■1.HAの設計
HAを設定する前に、HAの設計をしましょう。インターフェースやIPアドレス、HAの名前などを決めます。

(1)事前設定としてIFの設定
・WAN、LANに同じIPを割り当てます。
・HAのハートビートのために、どこかのポートをHAポートとします。(今回はDMZ)
・DMZはHAのポートとなるため、IPアドレスを割り当てません。(0.0.0.0/0としてください)

(2)HAの設定 システム>HAから設定
・HAのモードは「アクティブ・パッシブ」、HAのグループ名、パスワードを共通に設定します。
・優先度(プライオリティ)は、優先したい機器を高くします。
・モニタインターフェースは、監視用のインターフェースです。今回はWAN1とします。これがダウンしたら、HA
のマスタをスレーブにします。

■2.実際の設定
(1)主系の設定
config system ha ←HAを設定するモードに入る
set group-name "ha1" ←HAのグループ名(※主系と副系で一致させる)
set mode a-p ←Active-Standbyモード
set hbdev "dmz" 0 ←HeartBeatのインターフェースとしてwan2を指定する
set override disable ←自動切り戻しをしない
set priority 200 ←主系は優先度が高い(200)
set monitor "wan1" ←監視ポートとして、wan1のインターフェースを設定する。このポートとの通信ができなくなったら、副系にその旨を伝え、副系がActiveに切替わる

(2)副系の設定
config system ha
set group-name "ha1" 
set mode a-p 
set hbdev "dmz" 0
set override disable
set priority 100 ←副系は優先度が低い(100)
set monitor "wan1"

設定画面はこんな感じです。
fortigateHa1
■HAの状態を確認してみましょう。
以下は、プライオリティが高いFGTのWANをダウンさせて、マスタが入れ替わった状態です。
「同期済み」のところが、「×」になっているのが気になりますが、動作は正常に動いています。OSのバージョンが、6.0.2と6.0.5で微妙に違うことが原因かもしれません。
FortigateHA


■pingを打ち続けましょう。
マスタのWANのLANケーブルを抜いて、HAの切り替わりにどれくらい時間がかかるか、確認しましょう。
私の実験では、pingが1回落ちましたが、すぐに通信が再開されました。
また、HAのステータスでも、マスタとスレーブが入れ替わりました。

C:\>ping 8.8.8.8 -t
8.8.8.8 に ping を送信しています 32 バイトのデータ:
8.8.8.8 からの応答: バイト数 =32 時間 =6ms TTL=53
8.8.8.8 からの応答: バイト数 =32 時間 =5ms TTL=53
8.8.8.8 からの応答: バイト数 =32 時間 =5ms TTL=53
8.8.8.8 からの応答: バイト数 =32 時間 =5ms TTL=53
8.8.8.8 からの応答: バイト数 =32 時間 =5ms TTL=53
要求がタイムアウトしました。
8.8.8.8 からの応答: バイト数 =32 時間 =9ms TTL=53
8.8.8.8 からの応答: バイト数 =32 時間 =14ms TTL=53
8.8.8.8 からの応答: バイト数 =32 時間 =6ms TTL=53

■HAを止める
システム>HAの画面からFortigateを選択し、「編集」ボタンをクリック。
HAから戻すには、モードを「スタンドアロン」にします。

スポンサードリンク