本記事について
本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、トランスペアレントモードで HA を構成した際の管理用 IP アドレスの設定方法について説明します。
動作確認環境
本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。
- FortiGate-60F
- バージョン 7.4.3
トランスペアレントモードでの管理 IP アドレスについて
トランスペアレントモードの FortiGate では、各インターフェースに対して IP アドレスを設定できません。
そのため、管理 IP アドレスはシステム設定にて FortiGate 自体に対して一つのアドレスだけを設定します。
その設定箇所はconfig system settingsのmanageipです。
config system settings
set manageip 10.1.1.100/255.255.255.0
endHA では管理 IP アドレス設定は同期される
トランスペアレントモードの HA では、上で説明した管理 IP アドレスの設定はプライマリ機とセカンダリ機で同期されて同じ設定になります。
よって、manageipで設定したアドレス宛にアクセスをした場合、常にプライマリ機に接続されることになります。
「管理インターフェースの予約」を設定する
NAT モードの HA では、機器別に独自の IP アドレスを持たせて各機器にアクセスできるようにするために、HA 設定における「管理インターフェースの予約」を設定します。
トランスペアレントモードでも同様に HA 設定の中で「管理インターフェースの予約」を行うことができます。
管理インターフェースとして設定したインターフェースはルーテッドポート(L3 インターフェース)となります。よって当該インターフェースに対しては IP アドレスを設定することができます。
GUI では「システム > HA」から表示できる設定画面にて、「管理インターフェースの予約」という項目があるためそこで設定ができます。
この設定画面では管理インターフェースとして割り当てる物理インターフェースと、管理インターフェースのゲートウェイアドレスと、必要に応じて宛先サブネットを設定できます。
CLI で設定する場合は以下の項目で設定できます。
config system ha
set ha-mgmt-status enable
config ha-mgmt-interfaces
edit 1
set interface "internal5"
set dst 0.0.0.0 0.0.0.0
set gateway 10.1.1.211
next
end
end管理インターフェースの IP アドレスの設定
NAT モードでは管理インターフェースの IP アドレスは GUI の対象インターフェースの設定画面で設定することができます。一方、トランスペアレントモードではインターフェース設定画面に IP アドレスの設定項目が表示されず設定ができません。このため管理インターフェースの IP アドレスは CLI で設定する必要があります。
設定方法は NAT モードでの方法と同様です。必要に応じて管理アクセス設定 (allowaccess) も行います。
config system interface
edit "internal5"
set ip 10.1.1.101 255.255.255.0
set allowaccess ping https ssh
next
end管理インターフェースにはプライマリ機とセカンダリ機で異なる IP アドレスを設定できるため、それぞれで異なる IP アドレスを設定します。
トランスペアレントモード HA では 3 つのアドレスが必要
以上の内容からトランスペアレントモードの HA では以下の 3 つのアドレスを FortiGate に設定する必要があることになります。
config system settingsのmanageip- プライマリ機の管理インターフェースの IP アドレス
- セカンダリ機の管理インターフェースの IP アドレス
なお、①と②③で同じセグメントの IP アドレスを設定することも可能です。管理インターフェースは内部的には root VDOM とは別の VDOM (vsys_hamgmt) に所属するインターフェースとなっているためです。
以上です。
【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです
- 基礎知識
- HA (冗長構成) 設定
- FortiGate HA モードの Active-Passive と Active-Active の違いを解説します
- FortiGate HA(冗長構成)の概要と設定ガイド【詳しく解説】※note記事
- FortiGate HA 構成時のコンフィグ同期の仕様について解説します
- FortiGate HA 構成時の NTP,Syslog,SNMP 等の送信元インターフェースを解説 [ha-direct 設定]
- FortiGate HA 構成時の仮想 MAC アドレスについて解説します
- FortiGate HA ハートビート送信間隔と障害判定しきい値の設定ガイド
- FortiGate HA 構成時のバックアップ及びリストア実施ガイド
- FortiGate HA 構成でのモニタインターフェースダウン時の通信断時間について解説
- FortiGate HA 構成に関するQ&A 【良くありそうな疑問集】
- VDOM (バーチャルドメイン) 設定
- トランスペアレントモード設定
- システム系設定
- 管理者アカウント設定
- 時刻・NTP 設定
- ロギング・Syslog 送信設定
- SNMP 設定
- DHCP サーバ機能設定
- Proxy サーバ機能設定
- アラートメール送信
- ネットワーク系設定
- インターフェース設定
- ルーティング設定
- DNS 設定
- NAT 及び NAPT 設定
- ファイアウォール系設定
- アドレス設定
- サービス設定
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
- VPN 系設定
- Tips
Amazon アフィリエイトリンク
以下は Amazon アフィリエイトリンクです。インフラエンジニアにそこそこおすすめなアイテムです。
note メンバーシップへの参加もお待ちしています!
【アフィリエイト】おすすめ WordPress テーマ【SWELL】
当サイトでは WordPress テーマとして SWELL を使用しています。以前は無料・高機能テーマとして知られる Cocoon を使用していて Cocoon も使いやすかったのですが、SWELL を使い始めてからは SWELL のほうが圧倒的に使いやすいなと思いました。そして何より読み込み速度が速い。SWELL を使い始めてから、過去の Cocoon のブログを見直したときに「あれ、こんなに表示遅かったっけ?」という感覚になりました。
また SWELL はデフォルトでもオシャレなデザインですが柔軟にカスタマイズすることもでき個性のあるサイトを作成できます。さらにブログパーツや広告タグといった再利用可能なブログの「部品」も作成することができ、ブログ作成効率も高いです。
技術ブログやアフィリエイト等での収益化を見据えたブログの作成に SWELL は最適です。初見では価格が高いなと思うと思いますが、私としては SWELL を採用して良かったしそれ以上の価値があると感じています。
ブログの新設やテーマ変更を考えている人は一度 SWELL を検討してみてください。
以下の画像リンクから詳細な情報を確認できます。
レンタルサーバーを探している人には安定性に定評のあるエックスサーバーをお勧めします。
当サイトもエックスサーバーを使用しています。WordPress のインストールも簡単にできます。
コメント