PoCで学んだFortiGateの動作について
はじめに
こんにちは、株式会社SHIFT ITソリューション部 インフラサービスグループの嵐です。
FortiGateの動作に関するPoCを行ったので、PoCの中で学んだFortiGateの動作についてまとめます。本記事がご参考になれば幸いです。
案件概要説明
現在、お客様の通信インフラにおいて、在宅勤務などの働き方改革やクラウドサービスの活用により、通信量が大きく増加傾向にあります。そのため、今後の通信費増加といった課題や、現状の通信インフラでは、拠点間のトラフィック増加に対応できず帯域不足に陥る恐れがあり、業務が成立しないといった課題を抱えています。そこで、抜本的にネットワークの構築方法を見直すことで課題を克服する必要があります。
現状の拠点間通信は、品質に優れる一方で高価な専用線のみを利用しています。SD-WANでは、専用線とインターネット網の併用や、複数のWAN回線の冗長化、負荷分散が可能なため、比較的安価に通信インフラの増強を行うことができます。 そこで回線コスト低減・高速化を目的として、各拠点へのSD-WAN導入を行います。
各拠点へのSD-WAN導入に向けて、SD-WANのPoCを構成、品質、セキュリティ、設計、運用の視点から実施・評価を行いました。
今回のPoCでは、GUI,CLIでの設定確認や変更、インターネット経由での接続などの基本的なFortiGateの動作確認、本番環境に接続し必要な通信が行えることの確認、回線や筐体を冗長化した際の、障害時の動作や影響の確認などを行いました。これらの確認項目のうち、機器の冗長機能と、回線の冗長機能について記載します。
FortiGateとは
昨今の多様化する脅威に対抗するために、ファイアウォール機能に加え、IPS、アンチウイルス、Webフィルタリングなどの複数のセキュリティ機能を統合したUTMのひとつです。またSD-WAN機能を持ち、WAN回線の冗長化や負荷分散、専用線とインターネット網の併用、ネットワークに接続されている機器の一元管理などが可能になります。
FortiGateの動作について
今回のPoCでは、2台のFortiGateをHA構成(Active-Passive)で冗長化し、3種類のWAN回線を用いて回線の冗長化を行いました。
筐体冗長化、障害試験
HA切り替わりのトリガーイベントは以下の通りです。
FortiGateのモニタインターフェースのダウン
FortiGateの電源断(筐体障害)
FortiGateのSSDの障害(オプション)
FortiGateのメモリ使用率の高騰の継続(オプション)
そのため、プライマリ機器のインターフェースがダウンした時や、プライマリ機器の電源断が発生した時、セカンダリ機器がプライマリ機器となり通信を継続しました。この際の、オーバーレイの通信では約30秒、アンダーレイの通信では約1秒の通信断が発生しました。オーバーレイの通信ではセカンダリ機器でトンネルを張りなおしたため通信断時間が多くなったと考えられます。
また、障害が起きた際に障害の原因を調査するという目的で、オーバーライドしない設定であったため、元のプライマリ機器が正常に戻った後に、プライマリ機器を変更する場合は、Ageと呼ばれるHA構成後の経過時間を強制的にリセットすることで切り替えなければなりませんでした。その際、Ageの強制リセットは以下のコマンドで行います。
# diagnose sys ha reset-uptime
回線冗長化、障害試験
複数のそれぞれ異なるISPのWAN回線にて、回線の負荷分散、冗長化が可能でした。負荷分散は、初期状態では「送信元IP」ベースでの負荷分散となっているが、ほかにも「通信量」ベースでの負荷分散などが可能です。「通信量」ベースでの負荷分散の場合、事前に%で設定した利用比率に従ってトラフィックを分散することが可能です。
また、回線の冗長化については、どの回線に障害が起きたとしても、他の回線にて通信は問題なく行われることを確認しました。
設定後の実際の振り分け通信の確認については、GUIにて容易に負荷の分散状況を確認することができました。
自分が感じたこと
ネットワークを学び始めて約4ヶ月の頃に今回のPoCを行ったため、専門的な知識が少なく、ファイアウォールを操作するのも初めてでした。そのような中、FortiGateはリモートからでも機器にアクセスでき、日本語に対応したGUIで操作できるため、経験が少ない私でも直感的に使いやすく、比較的簡単に設定や管理を行えると感じました。
お問合せはお気軽に
https://service.shiftinc.jp/contact/
SHIFTについて(コーポレートサイト)
https://www.shiftinc.jp/
SHIFTのサービスについて(サービスサイト)
https://service.shiftinc.jp/
SHIFTの導入事例
https://service.shiftinc.jp/case/
お役立ち資料はこちら
https://service.shiftinc.jp/resources/
SHIFTの採用情報はこちら
https://recruit.shiftinc.jp/career/
PHOTO:UnsplashのAdam Birkett