20191217_まなんだこと

唐突に書き始めてみる「今日学んだこと」シリーズ。noteじゃなくてまた別のブログプラットフォーム使ったほうがいいんだろうか。まあいいや。

検証環境用のFW（FortiGate 100D）構築を、今回は最初からひとりで※パラメータを考えるところからやりました。

※FW構築自体は1年目のときに触らせてもらったことがあるものの、その時はパラメータシートが渡されており、「これ通りに設定入れといてね！」だけでした。今回は、箇条書き＆口頭で「検証ではHAの切り替わりのところが再現できればいいから！」と伝えられた要件と、「物はあそこにあった気がする！」みたいな情報のみで構築しました。・・・って書くと大層ですが、要件もほんと少ないし大したことないです。しかし如何せん実機を触った回数が極端に少ないので、実機慣れしてないがゆえの手戻り＆時間ロスがたくさん。

まなんだこと1　：HW初期化のやり方

①factoryresetで工場出荷時の状態に戻す（デフォルトログイン情報はadmin/ノンパス）

コンソール接続した状態で機器の電源スイッチをoff、起動後14s以内にログイン。
FG***** login: maintainer
Password: bcbp${機器シリアルナンバー}
Welcome !
FG*****# execute factoryreset

cf. <http://www.maruko2.com/mw/FortiGate_%E3%82%92%E5%88%9D%E6%9C%9F%E5%8C%96%EF%BC%88%E5%87%BA%E8%8D%B7%E6%99%82%E8%A8%AD%E5%AE%9A%E3%81%AB%E3%83%AA%E3%82%BB%E3%83%83%E3%83%88%EF%BC%89%E3%81%99%E3%82%8B%E6%96%B9%E6%B3%95>

②ピンホールリセットで初期化

後日暇なときに落ちてるやつでやってみたいな。

cf. <https://csps.hitachi-solutions.co.jp/fortinet/faq/FG-81-0014/>

まなんだこと2　：Fortiのconfig階層

今回HAを組むにあたって初期化した後にファームウェアのバージョンがいくつになっているか知りたかったので、get system statusは多用。（？）

cf. <https://qiita.com/t-morisoba/items/80a21981449cf59f7321>

まなんだこと3　：Fortiでter len 0

間違ってshow full-confしたときに「なっげー」ってなるけど。

ていうかshow full-confの使い時っていつなんだろう・・/${word}で検索かけながら使うくらい・・？

config system console
　set output standard
end

cf. <https://aimless.jp/blog/archives/1629/>

まなんだこと4　：ポート右側LEDのオレンジランプの意味

今回の場合は、Cat2960を接続していたので「speed-100ですよ」の意っぽい。

まなんだこと5　：HA設定のパラメータの意味

今回やろうとしていたのは以下の構成。

mode :a-p
HAするi/f :ha1
FW1号機 :master, FW2号機 :slave

最初にハートビートデバイスの値をha1:0で設定していたら、2号機の方にこんなログが。

slave's configuration is not in sync with master's, sequence:0

というわけでha1:50で設定し直したら、なんかちゃんと上がったっぽい・・？

サーバールームから引き揚げてきてから、HAの状態をCLIで確認できることを知りました。（そりゃあるよね。そりゃそうだ。。）

いくつか数字を設定する箇所がありましたが、それぞれこんな役割。

priority　…値の大きい方がmasterになる
hbdev "${I/F}" N　…指定したI/Fの中で、プライオリティ値が高いほうからHA相手に選ばれる（値が高いI/Fがダウンしたら次に値の高いI/FでHAする）

cf. <https://help.fortinet.com/fos50hlp/54/Content/FortiOS/fortigate-high-availability-52/HA_failoverHeartbeat.htm>

ていうか本番環境も実は1本だったのだけどこれは

まなんだこと6　：HAする前にはswitch-controllerをdisableにする

GUIでぽちぽちと設定を入れてApplyしたら「Please disable switch-controller first」って怒られました。とりあえずdisableに。

#config system global
(global)#set switch-controller disable

switch-controller　…FortiLinkやるために必要な機能。
FortiLink　…「FortiGateを使ってネットワーク内のFortiSwitchもL2レベルで一括管理しちゃうぞ」するための特別なリンク。
cf.
<https://docs.fortinet.com/document/fortigate/6.2.0/cookbook/207379/switch-controller>
<https://www.networld.co.jp/product/fortinet/pro_info/fortiswitch/>

あと余談ですが一回怒られるとHA group nameのところが空欄になってくれるので、なんだこれっとなりました。

まなんだこと7　：HAはファームウェアバージョンが同じじゃないと組めない

「きっと組めはするんだろうけど、上手くいかないとは思う」みたいな感じか？

cf. ※PDFファイルがDLされます。<https://tec-world.networld.co.jp/attachedFile/get/be9e553e-e607-41cb-9f72-eadac24b921a>

あとこれ。

まなんだこと8　：FastEtherは100M。

構築したFWと構築済のCat2960を結線したら、FWのポートが軒並みオレンジランプになり焦るも、SW側ではLink up/Line Proto upのログメッセージしか出ていないので、「あれ大したことない・・？」という気持ちになる。

そうして調べた結果が「まなんだこと4」なわけですけど。。

---

そして今日は通勤の電車がえらく遅れていた（ひどい混雑ではなかった）り、昨晩はやたらやる気があったので、AWS SAAの勉強がなんだか進んだ気がします。

まなんだこと9　：KMS, Cloudfront概要

・・が、CloudfrontのBlackBeltを読んでいて「webがわからない」という気持ちになったり、KMSを読んでいて「鍵認証がわからない」という気持ちになり、CS基礎教養の無さを痛感。

以上。