FortiGate 60D 2台でHA構成


FortiGate 60D x 2台でHA構成を組んだ際の備忘録です。

 

【 FortiGateについて】
 アメリカ カリフォルニア州サニーベールに本社を置くネットワークセキュリティベンダーの Fortinet社 (http://www.fortinet.com/) が開発したUTM(Unified Threat Management / 統合脅威管理)製品です。
 UTMは次世代型FireWall(Next Generation Firewall)とも呼ばれ、1台の機器で、FIrewall機能や侵入検知/防御、AntiVirus、Webコンテンツフィルタリングなどのネットワーク・セキュリティ機能を包括的に実装した機器です。
 FortiGateにはエントリーモデルからハイエンドモデルまで多数の機種がありますが、今回使用した 60D はエントリーモデルの位置づけになります。

 

 

【今回使用した Fortigate 60D x 2台 】

・ファームウェアバージョン: v5.2.7,build718

↑ 60D には全部で10個の UTPポート(10M/100M/1G) があります。

 

 

【HA構成 概略図】

 

こんな風に 2台 の 60D でHA構成を組んでみます。
Internetが2回線あって設定どうしてるの、とか、内部LANがおおざっぱ、だとかはスルーしてください ^^;

今回は Active – Standby の HA で、FW01 がActive、FW02 を Standby とします。
Fortigate の HA では、ホスト名などのごく一部の設定を除き、2台がまったく同じコンフィグになります。
サービス用IPも共有されるので、機器を個別に管理するために、管理用ポート(FW01, FW02 にそれぞれ異なるIPを付与)が必要です。
今回は、物理ポート(port 6)を管理専用に、物理ポート 7 を HA ハートビート用、port 1 (internal インターフェース)をサービスポート(内部LANがインターネットに抜ける際のNextHop)にします。

管理用ポート(インターフェース)について、今回は贅沢にも物理ポートをまるっと専有しましたが、vlan インターフェースなどを割り当てることもできますので、例えばサービスポート(今回であれば port1 / internal) に相乗りさせることもできます。

 

 

§1. 設定用PCの接続

では、早速設定をしてみます。
まずはFW01からです。

設定は、GUI(ブラウザ) or CLI コンソールから行います。
今回はどちらも使用。
(試してないのですが、Windows(など)から USB ケーブルで接続して初期設定する方法や、iOS (USBケーブルで接続)から も初期設定できる、と Quick Start Guide には書いてある!)

まずは、FW01 の port 5に PC を接続します。

セットアップガイドでは port 1 に繋いで、となってますが、デフォルトでは FG60D の port 1 ~ 7 は同じ設定(同一のハードウェアスイッチに所属)になってますので、どこにつないでもいけます。

PC は DHCP か、192.168.1.99 以外の IP を割り当てます。
(FG60D の port 1 ~ 7  は 192.168.1.99 / 24 が設定されており、DHCPサーバーが有効になっています)

 

ブラウザから、 192.168.1.99 にアクセスします。(HTTPSにリダイレクトされます = ですので、安全な証明書じゃないとブラウザが言いますが、気にせずすすみましょう)
※ 下記スクリーンショットだとIP違いますが、スルーしてください ><)

工場出荷時状態でのID/パスワードは下記のようになっています。Name : admin
Password : なし

ログインすると、ダッシュボード ステータス画面が表示されます。
(System Information の部分には機器のシリアルナンバーやファームウェアバージョンなどが表示されるので、ここでは畳んでいます)

 

初期状態では、admin ユーザのパスワードが空なので、早めに設定しておきましょう。
(スクリーンショットは割愛しますが) System > Admin > Administrators からアカウントの設定・変更が行えます。

また、ホスト名もまっさきに設定しておきます。(HA構成の個体識別子になるので)

GUI で System > Dashboard > Status で設定するか、CLI であれば、

config system global
    set hostname FW01

 

 

 【ちなみに  CLI コマンドのメモ】

・no pager したい
# config system console
(console) # set output standard
(console) # end

・工場出荷時の設定に戻したい
# execute factoryreset

・設定を(全部)みたい
# show

 

 

§2. 設定画面を日本語表示に変更

(お好みで)GUI画面を日本語表示にもできます。

「System > Admin > Settings 」 画面の View Settings 欄の Language のプルダウンから Japanese を選択し、Apply します。

 

日本語表示になりました。(以降、日本語画面で作業します)

 

 

§3. DNS と NTP の設定

内部LAN向けにDNSリゾルバとNTPサーバーを提供したいので、先に設定しておきます。(HA組んだあとからでもいいんだけど、今回はこのFG経由でネットに接続しながらいろいろやってたので。。。)

まずはDNSから。
「システム > フィーチャー」 を選択、右ペインの「フィーチャー設定」画面を最下段までスクロール、「さらに表示」 のボタンがあるのでクリックします。

 

「DNSデータベース」 を 「ON」 にして、「適用」  をクリック。

 

DNSデータベースをONにすると、「システム > ネットワーク」 に 「DNSサーバー」 の項目が追加されます。

 

「インターフェース上のDNSサービス」 で 「新規追加」 をクリックし、内部LAN用のインターフェース(今回であれば 「internal」 )を追加します。

 

 【ちなみに コマンドで DNS Proxy(キャッシュ)の確認】

# diag test application dnsproxy 3
# diag test application dnsproxy 6
# diag test application dnsproxy 7

 

 

次に、外部NTPサーバーの参照と、内部LAN向けのNTPサーバーを設定します。
今回はNICT(http://jjy.nict.go.jp/tsp/PubNtp/qa.html)さんが提供するNTPサーバー(ntp.nict.jp)を利用します。

「システム > ダッシュボード」 を選択し、「システム情報」画面にあるシステム時間の「変更」をクリック。

 

タイムゾーンを GMT+9:00 に。
「NTPサーバーと同期」 にチェックを入れ、「ntp.nict.jp」 を指定します。
内部LAN向けのNTPサーバーにするため、「NTPサーバーを有効にする」 にチェックを入れ、インターフェースに 「internal」 を選択します。

 

 【ちなみに コマンドで時刻(NTP) の確認】

# execute time
# get system ntp
# diagnose sys ntp status

 

 

§4. HAの設定

まず、port 6(管理用ポートにする) と port 7 (HAのハートビート用にする)がハードウェアスイッチ(internal  インターフェース)にバインドされているので、そこから外します。

「システム > ネットワーク > インターフェース」 を開き、「internal」 インターフェースを右クリック > 「編集」 をクリックします。
(スクリーンショットが英語でIPも違いますが、スルーをば。。。)

 

「物理インターフェースメンバ」 の 「internal6」 「internal7」 の右横にある 「X」 をクリックすると、メンバーから外れます。

 

↓外したところ。 画面を最下段までスクロールし、「OK」 をクリックして反映させます。

ちなみに CLI からだと、

config system virtual-switch
    edit "internal"
        config port

delete internal6
delete internal7

 

 

次に、HAの設定です。
「システム > 設定 > HA」 を開き、

設定項目 その他
モード アクティブ・パッシブ  
デバイスのプライオリティ 200

今回は FW01 を 200 に、FW02 を 100 に設定。
0 – 255 の範囲で指定。 値が大きいほうがマスタに選出される(マスタの選出方法はマニュアルに -> http://docs.fortinet.com/fortigate/admin-guides )

クラスタ管理メンバに管理ポートを予約 internal6 internal 6 にエイリアス 「MGMT」 と設定したので、下図のように表示されてます。
(システム > ネットワーク > インターフェース)、
グループ名 & パスワード  お好みの文字列を 同じ文字列の所有者間でHAが構成されるので、FW01/02ともに(なにか)設定します
セッションピックアップ 有効  

ハートビートインターフェースに、Internal7 (プライオリティ 100)、Internal 6 (プライオリティ 50) を指定。
(管理インターフェースも HA heartbeat に使ってみることにしました)

適用をクリックします。

・・・なんか怒られた。。。
“Please disable switch-controller first”

 

switch-controller なるものを disable にしろと。。。 なんじゃろ。。。
調べたところ、knowledge にありました。
http://kb.fortinet.com/kb/documentLink.do?externalID=FD36685

version 5.2 での制限との事なので、solution 通りに設定することにします。
CLIから、

config system global
set switch-controller disable
end

これで設定できるようになりました!

 

さて、ここまでは FG60D がデフォルトで提供しているIP(192.168.1.99)に向けて通信(設定)を行っていましたが、このあたりでこのIPの使用をやめて、管理専用ポート(internal6)にIPを振って、以降はそこ経由で設定することにします。
(同時に Internal インターフェースのDHCPも無効に)

GUIからでもCLIからの設定でも良いのですが、ここではCLIから。

config system interface
    edit "internal6"
        set ip 172.31.10.250 255.255.255.0
        set allowaccess ping https ssh snmp http

(IPとかはご利用の環境に合わせて)
管理ポートにデフォルトゲートウェイを設定して、他のセグメントからもアクセスできるようにします。

config system ha
set ha-mgmt-interface-gateway 172.31.10.229

 

これで、FW01 の設定は完了です。

同様に、FW02 も設定します。
ホスト名、HA のプライオリティ値、管理IPが異なる以外は、上記の手順と同様です。

FW02の設定が終わったら、いよいよLANケーブルを接続です。
(ここまで、FW02は スタンドアロン、FW01 は WAN1/Internal1,6 がリンクアップ済み)

双方の internal 7 間を接続、FW02(のinternal1 とinternal6 )を内部LANに接続します。

すると、GUI画面(システム > 設定 > HA)ではこんなふうに。

 

FW01 がマスターに、FW02がスレーブとして HA 構成が出来上がりです!

このあとは、FW01/02どちらかの管理IPにアクセスして設定を続けても良いですし、サービスIPに接続しての設定するのもありです。
(コンフィグはHA組んだ機器間で自動で同期されますが、ホスト名やHA設定などの一部の設定は同期されませんので、これらを変更する場合は、各管理IPにアクセスが必要です)

 

 【ちなみに CLI の HAコマンド】

・状態確認
# get system ha status

・設定値の確認
# get system ha
# show system ha

・手動フェールオーバー
# diagnose sys ha reset-uptime
 ※ master 側で実行。 slave と 5分以上 uptime 差がないと無効。

 

 

今回の備忘録は以上です。

 

 

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です