute ha manage <id> <ユーザ名>コマンドを入力することで移動することができます。
※CLIでバックアップ機器へアクセスする場合は、ログインユーザのtrusthost設定で、169.254.0.0/16からのアクセスが許可されている必要があります。
・管理用インタフェースの設定
FGCPでは、HA構成の機器間でIPアドレス等、多くの設定を同期/共有します。このこともあり、外部からのリモートアクセスは通常、プライマリ側の機器に繋がりますが、Reserved Management Interface(管理用インタフェース)を設定することで、個々の機器に直接アクセスすることができるようになります。
※管理用に利用するインタフェース(例中では dmz)には、予めIPアドレスが設定されている前提で記載しています。
- CLIによる管理用インタフェースを設定
CLIでは、config system ha 項目で ha-mgmt-status を enable にした後、config ha-mgmt-interfaces 配下に、管理用インタフェースにするインタフェースとゲートウェイを設定します。
管理用インタフェースを持たせる機器それぞれに設定を行います。
※管理用インタフェースは、ルーティングテーブルを独立して持ちます。
以下は、管理用インタフェースを dmz 、ゲートウェイを 192.168.2.254 とした場合の設定例です。
- GUIによる管理用インタフェースを設定
管理用インタフェースは、GUIでも設定することができます。GUIでは、HA設定項目で行います。
下図は、FortiOS 6.0の画面例ですが、他のバージョンでも画面に大きな違いはありません。
GUIでは、Management Interface Reservation を有効にし、Interface で管理用インタフェースとして利用するインタフェースを選択、Gateway を入力し、OK ボタンを押します。
※シリアルコンソールでアクセスする場合は、直接バックアップ機器にログインすることが出来ます。
※バックアップ機器へのアクセスはCLIで行います。
- プライマリ機器にログイン後に、バックアップ機器に移動
- 管理用インタフェースを設定
・プライマリ機器にログイン後に、バックアップ機器に移動
CLIでは、execute ha manage コマンドで、バックアップ機器に移動することが出来ます。
このコマンドは、6.2.1以降では、引数にバックアップ機器にログインするユーザ名を指定する必要がありますので、バージョンによって引数が異なります。
まず、execute ha manage の後に ? を入力し、移動できる機器と、対応する id を確認します。
以下例では、S/N:FGT60EYYYYYYYYYY の機器に id : 0 が紐づいています。
FGT60EXXXXXXXXXX # execute ha manage ?
<id> please input peer box index.
<0> Subsidary unit FGT60EYYYYYYYYYY
- OSが6.0系以下の場合
id を確認後、execute ha manage <id> コマンドを入力することで移動することができます。
移動後は、ホスト名が変わっていること、プロンプトが # から $ に変わっていることを確認して下さい。
FGT60EXXXXXXXXXX # execute ha manage 0 <- id を入力します
FGT60EYYYYYYYYYY login: admin
Password:
Welcome !
FGT60EYYYYYYYYYY $ <- ホスト名が変わり、プロンプトが # から $ に変わったことを確認します
- OSが6.2.1以降の場合
id を確認後、execute ha manage <id> <ユーザ名>コマンドを入力することで移動することができます。
FGT60EXXXXXXXXXX # execute ha manage 0 admin <- id の次にログインユーザ名を指定します
admin@169.254.0.2's password:
FGT60EYYYYYYYYYY # <- ホスト名が変わったことを確認します
※CLIでバックアップ機器へアクセスする場合は、ログインユーザのtrusthost設定で、169.254.0.0/16からのアクセスが許可されている必要があります。
・管理用インタフェースの設定
FGCPでは、HA構成の機器間でIPアドレス等、多くの設定を同期/共有します。このこともあり、外部からのリモートアクセスは通常、プライマリ側の機器に繋がりますが、Reserved Management Interface(管理用インタフェース)を設定することで、個々の機器に直接アクセスすることができるようになります。
※管理用に利用するインタフェース(例中では dmz)には、予めIPアドレスが設定されている前提で記載しています。
- CLIによる管理用インタフェースを設定
CLIでは、config system ha 項目で ha-mgmt-status を enable にした後、config ha-mgmt-interfaces 配下に、管理用インタフェースにするインタフェースとゲートウェイを設定します。
管理用インタフェースを持たせる機器それぞれに設定を行います。
※管理用インタフェースは、ルーティングテーブルを独立して持ちます。
config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit <id>
set interface <インタフェース名>
set gateway <Gateway Address>
next
end
end
以下は、管理用インタフェースを dmz 、ゲートウェイを 192.168.2.254 とした場合の設定例です。
FGT60EXXXXXXXXXX # config system ha
FGT60EXXXXXXXXXX (ha) # set ha-mgmt-status enable
FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # config ha-mgmt-interfaces
FGT60EXXXXXXXXXX (ha) # edit 1
FGT60EXXXXXXXXXX (1) # set interface "dmz"
FGT60EXXXXXXXXXX (1) # set gateway 192.168.2.254
FGT60EXXXXXXXXXX (1) # next
FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # end
FGT60EXXXXXXXXXX (ha) # end
- GUIによる管理用インタフェースを設定
管理用インタフェースは、GUIでも設定することができます。GUIでは、HA設定項目で行います。
下図は、FortiOS 6.0の画面例ですが、他のバージョンでも画面に大きな違いはありません。
GUIでは、Management Interface Reservation を有効にし、Interface で管理用インタフェースとして利用するインタフェースを選択、Gateway を入力し、OK ボタンを押します。