FC2ブログ

下流ネットワークエンジニアの生活

上流工程を夢見る下流工程のネットワークエンジニアがネットワーク技術や資格、身の回りのことを情報発信! Juniper Cisco YAMAHA DELL D-Link AlaxalA F5 CCNA CCNP CCIE ネットワークスペシャリスト

FortiGate FortiOS5.4 HA(High Availability)リモートリンクフェイルオーバー(PING監視)

2017.08.28 (Mon)


・リモートリンクフェールオーバー(リモートIP監視とも呼ばれます)は、
  HAポート監視およびリンクヘルスモニタリング(デッドゲートウェイ検出とも呼ばれます)に似ています。

・監視されているプライマリ・ユニット・インタフェースに障害が発生したり、
 接続が切断されたりすると、ポート監視によってクラスタがフェールオーバーされます。
 リモートIPモニタリングは、プライマリユニットのFortiGateインターフェイス用に設定された
 リンクヘルスモニタを使用して、ネットワークデバイスのIPアドレスとの接続をテストします。
 通常、これらは、クラスタに直接接続されていないネットワークデバイスのIPアドレスです。

 たとえば、ダウンストリームルータ。
 これらのリモートIPアドレスの1つ以上がリンクヘルスチェックに応答しない場合、
 リモートIPモニタリングによってフェイルオーバーが発生します。









・リモートIP監視は、クラスタに直接接続されていないネットワーク機器の障害を検出できるため、
 ネットワーク構成に応じてさまざまな方法で役立ちます。

 たとえば、フルメッシュHA構成では、リモートIP監視を使用すると、
 クラスターは、クラスターに直接接続されていないネットワーク機器の障害を検出できますが、
 障害が発生した場合にクラスターによって処理されるトラフィックは中断されます。



HAリモートIP監視トポロジの例
HAリモートIP監視トポロジの例
※http://help.fortinet.com より抜粋



・上記の単純化されたトポロジでは、
 プライマリユニットに直接接続されているスイッチは正常に動作していますが、
 スイッチの反対側のリンクは故障しています。
 その結果、プライマリユニットとインターネットの間でトラフィックが流れることはありません。

・この障害を検出するには、ポート2のリンクヘルスモニタを作成し、
 プライマリユニットが192.168.20.20への接続をテストするようにします。
 ヘルス・モニターが192.268.20.20に接続できない場合、クラスターはフェイルオーバーし、
 待機側のセカンダリユニットは新しいプライマユニットになります。
 フェールオーバー後、新しいプライマリユニットのヘルスチェックモニタは192.168.20.20に接続できるため、
 フェールオーバーはクラスタを介して内部ネットワークとインターネット間の接続を維持します。



◯リモートIP監視を構成するには・・

1.
次のコマンドを入力して、サンプルトポロジのHAリモート監視を構成します。

config system ha
set pingserver-monitor-interface port2
set pingserver-failover-threshold 5
set pingserver-flip-timeout 120
end



・pingserver-monitor-interface
port2でHAリモートIP監視を有効にするには、キーワードを入力します。

・pingserver-failover-threshold
デフォルト値の5のままにしておきます。
これは、5回の試行後にリンク・ヘルス・モニターが応答を受け取らない場合に
フェイルオーバーが発生することを意味します。

・pingserver-flip-timeout
リップタイムアウトを120分に設定するキーワードを入力します。
フェールオーバー後、新しいプライマリユニットのHAリモートIPモニタリングでも
フェールオーバーが発生すると、フリップタイムアウトにより、
タイマーがなくなるまでフェイルオーバーが発生しなくなります。
この値を120に設定すると、リモートIP監視では120分ごとにフェールオーバーが発生します。
このフリップ・タイムアウトは、監視対象のIPアドレスに接続できるクラスタ・ユニットがないため、
リモートIP監視によってすべてのクラスタ・ユニットからのフェイルオーバーが発生すると、
フェイルオーバーが繰り返されないようにするために必要です。





2.
次のコマンドを入力して、port2インターフェイス用のリンクヘルスモニタを追加し、
このリンクヘルスモニタのHAリモートIPモニタプライオリティを設定します。
detectserverキーワードを入力して、ヘルスモニタサーバのIPアドレスを192.168.20.20に設定します。

intervalキーワードを使用して、リンク・ヘルス・チェック間の時間を設定し、
キーワードを使用してfailtime、障害が検出されるまでヘルス・チェックが失敗する回数
(フェイルオーバーしきい値)を設定します。

次の例では、フェイルオーバーのしきい値を2に減らしますが、
ヘルスチェックの間隔はデフォルト値の5に保ちます。


config system link-monitor
edit ha-link-monitor
set server 192.168.20.20
set srcintf port2
set ha-priority 1
set interval 5
set failtime 2
end






◯HAリモートIPモニタリングを複数のインターフェイスに追加する

pingserver-monitor-interfaceキーワードにインターフェイス名を追加することにより、
複数のインターフェイスでHAリモートIP監視を有効にすることができます。
FortiGateの設定にVLANインターフェイス、集約インターフェイス、
およびその他のインターフェイスタイプが含まれている場合、
pingserver-monitor-interfaceキーワードにこれらのインターフェイスの名前を追加して、
これらのインターフェイスのHAリモートIP監視を構成できます。

たとえば、port2、port20、およびvlan_234という名前のインターフェイス
のリモートIP監視を有効にします。


config system ha
set pingserver-monitor-interface port2 port20 vlan_234
set pingserver-failover-threshold 10
set pingserver-flip-timeout 120
end

config system link-monitor
edit port2
set server 192.168.20.20
next
edit port20
set server 192.168.20.30
next
edit vlan_234
set server 172.20.12.10
end





[商品価格に関しましては、リンクが作成された時点と現時点で情報が変更されている場合がございます。]

FortiGate完全攻略 [ 椎屋淳伸 ]
価格:3024円(税込、送料無料) (2017/8/22時点)



関連記事
スポンサーサイト



コメント


管理者のみに表示

トラックバック