FortiGateのLink-Monitorの設定について

2025-10-10

Link-Monitorは、FortiGateが上流ネットワークや特定のホストへの疎通状態を監視するための機能です。

単にインターフェースの物理リンク状態（UP/DOWN）だけでは検出できない障害、例えばISP側のルータ故障や経路断を検知できます。

監視はICMP（ping）やTCP/UDPエコー、HTTP/HTTPSリクエストなどで実施可能。
監視に失敗した場合は静的ルートやポリシールートの撤回、あるいはインターフェースの連動ダウンが行われ、別経路へ自動切替が可能。
デュアルWAN構成やVPN冗長化に広く活用されます。

動作の仕組み

FortiGateが指定した宛先IPへ定期的に監視パケットを送信。
応答が一定回数途絶えると「リンクダウン」と判定。
静的ルートやポリシールートが無効化され、別回線へトラフィックが切り替わる。
応答が復旧した場合は「リンクアップ」と判定し、経路も復旧。

CLI設定例（修正版）

config system link-monitor
    edit "ISP1-Monitor"
        set srcintf "wan1"                    # 監視対象インターフェース
        set server "8.8.8.8" "1.1.1.1"        # 複数指定で誤検知を低減
        set protocol ping                     # ping/http/https/tcp-echo等が利用可能
        set interval 1000                     # 監視間隔 (ms) デフォルト500ms
        set probe-timeout 500                 # 応答待ち時間 (ms)
        set failtime 5                        # 失敗5回連続でダウン判定
        set recoverytime 5                    # 成功5回連続で復旧判定
        set update-static-route enable        # 静的ルートを撤回
        set update-policy-route enable        # ポリシールートも更新
        set update-cascade-interface enable   # 関連インターフェースを連動ダウン
        set status enable
    next
end

主なパラメータ解説

srcintf: 監視対象インターフェース（例：wan1）。
server: 監視宛先。ISPのGWや外部の安定したサーバ（8.8.8.8など）を複数指定するのが望ましい。
protocol: 監視方法。pingのほか、http/https/tcp-echo/udp-echo/twampなども指定可能。
interval: 監視間隔（ms）。500msがデフォルト。現実的には1000ms（1秒）程度がおすすめ。
probe-timeout: 応答待ち時間（ms）。デフォルト500ms。回線の遅延を考慮して調整。
failtime/recoverytime: ダウン／復旧の判定基準となる連続回数。
update-static-route: ダウン時に静的ルートを削除。
update-policy-route: ダウン時にポリシールートを更新。
update-cascade-interface: 関連インターフェースを連動してダウンさせる機能。

利用シナリオ

デュアルWANフェイルオーバー
ISP1が障害時、自動でISP2へ切替。
VPN冗長化
トンネルの死活監視を行い、異常時に別のトンネルへ移行。
SD-WANの補完
SD-WAN利用時は基本的に「Performance SLA（ヘルスチェック）」を使用し、Link-MonitorはSD-WAN外の経路やHA冗長制御に利用するのが推奨。

動作確認・トラブルシュート

状態確認（全体）： diagnose sys link-monitor status
特定インターフェース： diagnose sys link-monitor interface wan1
詳細デバッグ： diagnose debug application link-monitor -1 diagnose debug enable # 終了時 diagnose debug disable