NETWORK ENGINEER BLOG

Tips and Reviews for Engineers

Fortigate の HA 設定について

マスター選択プロセスについて

HA のマスターは、以下に基づいて選定されます。

自動切り戻しが無効の場合(set override disable)
  1. モニタポートの接続(up)数が多いノード
  2. スレーブ側の age time(稼働時間)が設定値(デフォルト5分)より長い場合は現状維持、短い場合は3へ
  3. デバイスのプライオリティが大きいノード
  4. シリアル番号が大きいノード
自動切り戻しが有効の場合(set override enable)
  1. モニタポートの接続(up)数が多いノード
  2. デバイスのプライオリティが大きいノード
  3. スレーブ側の age time(稼働時間)が設定値(デフォルト5分)より長い場合は現状維持、短い場合は4へ
  4. シリアル番号が大きいノード

※age time について

  • マスター側の age time は常に0、スレーブ側がカウントされる。
  • age time の設定は、"config system ha"の"ha-uptime-diff-margin"で行う。
  • age time の設定値との差分は、"diagnose sys ha dump-by all-vcluster"で確認できる。

HA 設定例

アクティブ系の設定

config system ha
set group-name "fw-ha"		
set mode a-p			Active-Standby モード
set hbdev "wan2" 0 		HeartBeat のインターフェースとしてwan2を指定する
set override disable		自動切戻しなし
set priority 200		数値が高い方がアクティブ系
set monitor "internal1" "wan1" 	監視ポートの指定、対象ポートで故障発生時、切り替わる
set ha-mgmt-status enable	HA 管理設定を有効化
set ha-mgmt-interface "mgmt"	HA 構成時に各ノードを管理するインターフェースを指定
end

スタンバイ系の設定

config system ha
set group-name "fw-ha"
set mode a-p
set hbdev "wan2" 0
set override disable
set priority 100
set monitor "internal1" "wan1" 
set ha-mgmt-status enable
set ha-mgmt-interface "mgmt"
end

設定内容の確認

show system ha

HA 状態の確認

get system ha status

参考書籍

以上