FortiGate FAQ - HA (冗長化)

HA構成時に管理用インタフェースからSyslog, SNMP Trapを送信できますか
ID
 : 
FG-41-0067
公開日
 : 
2019/05/27
更新日
 : 
2023/02/07
OS Ver
 : 
5.6, 6.0, 6.2, 6.4, 7.0, 7.2, 7.4
ha-direct 機能を利用することで、HAの管理用インタフェースを使い、Syslog, SNMP Trapを送信することができます。

FortiGateのHA構成では、Syslog, SNMP Trap等の自機発の管理通信は、デフォルト設定ではHA設定で指定した管理用インタフェース(ha-mgmt-interfaces)は使わず、マスター機器のインタフェースからルーティングに従い送信します。
これに対して、ha-direct 設定を行うことで、マスター機、スレーブ機ともに、管理用インタフェースとして指定したインタフェースから送信するようになります。

※ha-direct の設定は、CLIでのみ行うことができます。

・Syslogの設定
 管理用インタフェースからのSyslog送信は、以下のようにHA設定(config system ha)配下の ha-direct コマンドで行います。

 ※set interfaceで指定したインタフェースには、インタフェース設定項目で別にIPアドレスを設定する必要があります。
config system ha set ha-mgmt-status enable config ha-mgmt-interfaces <- 管理用インタフェースを登録 edit 1 set interface "インタフェース名" set gateway "ゲートウェイアドレス" next end set ha-direct enable <- 管理通信を管理用インタフェースを使うように設定 end

 設定を戻す場合は ha-direct を disable にします。
config system ha set ha-direct disable end

 以下は、管理用インタフェースとして、port1 を、管理インタフェースのゲートウェイに 192.168.1.254 を指定した場合の例です。
 尚、ha-direct 設定時は、プロンプトが表示されますので、y キーを入力します。
FGT60EXXXXXXXXXX # config system ha FGT60EXXXXXXXXXX (ha) # set ha-mgmt-status enable FGT60EXXXXXXXXXX (ha) # config ha-mgmt-interfaces FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # edit 1 FGT60EXXXXXXXXXX (1) # set interface port1 FGT60EXXXXXXXXXX (1) # set gateway 192.168.1.254 FGT60EXXXXXXXXXX (1) # next FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # end FGT60EXXXXXXXXXX (ha) # set ha-direct enable FGT60EXXXXXXXXXX (ha) # end When ha-direct is enabled, source ip may not work. We recommend to unset all log-related source ip. By selecting to continue, all source ip will be unset. Do you want to continue? (y/n)y

 ha-direct 設定時は前述のプロンプトの通り、ログ関連設定で送信元IPアドレスを設定している場合に、設定が解除される可能性があります。ha-direct設定後にコンフィグを確認し、設定が解除されていた項目がある場合は、再度設定を投入して下さい。


・SNMP Trapの設定
 管理用インタフェースからのSNMP Trapの送信は、以下のようにSNMP設定(config system snmp community)のSNMPマネージャの登録項目で行います。
config system snmp community edit 1 config hosts edit 1 set ip <SNMPマネージャのIPアドレス> <ネットマスク> set ha-direct enable <- 管理通信を管理用インタフェースを使うように設定 next end next end

 以下は、edit1 で登録されているSNMPマネージャへの送信に管理用インタフェースを利用する設定例です。
FGT60EXXXXXXXXXX # config system snmp community FGT60EXXXXXXXXXX (community) # edit 1 FGT60EXXXXXXXXXX (1) # config hosts FGT60EXXXXXXXXXX (hosts) # edit 1 FGT60EXXXXXXXXXX (1) # set ha-direct enable FGT60EXXXXXXXXXX (1) # next FGT60EXXXXXXXXXX (hosts) # end FGT60EXXXXXXXXXX (1) # end