FortiGate FAQ - HA (冗長化)

HA構成時に管理用インタフェースを使ってNTPサーバと同期できますか
ID
 : 
FG-41-0042
公開日
 : 
2019/05/27
更新日
 : 
2023/02/07
OS Ver
 : 
5.6, 6.0, 6.2, 6.4, 7.0, 7.2
FortiOS 5.6系以降のOSでは、ha-direct 機能を利用することで、HAの管理用インタフェースを使い、NTPサーバと同期することができます。尚、スレーブ機は設定に依らず、プライマリー機の時刻と同期します。

FortiGateのHA構成では、NTPの他、Syslog SNMP Trap等の自機発の管理通信は、デフォルト設定ではHA設定で指定した管理用インタフェース(ha-mgmt-interfaces)は使わず、マスター機器のインタフェースからルーティングに従い送信します。
これに対して、ha-direct設定を行うことで、管理用インタフェースとして指定したインタフェースを使い、パケットを送信するようになります。

ha-direct の設定は、以下 config system ha コマンド配下で設定します。
尚、ha-direct の設定を行うには、事前に管理用インタフェース(ha-mgmt-interfaces)を設定している必要があります。

※ha-direct の設定は、CLIでのみ行うことができます。
※set interfaceで指定したインタフェースには、インタフェース設定項目で別にIPアドレスを設定する必要があります。
config system ha set ha-mgmt-status enable config ha-mgmt-interfaces <- 管理用インタフェースを登録 edit 1 set interface "インタフェース名" set gateway "ゲートウェイアドレス" next end set ha-direct enable <- 管理通信を管理用インタフェースを使うように設定 end

設定を戻す場合は ha-direct を disable にします。
config system ha set ha-direct disable end

以下は、管理用インタフェースとして、port1 を、管理インタフェースのゲートウェイに 192.168.1.254 を指定した場合の例です。
尚、ha-direct 設定時は、プロンプトが表示されますので、y キーを入力します。
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # set ha-mgmt-status enable FGT60EXXXXXXXXXX (ha) # config ha-mgmt-interfaces FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # edit 1 FGT60EXXXXXXXXXX (1) # set interface port1 FGT60EXXXXXXXXXX (1) # set gateway 192.168.1.254 FGT60EXXXXXXXXXX (1) # next FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # end FGT60EXXXXXXXXXX (ha) # set ha-direct enable FGT60EXXXXXXXXXX (ha) # end When ha-direct is enabled, source ip may not work. We recommend to unset all log-related source ip. By selecting to continue, all source ip will be unset. Do you want to continue? (y/n)y

ha-direct 設定時は前述のプロンプトの通り、ログ関連設定で送信元IPアドレスを設定している場合に、設定が解除される可能性があります。ha-direct設定後にコンフィグを確認し、設定が解除されていた項目がある場合は、再度設定を投入して下さい。