FortiADC 100F(ロードバランサ) 設定メモ

  • 0
    いいね
  • 0
    コメント

    参考

    IP設定

    開封時の初期設定方法が記載されている。

    • http://192.168.1.99
      • admin : passなし
    • ssh 192.168.1.99
      • admin : passなし
    • シリアル接続: 9600 bps
      • admin : passなし

    電源ONからの起動速度

    • 電源ONからping応答まで55秒くらい。
    • GUI画面から再起動をかけてping応答なしから応答ありに戻るまでも55秒くらい。

    GUI

    ログイン

    http://192.168.1.99

    login.png

    admin : パスワードなし

    言語

    lang.png

    portのIP設定

    • HAノードIPアドレス (192.168.1.99, 192.168.100.99)
      • マスター/スレーブで同じIPアドレスを使うため、スレーブにGUIログインできないので注意。(次のHAの項目にも記載)
    • ハートビート、データ用に指定したport6はIPアドレス不要。

    interface.png

    default gateway

    • コンソールからexecute ping 8.8.8.8が通ることを確認。

    gw.png

    • port3に繋がっているPCもping 8.8.8.8が通るようにするには、次のNAT設定を行う。

    NAT

    構成
      インターネット
          |
       192.168.1.1
          |
       192.168.1.99 (port1)
          |
       192.168.100.99 (port3)
          |
       192.168.100.98 (インターネットに出たいPC)
    
    • translatlon to Addressはport1に設定したIPアドレスを指定。

    port3to1.png

    HA

    • Monitor : このportが1つでもケーブル抜けると、マスター/スレーブが切り替わる。
      • 以下の例では、マスターの port1 もしくは port3 を抜くと、セカンダリとマスターが切り替わります。

    ha.png

    • HA設定した後はスレーブにGUIログインできない。
      • シリアルケーブルでのログインは可能
      • もしくはGUI -> コンソール -> execute ha manage 0にてシリアルと同じ操作ができる

    Server Load Balance - Virtual Server

    • Persistence
      • click to select : 同じサーバーに再接続するかを考慮しない。
      • LB_PERSIS_SIP : 最後の接続から300秒以内であれば、同じサーバーに再接続する。

    persistence.png

    • Dashboard - Session Monitoring - Persist Table に表示されている Expires の値(秒)。0になったら消える
      • もしくは、Clearボタンを押すと強制的に消すことができる。

    expires.png

    • timeout値を変更するには、cloneして保存する必要がある。

    timeout.png

    • 仮想IP一覧は ダッシュボード - HA Status - Traffic Status で確認できる。

    HAStatus.png

    Server Load Balance - Application Resources

    L7の場合、接続元のIPアドレスがport3のIPアドレスで記録される問題

    1. Application Resources - Add - Type から HTTPを選択
    2. 送信元アドレス - 有効にチェック
    3. HTTPモードはキープアライブにするとセッション数が増えすぎる可能性がある。 Once OnlyかServer Closeを選択。
    4. Save
    5. Virtual Server - L7 のものの pofile にて、先程作成したものを選択。

    これで接続元のグローバルIPでwebサーバーのaccess_logに記録されるようになる。

    スクリーンショット_2017-05-22_11-52-02.png

    スクリーンショット_2017-05-23_10-35-05.png

    backup / restore

    HA構成でのバックアップは、片方のバックアップだけで良い。
    リストア時にホスト名だけ修正。

    スクリーンショット_2017-05-15_11-31-47.png

    工場出荷状態に戻す

    スクリーンショット_2017-05-15_11-32-45.png

    アラートメール

    スクリーンショット_2017-05-15_11-36-57.png

    firewall

    • 出荷時: 全許可

    fw.png


    cli設定

    • 1台目
    config system interface
    edit port3
    set ip 192.168.100.99/24
    set allowaccess http https ping snmp ssh telnet
    end
    
    • 2台目
    config system interface
    edit port1
    set ip 192.168.1.98/24
    set allowaccess http https ping snmp ssh telnet
    end
    
    config system interface
    edit port3
    set ip 192.168.100.98/24
    set allowaccess http https ping snmp ssh telnet
    end
    

    default gateway

    config router static
    edit 1
    set gateway <gateway_ipv4>
    end
    

    interface settings

    config system interface
    edit <interface_name>
    set ip <ip&netmask>
    set allowaccess {http https ping snmp ssh telnet}
    end
    
    config system interface
    edit port3
    set ha-node-secondary-ip enable
    config ha-node-secondary-ip-list
    edit 1
    set ip 192.168.1.100
    set allowaccess ping
    end
    

    change password

    最短8文字

    config system admin
    edit admin
    set password <string>
    end
    

    network test

    execute ping <destination_ip4>
    execute traceroute <destination_ipv4> 
    

    Server Load Balancing

    再起動や初期化

    execute reboot
    execute factoryreset 
    execute shutdown 
    

    HA settings