FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説

2024-04-21

本記事について

本記事では、Fortinet 社のファイアウォール製品である FortiGate に関して、トランスペアレントモードで HA を構成した際の管理用 IP アドレスの設定方法について説明します。

動作確認環境

本記事の内容は以下の機器にて動作確認を行った結果に基づいて作成されています。

FortiGate-60F
- バージョン 7.4.3

トランスペアレントモードでの管理 IP アドレスについて

トランスペアレントモードの FortiGate では、各インターフェースに対して IP アドレスを設定できません。

そのため、管理 IP アドレスはシステム設定にて FortiGate 自体に対して一つのアドレスだけを設定します。

その設定箇所はconfig system settingsのmanageipです。

config system settings
    set manageip 10.1.1.100/255.255.255.0
end

HA では管理 IP アドレス設定は同期される

トランスペアレントモードの HA では、上で説明した管理 IP アドレスの設定はプライマリ機とセカンダリ機で同期されて同じ設定になります。

よって、manageipで設定したアドレス宛にアクセスをした場合、常にプライマリ機に接続されることになります。

「管理インターフェースの予約」を設定する

NAT モードの HA では、機器別に独自の IP アドレスを持たせて各機器にアクセスできるようにするために、HA 設定における「管理インターフェースの予約」を設定します。

トランスペアレントモードでも同様に HA 設定の中で「管理インターフェースの予約」を行うことができます。

管理インターフェースとして設定したインターフェースはルーテッドポート（L3 インターフェース）となります。よって当該インターフェースに対しては IP アドレスを設定することができます。

GUI では「システム > HA」から表示できる設定画面にて、「管理インターフェースの予約」という項目があるためそこで設定ができます。

この設定画面では管理インターフェースとして割り当てる物理インターフェースと、管理インターフェースのゲートウェイアドレスと、必要に応じて宛先サブネットを設定できます。

CLI で設定する場合は以下の項目で設定できます。

config system ha
    set ha-mgmt-status enable
    config ha-mgmt-interfaces
        edit 1
            set interface "internal5"
            set dst 0.0.0.0 0.0.0.0
            set gateway 10.1.1.211
        next
    end
end

管理インターフェースの IP アドレスの設定

NAT モードでは管理インターフェースの IP アドレスは GUI の対象インターフェースの設定画面で設定することができます。一方、トランスペアレントモードではインターフェース設定画面に IP アドレスの設定項目が表示されず設定ができません。このため管理インターフェースの IP アドレスは CLI で設定する必要があります。

設定方法は NAT モードでの方法と同様です。必要に応じて管理アクセス設定 (allowaccess) も行います。

config system interface
    edit "internal5"
        set ip 10.1.1.101 255.255.255.0
        set allowaccess ping https ssh
    next
end

管理インターフェースにはプライマリ機とセカンダリ機で異なる IP アドレスを設定できるため、それぞれで異なる IP アドレスを設定します。

トランスペアレントモード HA では 3 つのアドレスが必要

以上の内容からトランスペアレントモードの HA では以下の 3 つのアドレスを FortiGate に設定する必要があることになります。

config system settingsのmanageip
プライマリ機の管理インターフェースの IP アドレス
セカンダリ機の管理インターフェースの IP アドレス

なお、①と②③で同じセグメントの IP アドレスを設定することも可能です。管理インターフェースは内部的には root VDOM とは別の VDOM (vsys_hamgmt) に所属するインターフェースとなっているためです。

以上です。

【おすすめ】FortiGate の設計構築中なら以下の記事も役立つかもです

基礎知識
HA (冗長構成) 設定
VDOM (バーチャルドメイン) 設定
- FortiGate マルチ VDOM 基本設定ガイド [初心者向けに詳しく説明]
トランスペアレントモード設定
システム系設定
- 管理者アカウント設定
  - FortiGate 管理者アカウントの設定変更及び新規作成ガイド
- 時刻・NTP 設定
  - FortiGate タイムゾーン、NTP同期、NTPサーバ設定ガイド
- ロギング・Syslog 送信設定
  - FortiGate メモリロギングと Syslog サーバへのログ送信設定ガイド
  - FortiGate 暗黙の拒否ポリシーのログ及びセッション開始時のログの保存方法
- SNMP 設定
  - FortiGate SNMP 監視のための設定ガイド [v1,v2c,v3]
- DHCP サーバ機能設定
  - FortiGate DHCP サーバ機能設定ガイド
  - FortiGate での DHCP リレー設定ガイド
- Proxy サーバ機能設定
  - FortiGate を Proxy サーバとして使用するための設定ガイド
- アラートメール送信
  - FortiGate 設定変更発生時のアラートメール送信設定ガイド
ネットワーク系設定
ファイアウォール系設定
- アドレス設定
  - FortiGate アドレスオブジェクト設定ガイド
- サービス設定
  - FortiGate サービスオブジェクト設定ガイド
- ファイアウォールポリシー設定
- ゾーンを使用したポリシー設定
  - FortiGate ゾーンを使用したファイアウォールポリシー設定ガイド
VPN 系設定
- SSL-VPN 設定
- IPsec VPN 設定
  - FortiGate 拠点間 IPsec VPN 接続設定ガイド
Tips
- FortiGate CLI の状態確認コマンドと情報取得コマンド一覧
- FortiGate 設計構築時に役立つ Tips

よかったらシェアしてね！

URLをコピーしました！

URLをコピーしました！

FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説

本記事について

動作確認環境

トランスペアレントモードでの管理 IP アドレスについて

HA では管理 IP アドレス設定は同期される

「管理インターフェースの予約」を設定する

管理インターフェースの IP アドレスの設定

トランスペアレントモード HA では 3 つのアドレスが必要

コメント

コメントするコメントをキャンセル

FortiGate トランスペアレントモードで HA 構成時の管理用 IP アドレス設定について解説

本記事について

動作確認環境

トランスペアレントモードでの管理 IP アドレスについて

HA では管理 IP アドレス設定は同期される

「管理インターフェースの予約」を設定する

管理インターフェースの IP アドレスの設定

トランスペアレントモード HA では 3 つのアドレスが必要

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル