FortiADC 100F(ロードバランサ) 設定メモ

参考

• マニュアル (英語)
• トラブルシューティング
• 機種ごとの性能一覧 Specificationsタブにあり。
• FortiADC : http://docs.fortinet.com/fortiadc-d-series/release-information
• Fortinet – it-tech-knowledge

IP設定

• FortiADC D Series - Hardware Manuals

開封時の初期設定方法が記載されている。

• http://192.168.1.99
  • admin : passなし
• ssh 192.168.1.99
  • admin : passなし
• シリアル接続: 9600 bps
  • admin : passなし

電源ONからの起動速度

• 電源ONからping応答まで55秒くらい。
• GUI画面から再起動をかけてping応答なしから応答ありに戻るまでも55秒くらい。

GUI

ログイン

admin : パスワードなし

言語

portのIP設定

• HAノードIPアドレス (192.168.1.99, 192.168.100.99)
  • マスター/スレーブで同じIPアドレスを使うため、スレーブにGUIログインできないので注意。(次のHAの項目にも記載)
• ハートビート、データ用に指定したport6はIPアドレス不要。

default gateway

• コンソールからexecute ping 8.8.8.8が通ることを確認。

• port3に繋がっているPCもping 8.8.8.8が通るようにするには、次のNAT設定を行う。

NAT

  インターネット
      |
   192.168.1.1
      |
   192.168.1.99 (port1)
      |
   192.168.100.99 (port3)
      |
   192.168.100.98 (インターネットに出たいPC)

• translatlon to Addressはport1に設定したIPアドレスを指定。

1-to-1-NAT

• fortiadc-5.0.0-cli-reference.pdf 48p

HA

• Monitor : このportが1つでもケーブル抜けると、マスター/スレーブが切り替わる。
  • 以下の例では、マスターの port1 もしくは port3 を抜くと、セカンダリとマスターが切り替わります。

• HA設定した後はスレーブにGUIログインできない。
  • シリアルケーブルでのログインは可能
  • もしくはGUI -> コンソール -> execute ha manage 0にてシリアルと同じ操作ができる

Server Load Balance - Virtual Server

• Persistence
  • click to select : 同じサーバーに再接続するかを考慮しない。
  • LB_PERSIS_SIP : 最後の接続から300秒以内であれば、同じサーバーに再接続する。

• Dashboard - Session Monitoring - Persist Table に表示されている Expires の値(秒)。0になったら消える
  • もしくは、Clearボタンを押すと強制的に消すことができる。

• timeout値を変更するには、cloneして保存する必要がある。

• 仮想IP一覧は ダッシュボード - HA Status - Traffic Status で確認できる。

Server Load Balance - Application Resources

L7の場合、接続元のIPアドレスがport3のIPアドレスで記録される問題

1. Application Resources - Add - Type から HTTPを選択
2. 送信元アドレス - 有効にチェック
3. HTTPモードはキープアライブにするとセッション数が増えすぎる可能性がある。 Once OnlyかServer Closeを選択。
4. Save
5. Virtual Server - L7 のものの pofile にて、先程作成したものを選択。

これで接続元のグローバルIPでwebサーバーのaccess_logに記録されるようになる。

backup / restore

HA構成でのバックアップは、片方のバックアップだけで良い。
リストア時にホスト名だけ修正。

工場出荷状態に戻す

アラートメール

firewall

• 出荷時: 全許可

cli設定

• 1台目

config system interface
edit port3
set ip 192.168.100.99/24
set allowaccess http https ping snmp ssh telnet
end

• 2台目

config system interface
edit port1
set ip 192.168.1.98/24
set allowaccess http https ping snmp ssh telnet
end

config system interface
edit port3
set ip 192.168.100.98/24
set allowaccess http https ping snmp ssh telnet
end

default gateway

config router static
edit 1
set gateway <gateway_ipv4>
end

interface settings

config system interface
edit <interface_name>
set ip <ip&netmask>
set allowaccess {http https ping snmp ssh telnet}
end

• FortiADC Handbook 4.7.1 - Configuring network interfaces

config system interface
edit port3
set ha-node-secondary-ip enable
config ha-node-secondary-ip-list
edit 1
set ip 192.168.1.100
set allowaccess ping
end

change password

• FortiADC Handbook 4.7.1 - Enable password policies

最短8文字

config system admin
edit admin
set password <string>
end

network test

execute ping <destination_ip4>
execute traceroute <destination_ipv4> 

Server Load Balancing

• Using real server pools
• dashboard

再起動や初期化

• FortiADC Handbook 4.7.1 - Rebooting, resetting, and shutting down the system

execute reboot
execute factoryreset 
execute shutdown 

HA settings

• FortiADC Handbook 4.7.1 - Configuring HA settings

状態確認

# OSのversion確認
get system status

# もう片方の本体にログイン
execute ha manage 0

LBの下のWEBサーバーがアクセス元のIPをログに残すには「spoof」を有効にする必要がある

「スプーフ」

(5) HTTPS通信の際にアクセス元のソースIPアドレスが判別出来る
Spoof機能がないロードバランサではHTTPS通信時のソースIPアドレスが検知できず、ロードバランサのIPとなってしますので、アクセス元制限やログ解析、調査などに支障があります。

• ロードバランサの導入メリットについて : makoto_fujimotoのblog

性能比較

• FortiADC__2.5_20180709.pdf 5p