Fortigate 100D
案件でFortigate100Dを設定した。その際にハマったところについて、ネット上に見かけなかった部分だけを抽出して記録しておく。
誰かの助けになれば良い。
・mgmtポートからSNMP Trapが投げられない!
SNMP Trapを投げるサーバの設定をGUIとCLIでできるが、GUIから設定を変更した時にedit2に設定している
ha-direct enable
が消えてしまうバグに遭遇した。これが消えると、mgmtポートからSNMP Trapをなげることができないので注意!なお、手動で追加してsaveすれば問題ない。
これはOSのバグで、最近バージョンで修正済みとのことをサポートから聞いている。
5.4や5.5で古いバージョンを使用している時は注意!
・HA切り替わりで投げられるTrapにMasterとかSlaveといった文字列が無い!
案件ではZabbixなどの監視ツールを使ってSNMP Trap監視をしている。HA切り替わりはけっこう重大な障害なのでぜひとも監視したいと思い、MIBを見たり、パケットキャプチャをしてOIDを確認した。
手動でHA切り替わりを起こさせたのだが、SNMPマネージャ側ではホスト名とシリアルしか表示されなかった。
これは変だなと思い、改めてMIBを見ると、なんと仕様だった。
他のLinkUp/DownといったTrapにはインターフェースまで内包されるのに、HAはダメ。きっと、LinkはSNMPの標準規格を使用していて、HAはForti独自だからだろう。作り込みの甘さを見つけてしまった。
・Vdom間通信
Vdom間の通信を行うためには、以下が必要。
- VLINKを作成する。
- VLINKをVdomに帰属させる。
- VLINKで通したいルーティングをスタティックルートに登録する。
- VLINKで通したい通信をポリシーで設定する。
この「4」が曲者だった。Vdom_AのA_NWに所属しているホスト(hostA)と、Vdom_BのB_NWに所属しているホスト(hostB)で通信させたい時、各VdomでVLINK宛のポリシーを設定する必要がある。
言われてみれば当たり前のことだが、ポリシーの数が数百とかになったり、Vdomが多いとけっこう見落とす。
※Fortigateはデフォルトで10個のVdomを作ることができる。
※Vdomは多いと管理が大変になる。コンフィグも長くなって見にくいし。
※具体的な設定方法はFortigateのサイトを見たり、ググって欲しい。