1. はじめに
- FortiGateをHA構成(FGCP)で利用する場合、フェイルオーバーのトリガーとして「モニターインターフェイス」と「リンクモニター」を設定することが可能です。
名前は似ていますが、監視するレイヤや挙動が異なります。この記事では両者の違いを整理し、設定例を紹介します。
2. モニターインターフェイス(Monitor-interface)
特徴
- レイヤ2レベルで物理リンクやLAGインターフェイスのUp/Downを監視
- ケーブル断、スイッチポートシャットダウンなど「リンク状態」がトリガー
- リンクがダウンすると、そのFortiGateに ペナルティスコアが加算 され、スコアが高い方がセカンダリに降格
設定例
config system ha
set group-id 10
set group-name "HA-Group"
set mode a-p
set hbdev "port5" 100
set monitor "wan1" "wan2"
end
注意点
- LAG(Aggregate)を指定した場合
→ LAG全体がDownにならない限りフェイルオーバーは発生しない
- LAGの中の1本が落ちても、残りが生きていればUp判定
→ 部分断をトリガーにしたい場合は min-links を併用する必要あり
3. リンクモニター(Link-monitor)
特徴
- レイヤ3レベルで監視
- 指定した宛先にPingを実行し、応答が無い場合に障害とみなす
- 単なる物理リンクではなく「回線先の到達性」まで監視可能
- Ping失敗でペナルティスコア加算 → スコアが高い方が降格
設定例
config system link-monitor
edit "ISP1"
set srcintf "wan1"
set protocol ping
set server "8.8.8.8" "1.1.1.1"
set interval 500
set failtime 5
set recoverytime 5
set update-cascade-interface enable
next
edit "ISP2"
set srcintf "wan2"
set protocol ping
set server "8.8.4.4"
set interval 500
set failtime 5
set recoverytime 5
next
end
config system ha
set group-id 10
set group-name "HA-Group"
set mode a-p
set hbdev "port5" 100 "port6" 50
set monitor "wan1" "wan2"
set pingserver-monitor-interface "wan1" "wan2"
end
- failtime 回連続で応答なし → 失敗と判定
- recoverytime 回応答が復活したら復旧
- update-cascade-interface enable を設定すると、障害検知時に該当インターフェイスを「down扱い」にできる
4. 両者の使い分け
| 項目 |
モニターインターフェイス |
リンクモニター |
| 監視レイヤ |
L2(物理リンク状態) |
L3(宛先IPへの到達性) |
| 検知できる障害 |
ケーブル抜け / ポートダウン |
上位回線ダウン / ISP側障害 |
| 設定場所 |
config system ha |
config system link-monitor |
| ペナルティスコア |
障害時に加算され、スコアが多い方が降格 |
同上 |
5. 運用のベストプラクティス
- 両方を併用するのが基本
- モニターインターフェイス → 機器/ケーブル断を即座に検知
- リンクモニター → 上位回線やISP障害を検知
- Ping先は複数指定(例:ISPゲートウェイ + 公開DNS)で冗長化
- LAG利用時はmin-links設定 で部分断の考慮を忘れない
- 過剰にモニターしない
- モニター対象が多すぎると、意図せぬフェイルオーバーのリスクも増える
6. まとめ
- FGCPのフェイルオーバーは ペナルティスコア方式
- 物理断 → モニターインターフェイス
- 回線到達性 → リンクモニター
- 両方をバランスよく設定することで、想定通りのフェイルオーバーを実現できる
community.fortinet.com
