本ブログは、日々お客様よりいただくネットワーク・セキュリティプロダクトに関するお問い合わせを、

エンジニア1年生が先輩の指導を受けながら検証などを行い、回答した内容を一問一答方式でまとめたブログです。

＜番外編 Vol.4 マスタリングHA 後編＞

前回に引き続きFortiGateの冗長化機能を紹介していきます。

前回紹介したHA機能はFortiGateの全てのシステムに対して冗長機能を提供します。

しかしFortiGateはそれ以外にも、様々な冗長化を実現する機能があります。

ご利用するシーンに合わせて適切な冗長機能を使用していただくことで、可用性の高いFortiGateの運用が可能となります。

• パワーサプライの冗長

幾つかのモデルについては、パワーサプライを2機搭載可能です。

下図はホットスワップ対応のAC電源のイメージです。

AC電源は別途購入が必要

電源の型番は以下のとおりです。

• インターフェースの冗長化

　Redundant Interface

　複数のインターフェースを束ねActive-Standbyで冗長化を行う

　Aggregate Interface

　複数のインターフェースを束ねActive-Activeで冗長化を行う

　

• WANの冗長化

　SD-WAN機能により、WAN接続の冗長リンクを利用できます。

2つ以上のWAN接続を1つの論理インターフェースとして設定可能です。

WANリンクの監視、アウトバウンドトラフィックを効率よく負荷分散することが可能です。

（送信も・セッション・帯域・通信量など）

• SD-WAN設定イメージ

SD-WAN＞ネットワークから、SD-WANインターフェースメンバーにインターフェースを追加します。

ゲートウェイはインターフェースごとそれぞれに設定を入力する必要があります。

また設定画面からリアルタイムの使用量の確認も可能です。

負荷分散設定も比率やしきい値で入力可能です。

＜VRRP＞

FortiGatedehaRFC3768に準拠したVRRPによって、ゲートウェイの冗長機能もサポートしています。

異なるモデル、ソフトウェアや異なるメーカー製品との相互運用も可能です。

※他社製品との相互接続については必ず事前に動作検証を行ってください。

• VRRP設定イメージ

FortiGateではVRRPの設定はCLIコンソールから行う必要があります。

• (参考)Ciscoルータ VRRP設定

参考としてこの時VRRPスレーブ機として稼働させたCiscoルータのコンフィグレーションは以下のとおりです。

＜HAとVRRPの比較＞

VRRPはデフォルトゲートウェイの冗長化にモデルの制限やHA用インターフェースもいらない便利な機能です。

ここでは前回紹介したFortiGateのHA機能とVRRP機能を比較してましょう。

実際にマスター機のモニターポートに障害が起こった際の切り替わりを見ていきます。

ここではFTP転送中の障害に対してセッションのフェイルオーバーを確認します。

結果としてFortiGateのHAでは、FTPのデータダウンロード中に機器の切り替えが発生しましたが、セッションを同期しているためダウンロードは最後まで完了しました。

一方VRRPでは、FTPのデータダウンロード中に機器の切り替えが発生するとセッションを同期していないため、FTPのダウンロードが中断されてしまいした。

----------------------

検証後記

今回は前後編でFortiGateで実現可能な様々な冗長化を紹介してきました。
冗長機能という言葉一つとっても、電源、インターフェース、インターネット接続からシステム全般と多様な冗長化が可能です。
いずれの冗長化にもそれぞれ長所、短所が存在します。
その中でお客様の要望に応じて最適なソリューションを考え提案することが重要です。

今後もお客様からの問い合わせや、様々な機能の検証を通して役立つソリューションを紹介していこうと思います。