20191217_まなんだこと
唐突に書き始めてみる「今日学んだこと」シリーズ。noteじゃなくてまた別のブログプラットフォーム使ったほうがいいんだろうか。まあいいや。
検証環境用のFW(FortiGate 100D)構築を、今回は最初からひとりで※パラメータを考えるところからやりました。
※FW構築自体は1年目のときに触らせてもらったことがあるものの、その時はパラメータシートが渡されており、「これ通りに設定入れといてね!」だけでした。今回は、箇条書き&口頭で「検証ではHAの切り替わりのところが再現できればいいから!」と伝えられた要件と、「物はあそこにあった気がする!」みたいな情報のみで構築しました。・・・って書くと大層ですが、要件もほんと少ないし大したことないです。しかし如何せん実機を触った回数が極端に少ないので、実機慣れしてないがゆえの手戻り&時間ロスがたくさん。
まなんだこと1 :HW初期化のやり方
①factoryresetで工場出荷時の状態に戻す(デフォルトログイン情報はadmin/ノンパス)
コンソール接続した状態で機器の電源スイッチをoff、起動後14s以内にログイン。
FG***** login: maintainer
Password: bcbp${機器シリアルナンバー}
Welcome !
FG*****# execute factoryreset
cf. <http://www.maruko2.com/mw/FortiGate_%E3%82%92%E5%88%9D%E6%9C%9F%E5%8C%96%EF%BC%88%E5%87%BA%E8%8D%B7%E6%99%82%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%83%AA%E3%82%BB%E3%83%83%E3%83%88%EF%BC%89%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95>
②ピンホールリセットで初期化
後日暇なときに落ちてるやつでやってみたいな。
cf. <https://csps.hitachi-solutions.co.jp/fortinet/faq/FG-81-0014/>
まなんだこと2 :Fortiのconfig階層
今回HAを組むにあたって初期化した後にファームウェアのバージョンがいくつになっているか知りたかったので、get system statusは多用。(?)
cf. <https://qiita.com/t-morisoba/items/80a21981449cf59f7321>
まなんだこと3 :Fortiでter len 0
間違ってshow full-confしたときに「なっげー」ってなるけど。
ていうかshow full-confの使い時っていつなんだろう・・/${word}で検索かけながら使うくらい・・?
config system console
set output standard
end
cf. <https://aimless.jp/blog/archives/1629/>
まなんだこと4 :ポート右側LEDのオレンジランプの意味
今回の場合は、Cat2960を接続していたので「speed-100ですよ」の意っぽい。
まなんだこと5 :HA設定のパラメータの意味
今回やろうとしていたのは以下の構成。
mode :a-p
HAするi/f :ha1
FW1号機 :master, FW2号機 :slave
最初にハートビートデバイスの値をha1:0で設定していたら、2号機の方にこんなログが。
slave's configuration is not in sync with master's, sequence:0
というわけでha1:50で設定し直したら、なんかちゃんと上がったっぽい・・?
サーバールームから引き揚げてきてから、HAの状態をCLIで確認できることを知りました。(そりゃあるよね。そりゃそうだ。。)
いくつか数字を設定する箇所がありましたが、それぞれこんな役割。
priority …値の大きい方がmasterになる
hbdev "${I/F}" N …指定したI/Fの中で、プライオリティ値が高いほうからHA相手に選ばれる(値が高いI/Fがダウンしたら次に値の高いI/FでHAする)
cf. <https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-high-availability-52/HA_failoverHeartbeat.htm>
ていうか本番環境も実は1本だったのだけどこれは
まなんだこと6 :HAする前にはswitch-controllerをdisableにする
GUIでぽちぽちと設定を入れてApplyしたら「Please disable switch-controller first」って怒られました。とりあえずdisableに。
#config system global
(global)#set switch-controller disable
switch-controller …FortiLinkやるために必要な機能。
FortiLink …「FortiGateを使ってネットワーク内のFortiSwitchもL2レベルで一括管理しちゃうぞ」するための特別なリンク。
cf.
<https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/207379/switch-controller>
<https://www.networld.co.jp/product/fortinet/pro_info/fortiswitch/>
あと余談ですが一回怒られるとHA group nameのところが空欄になってくれるので、なんだこれっとなりました。
まなんだこと7 :HAはファームウェアバージョンが同じじゃないと組めない
「きっと組めはするんだろうけど、上手くいかないとは思う」みたいな感じか?
cf. ※PDFファイルがDLされます。<https://tec-world.networld.co.jp/attachedFile/get/be9e553e-e607-41cb-9f72-eadac24b921a>
あとこれ。
まなんだこと8 :FastEtherは100M。
構築したFWと構築済のCat2960を結線したら、FWのポートが軒並みオレンジランプになり焦るも、SW側ではLink up/Line Proto upのログメッセージしか出ていないので、「あれ大したことない・・?」という気持ちになる。
そうして調べた結果が「まなんだこと4」なわけですけど。。
---
そして今日は通勤の電車がえらく遅れていた(ひどい混雑ではなかった)り、昨晩はやたらやる気があったので、AWS SAAの勉強がなんだか進んだ気がします。
まなんだこと9 :KMS, Cloudfront概要
・・が、CloudfrontのBlackBeltを読んでいて「webがわからない」という気持ちになったり、KMSを読んでいて「鍵認証がわからない」という気持ちになり、CS基礎教養の無さを痛感。
以上。
この記事が気に入ったらサポートをしてみませんか?