FortigateのHA(active-active構成)での通信分散動作
こんにちは。ネットワークソリューション特集 編集部です。
今回は、FortigateのHA(active-active構成)での通信分散動作についてご紹介します。
検証前
構成
FortigateはHA(a-a)構成。Primary、Secondaryは別々の回線(ルータ)と接続。
動作想定
LAN側からの通信は回線A・B両回線を分散して実施される想定だった。
結果
通信は回線Aのみ(Primary機のみ)を使用していた。
確認
Secondary機側のトラフィックログを確認しても通信結果無し。
Secondary機側を回線BではなくPrimary機と同様に回線Aに接続してトラフィックログを確認するとSecondary機からも通信が出力していた。
検証後
構成変更
a-a構成の場合、筐体間で同じWAN側インターフェースを使用して同じ回線に接続している場合には、通信を筐体間で分散する。
ただし、分散する通信内容にルールはある。(icmpは分散されなずに常にPrimaryを使用)
TCPロードバランスはデフォルトでは無効。環境によってはパフォーマンスが悪くなるため検証が必要です。
※両回線使用したい場合には、FG-CE間をたすき掛け接続にする。
参考URL
まとめ
- Active-Active通信はコンテンツプロセッサ(UTM機能)の負荷分散になる
- TCPロードバランスはデフォルト無効
今回はFortigateのHA(active-active構成)での通信分散動作についてご紹介しました。
