Fortigate WAN回線冗長したい時に使う(link-monitor)

スポンサーリンク

リンクモニタ(link monitor)とは

FortigateでWAN回線を冗長化したい時は、リンクモニタ(link monitor)を使って切り替わるようにします。
リンクモニタ機能は、監視したいインタフェースから指定した宛先に疎通を行い、疎通がが失敗すると、
指定したインタフェースを使用したルート情報が削除されます。

主に2回線以上を契約してロードバランシングではなく、障害時などのう回路としてい使用する場合に設定します。

リンクモニタ(link monitor)設定

スタティックルートを2つ作成してプライオリティ値を調整します
プライオリティが低い方が優先されるので、WAN1がデフォルトルートで使用されます。

リンクモニターの設定はCLIのみなので注意

基本的には下記の設定を投入すればOKです

config system link-monitor
    edit “1”
        set srcintf “指定インターフェース”
        set server “IPアドレス/FQDN” ”IPアドレス/FQDN” ・・・ 
    next
end

他にはこちらの設定値があります。

指定できる設定 内容 デフォルト値
srcintf 送信元インタフェース 無し
server モニター先のIPアドレス/FQDNを指定(複数指定も可能) 無し
protocol ICMP・TCP echo・UDP echo・HTTP・TWAMP から選択 ICMP
interval 送信間隔 1sec
failtime 失敗の判断回数(何回失敗したら断とするか) 5回
recoverytime 復旧の判断回数(何回成功したら復旧とするか) 5回

設置を確認するコマンドは「show system link-monitor
※オプション設定値を見るには「show full-configuration system link-monitor

実際に設定した際の確認

実際に設定した際の確認コマンドや表示は下記の様になります。
環境が私のところなので、実際に冗長などはできないので参考までに

コマンド:get router info touting-table details

正常時はスタティックルートが表示されています。

コマンド:diagnose sys link-monitor status

正常に監視出来ているとステータスが「alive」となります。

監視ができなくなるとステータスが「die」になります

ルーティングテーブルから削除されます

監視が失敗してルーティングテーブルから削除したくない場合

監視が失敗してルーティングテーブルから削除したくない場合は「link-monitor-exempt enable」を設定します。

監視が失敗してもルーティングテーブルから削除されなくなります。

FortiGateで始める 企業ネットワークセキュリティ
FortiGateで始める 企業ネットワークセキュリティ
FortiGate完全攻略
(概要) ネットワークセキュリティデバイス「FortiGate」は日本国内でも過去数年にわたり,UTM(統合脅威管理;Unified Threat Management)市場のシェアNo.1を継続しており,数多くの導入実績があります。 本書では日々高度化/巧妙化するサイバー攻撃からいかにネットワークを保護するか,For...

コメント

タイトルとURLをコピーしました