0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@engineertakesi

FortiGate HA設定まとめ|Active-Passive構成の構築手順と現場でハマるポイント

0
Posted at

はじめに

FortiGateの冗長構成(HA: High Availability)を組むとき、Active-Passive構成は最もよく使われる方式です。片方が障害でダウンしても自動で切り替わるので、通信断を最小限に抑えられます。

ただし、実際に設定してみると「同期がうまくいかない」「フェイルオーバーしない」といったトラブルに遭遇することも多いです。自分もHA構築案件で何度かハマった経験があるので、そのあたりも含めて手順をまとめました。

HA構成の前提条件

Active-Passive構成を組む前に、以下を必ず確認してください。ここを飛ばすとあとで面倒なことになります。

  • 同一モデル: 2台とも同じFortiGateモデル(例: FortiGate 60F同士)
  • 同一ファームウェア: FortiOSのバージョンを完全に合わせる
  • 同一ライセンス: 両方のライセンスが同一であること
  • HA専用ポート or 汎用ポート: heartbeat用のインターフェースを決めておく

ファームウェアの確認コマンド:

get system status

バージョンが違うままHA組もうとすると、同期フェーズでコケます。先にファームウェアを揃えましょう。

GUIでのHA設定手順

1. システム → HAの設定画面を開く

FortiGateの管理画面にログインして、System > HA に移動します。

2. 基本パラメータの設定

項目 Primary機 Secondary機
Mode Active-Passive Active-Passive
Device priority 200 100
Group name 任意(同一にする) 同上
Group ID 1(デフォルト) 1
Password 任意(同一にする) 同上
Heartbeat IF port3等 port3等

Device priorityは数字が大きい方がPrimary(Active)になります。200と100にしておくのが定番です。

3. Heartbeatインターフェースの選択

Heartbeatは最低1本、できれば2本設定しておくと安心です。1本だとheartbeatケーブルの障害でスプリットブレインが起きるリスクがあります。

CLIでのHA設定

GUIが使えない場合や、Config投入を自動化したい場合はCLIで設定します。

Primary機:

config system ha
  set mode a-p
  set group-name "MyHA"
  set group-id 1
  set password "hapassword123"
  set priority 200
  set hbdev "port3" 50
  set override enable
  set session-pickup enable
end

Secondary機:

config system ha
  set mode a-p
  set group-name "MyHA"
  set group-id 1
  set password "hapassword123"
  set priority 100
  set hbdev "port3" 50
  set override enable
  set session-pickup enable
end

group-nameとpasswordは両方で完全一致させること。ここが1文字でも違うとペアリングしません。

フェイルオーバーの確認テスト

HA構築が終わったら、必ずフェイルオーバーテストをやりましょう。

# HA状態の確認
get system ha status

# 手動フェイルオーバー実行
diagnose sys ha reset-uptime

get system ha statusでPrimary/Secondaryの役割が正しく表示されることを確認してから、手動フェイルオーバーで切り替わりを検証します。

現場でよくハマるポイント

  1. ファームウェアバージョン不一致: 同期が始まらない原因の8割はこれ
  2. Heartbeatケーブルの接続ミス: クロスケーブルが必要な機種もある
  3. override設定の落とし穴: override disableだと、障害復旧後に元のPrimaryに戻らない
  4. session-pickupの有効化忘れ: セッション引き継ぎされず、切替時に全セッション切断
  5. 管理アクセス用のha-mgmt-interface未設定: Secondary機にログインできなくなる

特にoverride設定は見落としがちです。override enableにしておかないと、障害復旧後にpriority値が高い機器が自動でPrimaryに戻りません。運用方針に合わせて決めてください。

まとめ

FortiGateのHA Active-Passive構成は、前提条件の確認→パラメータ設定→heartbeat接続→同期確認→フェイルオーバーテストの順で進めれば、それほど難しくありません。ハマりどころを事前に把握しておけば、構築当日にトラブルで焦ることも減ります。

詳しくはブログで

この記事の完全版(GUIスクリーンショット・エラーメッセージ対応表・override/session-pickupの詳細解説など)はブログで公開しています。
👉 FortiGate HA設定完全ガイド|Active-Passive構成の構築手順

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?