FortiGateの設計/設定ガイド

FortiGateの設計・設定方法を詳しく書いたサイトです。 FortiGateの基本機能であるFW(ファイアウォール)、IPsec、SSL‐VPN(リモートアクセス)だけでなく、次世代FWとしての機能、セキュリティ機能(アンチウイルス、Webフィルタリング、SPAM対策)、さらにはHA,可視化、レポート設定までも記載します。初期化方法やバージョンアップなどの管理面も書いています。標的型攻撃を守るためのゲートウェイとしても導入されることが多いので、セキュリティ機能に関しては充実した記載を心がけます。

カテゴリ:6.各種の高度な設定 > 6.5 HAの設定

FortiGateを勉強する女性SE (19)

VRRPだと、実IP以外に、仮想IPアドレスがありますね




FortiGateの場合は、少し異なります。
HA用に実IPが一つだけ割り当てられます。(MACアドレスは仮想MACが割当てられます)
具体的例は、以下です。
FW1 IPアドレス 10.10.1.1/24 実mac mac1 仮想MAC mac-v
FW2 IPアドレス 10.10.1.1/24 実mac mac2 仮想MAC mac-v

VRRPとは違いま、2台のFWでじゃ、共通のIPアドレスをそのまま使います。しかし、管理したいときに、Standby側に通信ができません。そのため、FWの管理用ポートに管理用セグメントを設けて、そこに管理IPアドレスをそれぞれ割り当てます。
FW1 管理用IPアドレス 192.168.1.1/24
FW2 管理用IPアドレス 192.168.1.2/24
※上記の実IPアドレスとは完全に分断されているので、同一セグメントでも問題ない

■主系の設定
config system ha ←HAを設定するモードに入る
set group-name "fw-ha" ←HAのグループ名(※主系と副系で一致させる)
set mode a-p ←Active-Standbyモード
set hbdev "wan2" 0 ←HeartBeatのインターフェースとしてwan2を指定する
set override disable ←自動切り戻しをしない
set priority 200 ←主系は優先度が高い(200)
set monitor "internal1" "wan1" ←監視ポートとして、internalとwan1のインターフェースを設定する。このポートとの通信ができなくなったら、副系にその旨を伝え、副系がActiveに切替わる

■副系の設定
config system ha
set group-name "fw-ha" 
set mode a-p 
set hbdev "wan2" 0
set override disable
set priority 100 ←副系は優先度が低い(100)
set monitor "internal1" "wan1"

専用ケーブルの必要あり
FortiGateの場合、2台のFWを接続するHAポートは、HAの専用ポートではなく、任意に指定したポートを使用します。ケーブルも専用ケーブルではなく、通常のLANケーブルです。また、両FWの間にSWを挟むこともできます。
注意点として、HAのポートはHA専用で使用する必要があります。

HAケーブルの目的
2台のFWを結ぶ目的は、Config同期とHearBeatのパケット送受信、Session同期です。

HAケーブルの冗長化
・通常はHA用にケーブルが1本あればいい。(必要に応じて冗長化)
・HA用のケーブルと、Session同期用に別ケーブルを用意してもいい。この場合、HAケーブルには、Config同期とHearBeatのパケット送受信のみが流れます。
・上記をそれぞれ冗長化する場合は、ケーブルは4本(以上)になる。

FortiGateの場合、以下です。
 ① Config
 ② セッション情報 ※有効、無効の設定ができます
 ③ ルーティングテーブル
 また、これらの管理情報は,HAポート経由でFGCPを使って通知しています。

FortiGateの場合、Standby機がActive機の故障を知る手段は、以下になります。
①HAケーブル経由でのハートビート(hello)のロスト
②Active機が監視しているポートのLinkDown 
③デフォルトGWなど特定端末への pingやTCPなどのポーリングに失敗した場合
 
この中で、①はStandby機が検知します。②と③はActive機が検知し、HAポートを介してその旨をStandby機に伝えます。
①ですが、デフォルト設定は 200ms間隔でハートビートを送信し、6回の受信失敗で状態遷移します。なので、約1~2秒で切り替わります。

FortiGateでは、デフォルトの設定では自動切り戻しをしません。
「override enable」という設定を入れることで、自動切り戻しをします。

FortiGateを勉強する女性SE (20)

なぜ、デフォルトでは自動切り戻しをしないのですか?
自動で戻った方が便利だと思います。
FortiGateの場合、切り戻しによる切断時間は、わずか1、2秒と非常に短時間です。しかし、たとえ数秒であっても、FWの切断は業務に影響を及ぼす可能性があります。
よって、自動切り戻しをさせずに、夜間などの業務終了後に手動で切り替えることが多くなります。

また、HAで状態遷移した際、FortiGateは G-ARPを送出する事で、周りのネットワーク機器のテーブル情報を更新させます。ただ G-ARPに反応しないネットワーク機器も存在します。その場合は FortiGateのHA設定に下記を追加する事で、状態遷移にあわせモニタインターフェースを強制的にDown/UPさせ、テーブル情報を更新させる事ができます。

> config system ha
>    set link-failed-signal enable
> end

冗長化とは?
冗長とは、「無駄」という意味です。冗長化とは、2重化と考えてもいいでしょう。
ただ、両者は若干違います。詳しくは以下を参照ください。
http://nw.seeeko.com/archives/50570287.html

なぜ冗長化が必要か
FWはインターネットの出口に設置され、ネットワークの重要な装置です。これが故障すると、業務がストップしかねません。そこで、FWは冗長化することが一般的です

冗長化の仕組み
HA(High Availability)と呼ばれる仕組みを使います。FortiGate専用で機器を直結するFGCP(Fortigate Cluster Protocol)が利用できます。(推奨)
または、VRRPが利用できます。

Active-ActiveとActive-Standby
冗長化の状態として、2つがある。
両方Activeであるか、片方がActiveかである。
FortiGateを勉強する女性SE (12) 
どちらもActiveであるActive-Activeのほうがいいですよね?
いや、それはあまりお勧めしていない。Active-Standbyが推奨だ。
Firewallはステートフルインスペクションとして、通信の状態を保持している。セッション状態も持っている。2台でセッション情報などは同期できるが、安定な通信を考えるとActive-Activeはやや不安がある。

FortiGateの HAは3種類あります。

・アクティブ ー パッシッブ
・VDOMクラスター (アクティブ ー パッシッブ を VDOM単位で振り分け)
・アクティブ ー アクティブ (シングルIPで TCP(UTM)の負荷分散を実現)

どのパターンも共通として、FirmVersionは同一であること、モデルは同一であることです。

HA1


「クラスタメンバーに管理ポートを予約」で選択されたインターフェースを使い、HAに含まれる各機器(Master、Slave)
へ管理(GUIなど)個別にアクセスすることができます。

この設定で選択されたインターフェースのルーティングは以下で設定します。

FG> config system ha
FG> set ha-mgmt-interface-gateway "ゲートウェイアドレス"
FG> end

□セッション同期
デフォルトではセッションは同期されません。
必要に応じ、以下を設定できます。

GUIから「セッションピックアップ」を選択することで TCPセッションを同期します。

CLIより以下を設定することで UDP、ICMPが同期されます。

FG> config system ha
FG> set session-pickup-connectionless enable 
FG> end

□セッション同期インターフェース
デフォルトでは HAで選択されたインターフェースを使い、HAのハートビート、Config同期、セッション同期が行われます。

新規セッションを多く処理する必要がある環境ではセッション同期インターフェースを個別に設定します。
この設定で秒間あたりの同期対象を増加させることができます。

FG> config system ha
FG> set session-sync-dev "インターフェースは複数指定可能"
FG> end
 
□状態遷移
状態遷移した際、G-ARPを送出します。
ネットワーク構成がスクウェア構成などスイッチ側で G-ARPをうまく処理できない場合があります。

その場合、以下設定で対応できます。
※状態遷移後、該当インターフェースを Down/UP させます。
  これにより、 周辺スイッチの FDB(L3テーブル含め)フラッシュさせることができます。

FG> config system ha
FG> set link-failed-signal enable 
FG> end

スポンサードリンク

↑このページのトップヘ