FortiGateによるVRRPの設定

FortiGate

FortiGateにてActive-Activeで回線を冗長化する必要があったので、
VRRPを構成しました。
今思うと、FortiGateはマルチホーミングの設定ができるので、
FortiGateはHA構成にして、回線冗長化はマルチホーミングで実現できそうです。
http://www.viva-fortigate.com/archives/58490077.html


検証構成は下記
・10.0.10.0/24系は回線①(Master)、回線②(Backup)を利用する。
・10.0.20.0/24系は回線②(Master)、回線①(Backup)を利用する。
・VRRPのプライオリティはMaster:200、Backup:100(デフォルト)とする。
・VRRPのMaster機はインターネット(プロバイダ側のIPアドレスや8.8.8.8など)に対して監視し、障害が発生するとVRRPの切り替わりを実施する。
・LAN側の障害時に、WAN側のインターフェースをダウンさせる。

 

VRRPのIP SLAについて

特定のIPを監視し、障害発生時に何かしらのトリガーを発生させる機能を
Ciscoの用語?として、IP SLAといいます。

今回は、8.8.8.8に対してモニターして障害が発生した場合、
VRRPの切り替わりを発生させます。(プライオリティを落とす)

モニターの間隔や回数などは変更できません。
切り替わりには1分30秒ほどかかります。

config vrrp
 edit 1
  set vrdst 8.8.8.8
  set vrdst-priority 90

 

interface fail detectについて

FortiGate間を接続していたりすると、LAN側に障害が発生しても、
VRRPのアドバタイズメントが切れないため、VRRPの切り替わりが発生しません。
そのため、LAN側障害時のトリガーとして、WAN側インターフェースを落とすという設計にします。

edit “internal1”
 set fail-detect enable
 set fail-alert-interfaces “wan1”

 

VRRPのPreemptオプションについて

FortiGateでは、VRRPのPreemptオプションはデフォルトで有効です。

無効にする場合は下記を設定
config vrrp
 edit 1
  set preempt disable

 

設定コンフィグ、確認コマンド

全体的な設定コンフィグとしては下記の通りとなります。

[1号機]
config system interface
    edit “internal1”
        set fail-detect enable
        set fail-alert-interfaces “wan1”
    next
    edit “VLAN10”
        set vdom “root”
        set ip 10.0.10.252 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 10
                set vrgrp 1
                set vrip 10.0.10.254
                set priority 200
                set vrdst 8.8.8.8
                set vrdst-priority 90
            next
        end
        set interface “internal1”
        set vlanid 10
    next
    edit “VLAN20”
        set vdom “root”
        set ip 10.0.20.252 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 20
                set vrgrp 2
                set vrip 10.0.20.254
            next
        end
        set interface “internal1”
        set vlanid 20

 

[2号機]
config system interface
    edit “internal1”
        set fail-detect enable
        set fail-alert-interfaces “wan1”
    next
    edit “VLAN10”
        set vdom “root”
        set ip 10.0.10.253 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 10
                set vrgrp 1
                set vrip 10.0.10.254
            next
        end
        set interface “internal1”
        set vlanid 10
    next
    edit “VLAN20”
        set vdom “root”
        set ip 10.0.20.253 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 20
                set vrgrp 2
                set vrip 10.0.20.254
                set priority 200
                set vrdst 8.8.8.8
                set vrdst-priority 90
            next
        end
        set interface “internal1”
        set vlanid 20


確認コマンドは下記

# get router info vrrp

 

参考書籍

 

 

コメント

タイトルとURLをコピーしました