FortiGate

FortiGateのSD-WANとLink-monitor

投稿日:2019年12月12日 更新日:

FortiGateでWAN回線の冗長化を実施する場合の設定例です。

下記のような構成にて、ISP①をActie回線、ISP②をStandby回線で接続する場合と、ISP①とISP②を負荷分散させて接続する場合の2パターンについて記載します。

ちなみに、FortiGateはwan1,wan2などのインターフェースを使って、PPPoEを2セッション張ることも可能なので、ありがちな構成であると思います。

link-monitorによるルーティング切り替え

こちらは、ISP①をActie回線、ISP②をStandby回線で接続するパターンです。

Source interfaceがwan1から8.8.8.8 にping監視を実施し、NGの場合はwan2からのルーティングへ切り替えるという設定を実施します。

config system link-monitor
 edit “monitor-sv”
  set srcint wan1
  set server 8.8.8.8
 next

end

config router static
 edit 0
  set dst 0.0.0.0 0.0.0.0
  set device WAN1
  set distance 10
 next

 edit 0
  set dst 0.0.0.0 0.0.0.0
  set device WAN2
  set distance 20
 next

end

FortiGateのマニュアルはこちら

https://help.fortinet.com/fos60hlp/60/Content/FortiOS/fortigate-networking/Interfaces/Dual%20Internet%20connections.htm

 

SD-WAN機能

FortiGateのSD-WAN機能を使って同じようなことも実装可能です。

こちらの場合は負荷分散することもできます。

画像上は「port1」,「port2」ですが、それぞれ「wan1」,「wan2」想定です。

FortiGateのGUI上からSD-WANの設定をする場合は、[システム] > [表示機能設定] から、[SD-WANインターフェース] を有効にしておく必要があります。(デフォルトは有効になっているかと)

 

1. SD-WANの有効化

[ネットワーク] > [SD-WAN] から設定します。

 

2. 監視先の登録

[ネットワーク] > [パフォーマンスSLA] から設定します。

「参加インターフェース」に登録したインターフェースからそれぞれ監視をし、一方がDOWNしても、UP側インターフェースからのみ通信するという仕組みです。

監視先は複数登録できますが、複数登録した場合はすべての監視先がDOWNした場合のみ、DOWNしたとみなします。(たぶん)

 

3. 負荷分散の登録

[ネットワーク] > [SD-WANルール] から設定します。

 

4. ルーティング追加

ルーティングの追加を実施します。

 

ちなみに、PPPoEでアドレスを取得した場合は、ゲートウェイをダイナミックゲートウェイに設定しますが、CLI上からしか設定できません。

set dynamic-gateway enable をコマンドで設定します。

config router static
 edit 1
  set device “port1”
  set dynamic-gateway enable
 next

 edit 2
  set device “port2”
  set dynamic-gateway enable
 next

end

 

注意点

どちらのパターンにおいても監視アドレスは1つであることが望ましいです。

2つ以上の登録は可能なのですが、どちらも切れないとルーティングの切り替わりは発生しません。(たぶん)そんな要件あるのか??

また、1つの監視先が切れたら、すべてのルーティングで切り替わりが発生します。

 

監視先①:192.168.1.1に対し、

NEXTHOP:172.16.0.1 監視が切れた場合は172.16.0.2 へ

監視先②:192.168.2.1に対し、

NEXTHOP:172.17.0.1 監視が切れた場合は172.17.0.2 へ

 

といったような複数ルーティングがある場合に対する設定はできないっぽいです。

一般的なルータであれば可能ですので、少し残念なところかなと。

 

参考書籍

 

 

 







-FortiGate
-,

執筆者:


comment

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA


このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください

関連記事

FortiGateのDynamic-DNS(DDNS)の設定方法

SSL-VPNを行う場合、プロバイダから固定IPを払い出してもらって、そのIPに対して、外部から接続するのが一般的です。   しかし、Dynamic-DNS(DDNS)を利用することで、PPPoEで設 …

FortiGateによるVRRPの設定

FortiGateにてActive-Activeで回線を冗長化する必要があったので、VRRPを構成しました。今思うと、FortiGateはマルチホーミングの設定ができるので、FortiGateはHA構 …

FortiGate [ゾーン内トラフィックをブロック]とは何か

FortiGateのインターフェースの設定として、[ゾーン内トラフィックをブロック]という項目があります。 日本語の意味から、 同一ゾーン間のトラフィックはすべてブロックするものかと思ってしまいますが …

FortiGate CLIによるログの確認方法

FortiGateのCLIによるログ確認方法について触ってただけではよくわからなかったので、 調べた内容を備忘録。 まず、ログの保存先やカテゴリを選定してから、表示させます。   ・ログ保存先の選定 …

FortiGate-100F まとめ

「FortiGate-100F」、「FortiGate-101F」が2019年末より発売されています。FortiGateの「F」シリーズは初となり、F系は「100」と内部ストレージ搭載モデルの「101 …

ナナシ

ナナシ(30前後の男)



プロフィールはこちら