FortiGate

FortiGateによるVRRPの設定

投稿日:2019年8月16日 更新日:

FortiGateにてActive-Activeで回線を冗長化する必要があったので、
VRRPを構成しました。
今思うと、FortiGateはマルチホーミングの設定ができるので、
FortiGateはHA構成にして、回線冗長化はマルチホーミングで実現できそうです。
http://www.viva-fortigate.com/archives/58490077.html


検証構成は下記
・10.0.10.0/24系は回線①(Master)、回線②(Backup)を利用する。
・10.0.20.0/24系は回線②(Master)、回線①(Backup)を利用する。
・VRRPのプライオリティはMaster:200、Backup:100(デフォルト)とする。
・VRRPのMaster機はインターネット(プロバイダ側のIPアドレスや8.8.8.8など)に対して監視し、障害が発生するとVRRPの切り替わりを実施する。
・LAN側の障害時に、WAN側のインターフェースをダウンさせる。

VRRPのIP SLAについて

特定のIPを監視し、障害発生時に何かしらのトリガーを発生させる機能を
Ciscoの用語?として、IP SLAといいます。

今回は、8.8.8.8に対してモニターして障害が発生した場合、
VRRPの切り替わりを発生させます。(プライオリティを落とす)

モニターの間隔や回数などは変更できません。
切り替わりには1分30秒ほどかかります。

config vrrp
 edit 1
  set vrdst 8.8.8.8
  set vrdst-priority 90

 

interface fail detectについて

FortiGate間を接続していたりすると、LAN側に障害が発生しても、
VRRPのアドバタイズメントが切れないため、VRRPの切り替わりが発生しません。
そのため、LAN側障害時のトリガーとして、WAN側インターフェースを落とすという設計にします。

edit “internal1”
 set fail-detect enable
 set fail-alert-interfaces “wan1”

 

VRRPのPreemptオプションについて

FortiGateでは、VRRPのPreemptオプションはデフォルトで有効です。

無効にする場合は下記を設定
config vrrp
 edit 1
  set preempt disable

 

設定コンフィグ、確認コマンド

全体的な設定コンフィグとしては下記の通りとなります。

[1号機]
config system interface
    edit “internal1”
        set fail-detect enable
        set fail-alert-interfaces “wan1”
    next
    edit “VLAN10”
        set vdom “root”
        set ip 10.0.10.252 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 10
                set vrgrp 1
                set vrip 10.0.10.254
                set priority 200
                set vrdst 8.8.8.8
                set vrdst-priority 90
            next
        end
        set interface “internal1”
        set vlanid 10
    next
    edit “VLAN20”
        set vdom “root”
        set ip 10.0.20.252 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 20
                set vrgrp 2
                set vrip 10.0.20.254
            next
        end
        set interface “internal1”
        set vlanid 20

 

[2号機]
config system interface
    edit “internal1”
        set fail-detect enable
        set fail-alert-interfaces “wan1”
    next
    edit “VLAN10”
        set vdom “root”
        set ip 10.0.10.253 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 10
                set vrgrp 1
                set vrip 10.0.10.254
            next
        end
        set interface “internal1”
        set vlanid 10
    next
    edit “VLAN20”
        set vdom “root”
        set ip 10.0.20.253 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 20
                set vrgrp 2
                set vrip 10.0.20.254
                set priority 200
                set vrdst 8.8.8.8
                set vrdst-priority 90
            next
        end
        set interface “internal1”
        set vlanid 20


確認コマンドは下記

# get router info vrrp







-FortiGate
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

FortiGate [ゾーン内トラフィックをブロック]とは何か

FortiGateのインターフェースの設定として、[ゾーン内トラフィックをブロック]という項目があります。 日本語の意味から、 同一ゾーン間のトラフィックはすべてブロックするものかと思ってしまいますが …

FortiGate CLIによるログの確認方法

FortiGateのCLIによるログ確認方法について触ってただけではよくわからなかったので、 調べた内容を備忘録。 まず、ログの保存先やカテゴリを選定してから、表示させます。   ・ログ保存先の選定 …

FortiGateのDynamic-DNS(DDNS)の設定方法

SSL-VPNを行う場合、プロバイダから固定IPを払い出してもらって、そのIPに対して、外部から接続するのが一般的です。   しかし、Dynamic-DNS(DDNS)を利用することで、PPPoEで設 …

FortiGateのSourceNATとDestinationNATの設定方法

FWによってNATの設定方法に癖があるので、他機器へのリプレース時などには注意が必要です。 以前、SSGのリプレース時、MIPの動きを正しく理解していなかったので、トラブルとなったことがありました。。 …

ナナシ

ナナシ(30前後の男)



プロフィールはこちら