Fortinet製品サポートトップ > Fortinet製品FAQ(よくあるご質問)トップ > HA (冗長化)
FortiGate FAQ - HA (冗長化)
ID
:
FG-41-0067
公開日
:
2019/05/27
更新日
:
2023/02/07
OS Ver
:
5.6, 6.0, 6.2, 6.4, 7.0, 7.2
ha-direct 機能を利用することで、HAの管理用インタフェースを使い、Syslog, SNMP Trapを送信することができます。
FortiGateのHA構成では、Syslog, SNMP Trap等の自機発の管理通信は、デフォルト設定ではHA設定で指定した管理用インタフェース(ha-mgmt-interfaces)は使わず、マスター機器のインタフェースからルーティングに従い送信します。
これに対して、ha-direct 設定を行うことで、マスター機、スレーブ機ともに、管理用インタフェースとして指定したインタフェースから送信するようになります。
※ha-direct の設定は、CLIでのみ行うことができます。
・Syslogの設定
管理用インタフェースからのSyslog送信は、以下のようにHA設定(config system ha)配下の ha-direct コマンドで行います。
※set interfaceで指定したインタフェースには、インタフェース設定項目で別にIPアドレスを設定する必要があります。
設定を戻す場合は ha-direct を disable にします。
以下は、管理用インタフェースとして、port1 を、管理インタフェースのゲートウェイに 192.168.1.254 を指定した場合の例です。
尚、ha-direct 設定時は、プロンプトが表示されますので、y キーを入力します。
ha-direct 設定時は前述のプロンプトの通り、ログ関連設定で送信元IPアドレスを設定している場合に、設定が解除される可能性があります。ha-direct設定後にコンフィグを確認し、設定が解除されていた項目がある場合は、再度設定を投入して下さい。
・SNMP Trapの設定
管理用インタフェースからのSNMP Trapの送信は、以下のようにSNMP設定(config system snmp community)のSNMPマネージャの登録項目で行います。
以下は、edit1 で登録されているSNMPマネージャへの送信に管理用インタフェースを利用する設定例です。
FortiGateのHA構成では、Syslog, SNMP Trap等の自機発の管理通信は、デフォルト設定ではHA設定で指定した管理用インタフェース(ha-mgmt-interfaces)は使わず、マスター機器のインタフェースからルーティングに従い送信します。
これに対して、ha-direct 設定を行うことで、マスター機、スレーブ機ともに、管理用インタフェースとして指定したインタフェースから送信するようになります。
※ha-direct の設定は、CLIでのみ行うことができます。
・Syslogの設定
管理用インタフェースからのSyslog送信は、以下のようにHA設定(config system ha)配下の ha-direct コマンドで行います。
※set interfaceで指定したインタフェースには、インタフェース設定項目で別にIPアドレスを設定する必要があります。
config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces <- 管理用インタフェースを登録
edit 1
set interface "インタフェース名"
set gateway "ゲートウェイアドレス"
next
end
set ha-direct enable <- 管理通信を管理用インタフェースを使うように設定
end
設定を戻す場合は ha-direct を disable にします。
config system ha
set ha-direct disable
end
以下は、管理用インタフェースとして、port1 を、管理インタフェースのゲートウェイに 192.168.1.254 を指定した場合の例です。
尚、ha-direct 設定時は、プロンプトが表示されますので、y キーを入力します。
FGT60EXXXXXXXXXX # config system ha
FGT60EXXXXXXXXXX (ha) # set ha-mgmt-status enable
FGT60EXXXXXXXXXX (ha) # config ha-mgmt-interfaces
FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # edit 1
FGT60EXXXXXXXXXX (1) # set interface port1
FGT60EXXXXXXXXXX (1) # set gateway 192.168.1.254
FGT60EXXXXXXXXXX (1) # next
FGT60EXXXXXXXXXX (ha-mgmt-interfaces) # end
FGT60EXXXXXXXXXX (ha) # set ha-direct enable
FGT60EXXXXXXXXXX (ha) # end
When ha-direct is enabled, source ip may not work.
We recommend to unset all log-related source ip.
By selecting to continue, all source ip will be unset.
Do you want to continue? (y/n)y
ha-direct 設定時は前述のプロンプトの通り、ログ関連設定で送信元IPアドレスを設定している場合に、設定が解除される可能性があります。ha-direct設定後にコンフィグを確認し、設定が解除されていた項目がある場合は、再度設定を投入して下さい。
・SNMP Trapの設定
管理用インタフェースからのSNMP Trapの送信は、以下のようにSNMP設定(config system snmp community)のSNMPマネージャの登録項目で行います。
config system snmp community
edit 1
config hosts
edit 1
set ip <SNMPマネージャのIPアドレス> <ネットマスク>
set ha-direct enable <- 管理通信を管理用インタフェースを使うように設定
next
end
next
end
以下は、edit1 で登録されているSNMPマネージャへの送信に管理用インタフェースを利用する設定例です。
FGT60EXXXXXXXXXX # config system snmp community
FGT60EXXXXXXXXXX (community) # edit 1
FGT60EXXXXXXXXXX (1) # config hosts
FGT60EXXXXXXXXXX (hosts) # edit 1
FGT60EXXXXXXXXXX (1) # set ha-direct enable
FGT60EXXXXXXXXXX (1) # next
FGT60EXXXXXXXXXX (hosts) # end
FGT60EXXXXXXXXXX (1) # end