回線冗長設定
回線を冗長して、障害時に切り替わるようにします
リンクモニタ(link monitor)設定
リンクモニターとは
FortigateでWAN回線を冗長化したい時は、リンクモニタ(link monitor)を使って切り替わるようにします。
リンクモニタ機能は、監視したいインタフェースから指定した宛先に疎通を行い、疎通がが失敗すると、
指定したインタフェースを使用したルート情報が削除されます。
主に2回線以上を契約してロードバランシングではなく、障害時などのう回路としてい使用する場合に設定します。
リンクモニターの設定はCLIのみなので注意
基本的には下記の設定を投入すればOKです
| config system link-monitor |
| edit “1” |
| set srcintf “指定インターフェース” |
| set server “IPアドレス/FQDN” ”IPアドレス/FQDN” ・・・ |
| next |
| end |
他にはこちらの設定値があります。
| 指定できる設定 | 内容 | デフォルト値 |
| srcintf | 送信元インタフェース | 無し |
| server | モニター先のIPアドレス/FQDNを指定(複数指定も可能) | 無し |
| protocol | ICMP・TCP echo・UDP echo・HTTP・TWAMP から選択 | ICMP |
| interval | 送信間隔 | 1sec |
| failtime | 失敗の判断回数(何回失敗したら断とするか) | 5回 |
| recoverytime | 復旧の判断回数(何回成功したら復旧とするか) | 5回 |
設置を確認するコマンドは「show system link-monitor」
※オプション設定値を見るには「show full-configuration system link-monitor」
プライオリティ値で設定した際の確認
スタティックルートを2つ作成してプライオリティ値を調整します
プライオリティが低い方が優先されるので、
WAN1がデフォルトルートで使用されます。
コマンド:get router info touting-table details
正常時はスタティックルートが表示されています。
リンクモニターを使用しなくても、インターフェースがDownした場合は経路が切り替わります。
しかし、インターフェースはDownしていないが、IPレベルで通信が出来なくなった場合はスタティックルートはそのまま残るので、ルーティング的にはプライオリティ値が低い「10.255.2.1」宛にパケットを投げます。
インターフェースはDownしていないが通信が出来なくった際に使用するのがリンクモニターです
※設定方法は上記を確認ください
コマンド:diagnose sys link-monitor status
正常に監視出来ているとステータスが「alive」となります。
監視ができなくなるとステータスが「die」になります
インターフェースはがDownしなくても、監視対象が疎通できなくなったらルーティングテーブルから削除されます
AD値で設定した際の確認
プライオリティ値と実施することはあまり変わりませんが、AD値はダイナミックルーティングなどを使うときに出てくるので、基本はプライオリティ値で設定するで良い気がします。
スタティックルートを2つ作成してAD値を調整します
プライオリティが低い方が優先されるので、WAN1がデフォルトルートで使用されます。
プライオリティ値と違い、AD値での設定の場合はルーティングテーブルには表示されません
プライオリティ値と同様でインターフェースがDownした場合は経路が切り替わります
こちらもインターフェースがDownしない場合は経路が切り替わらないので、リンクモニターを使用します
監視が失敗してルーティングテーブルから削除したくない場合
監視が失敗してルーティングテーブルから削除したくない場合は「link-monitor-exempt enable」を設定します。
監視が失敗してもルーティングテーブルから削除されなくなります。
コメント