sidetech

インフラエンジニアの寄り道メモ。

Fortigateシリーズ(FG60E)でとにかくGUIでHAするよ(v5.4.1)

HAネタが続きます。今度はFortinet社のFortigateです。ハードウェア性能面で読みにくい所がありますが、最近は、色々な事がイージーに出来ていいなと思っています。

HAも勿論の事・・・イージーです。

HAしますんで2台用意してくださいね。例の如くLANポート1にPCを挿しておきます。

パワーオン済みであれば、ほんとにサクッと終わりますんで。。。

f:id:hunter1014:20170827231223p:plain

バージョンがv5.?になってからかGUIが変わりました。最初は戸惑いましたが、慣れればまぁ・・・まぁ…という感じです。いきなりHAの設定に行きたい所ですが、まず下ごしらえします。

Fortigateは型番によってポートアサインがガラッと変わります。HAポートというラベルがあったり、WANやDMZていうポートがあったり。DMZやWAN2は使う予定がないという方は、下ごしらえは要りませんが、標準ポートでHAを組む場合は少し作業が発生します。

f:id:hunter1014:20170827231530p:plain

HA用にポート6とポート7を開放する作業をします。Internalというインターフェースを選んで「Edit」を押します。

f:id:hunter1014:20170827231632p:plain

そしたら、Internal6とInternal7の「X」を押して、Applyを押しましょう。画像編集ミスでApplyをグレーで塗りつぶしてしまった・・・。

f:id:hunter1014:20170827231738p:plain

したら、青枠の様になると思います。これで下ごしらえは終わりです。

最初のDashboardに戻って、「HA Status: Standalone」の所の「Configure」をクリックします。

f:id:hunter1014:20170827231910p:plain

Modeは「Active-Passive」にします。「Active-Active」にもできますが、ここでは「Active-Passive」で。プライオリティはデフォルトは128かと思いますが、200と入れます。これは教科書になぞっています。

クラスターのグループネームとパスワードを決めましょう。

そして、Internal6とInternal7にHAのEnableの所にチェック。Internal6を優先HAとする為100と入れて、Internal7には50と入れます。

あとはポートモニターですが、wan1あたりに入れといてください。セットアップ中は私はモニターのチェックは最後の方で行うので、ここで入れていません。

デフォルトで、dmzとかにチェックが入っている場合は外してください。

f:id:hunter1014:20170827232335p:plain

Applyするとこんな画面になりました。これで1台目は準備完了。

 

2台目も同じ流れで作業を行い、クラスターのプライオリティを100にして、Applyします。

f:id:hunter1014:20170827232442p:plain

見た目、全く変わらずで困りますね・・・(^^;HAの設定が入ったので、一応扱いとしてはHAクラスター機器の扱いとなっていますです。

ここまできたら、結線をします。

f:id:hunter1014:20170827232628j:plain

写真汚くってすんません。色々LANケーブルが刺さっていますが、HAの部分を挿した図ですw

f:id:hunter1014:20170827232810p:plain

プライマリ側のLANにPCを接続して、ダッシュボードを確認します。

もうクラスターが組めていますね。黄色のビックリマークは、Syncが終わっていないという意味らしいです。これは最初だけ少しのんびりしています。なのであわてないでください。

f:id:hunter1014:20170827232935p:plain

ちゃんとHAが組めていますね。ホスト名を変更していなかったので、どっちがどっちか判りにくいですね。スイマセン。

 

えーと、以上でHAは終わりです(汗)。あとは、インターフェースモニターの設定とか残っていますが、まだLANポートの設計をどうするかとか、VDOM使うかどうかとか分岐点がここから生まれます。なので、下準備としてはこんな所?です。

元々ある程度、WANだのDMZだのというデザインが組まれていますので、テンプレもないっす(^^;

ここまでの流れは、教科書がなくても出来そうですが・・・

FortiGate完全攻略

FortiGate完全攻略

 

この書籍を読んでから試しています。教科書はちょっと古いバージョンなのですが、基本的にはタメになると思います。

あまり簡単な操作をブログには書きたくないのですが・・・JuniperSRXと比較すると・・・という気持ちになりまして。

まぁこのままでは面白くないので、

f:id:hunter1014:20170827233813p:plain

丁度ファームウェアのバージョンアップが出来る様なので、ライブバージョンアップを行ってどの様な挙動になって、サービスにはどのような影響を与えるのか演習してみましょうか。HA出来る製品でもどうやってファームウェアが上がるのかって興味あったりしませんか。無停止で出来る出来るっていわれても・・・ねぇ?

HAでのフェイルオーバー演習もやれたらやりますね。

そういえば、HAっていうているけど、HAにも色々種類ありますよね。VRRPはどうなでしょうね。Fortigateではまだ組んだことは無いですが・・・組めるのは知っているけど、組む機会がない(^^;

そいえば、JuniperSRXからFortigateを触って思うのは、SRXはCommitベースなのに対して、Fortigateは即反映なんで、慣れないと「あっ」っていう感じでGUIはやらかしそうですね。扱いやすいけど、重要な操作はCLIの方がいいのかな?!

さてさて、やりたいことは色々ありますが、問題は・・・ちょっとお仕事の納期迫っているもんで・・・(^^;