Fortigateは基本的にはHA構成にすると思いますが、今回はVRRPを設定してみました
主に機器の型番やVerを合わせるのが困難な時などやActive/Activeで使用した時などに使うと思います。
HA設定は右記のURLを確認ください
VRRP設定
構成は簡単に右のように組んでます。
設定はCLIでしかできないので注意
設定は下記の様になります
Fortigate-60D
config system interface
edit <対象のIF>
set vrrp-virtual-mac enable
config vrrp
edit 1
set vrip <VRRPのアドレス>
set priority <1~254>
※デフォルトプライオリティ値は「100」
設定して、VRRPのパケットがお互いに届くようになったら、VRRPを組みます
状態を確認してMasterとBackUpを確認します。
確認コマンド:get router info vrrp
PC側でも仮想アドレスのMACを認識
障害時の切り替わり設定
WAN側回線がダウンしたりしてインターネットへ通信できなくなったとしても、基本的には機器がダウンしたり、VRRPを設定しているケーブルが抜けたりなどでお互いのVRRP情報が交換できなくならないと、BackUp機はMaster機に切り替わらないので、状態を監視して指定の宛先と疎通できなくなったら、切り替わるようにします。
vrdstはCisco HSRPのトラックの様な機能です
設定はMaster機側で行います
config vrrp
edit 1
set vrdst <監視対象アドレス>
set vrdst-priority <プライオリティ値>
※注意)このプライオリティ値はCiscoの様に下げる値ではなく、
障害時は設定したプライオリティ値になります。
リンクモニター設定を実施(これが無いと監視できない)
config system link-monitor
edit <任意の番号 or 名前>
set srcintf <送信元I/F>
set server <送信先アドレス>
リンクモニターの対象がダウンすると
確認コマンド:diagnose sys link-monitor status
アクティブ機 → スタンバイ機に切り替える
スタンバイ機 → アクティブ機に切り替える
※表示がMasterではなく、PRIMARYです
Preemptをenableにしている場合は障害が復旧したら、自動でMaster・BackUpは切戻ります。
デフォルトではPreemptはenableです
障害時のリンクダウン設定
こちらの設定は下記の様な構成だとアップリンク側ダウンしても、
ダウンリンク側のVRRPは切り替わらないのでダウンリンク側から通信が出来なくなってしまいます。
下記の設定を行います
config system interface
edit
set fail-detect enable
set fail-detect-option link-down ・・・・デフォルト値がlink-downなので下記の例では表示されません
set fail-alert-interfaces
上記設定を行うと
internal7がダウンすると
wan2もダウンします
オマケ
FortigateのインターフェースでDHCPサーバを有効にしている場合はデフォルトゲートウェイの設定はVRRPで指定したアドレスにするのを忘れないように注意しましょう
コメント