FortiGateのVRRP設定について

VRRPとは何か

VRRP（Virtual Router Redundancy Protocol） は、複数のルーター間でデフォルトゲートウェイを冗長化するための標準プロトコルです。

現行の規格は RFC 5798（VRRPv3） で、IPv4およびIPv6の両方に対応しています。

同一セグメント内の複数のFortiGateが1つの仮想IP（Virtual IP）を共有し、そのうち1台が「Master（マスター）」、残りが「Backup（バックアップ）」として動作します。

マスター機が障害などでダウンした際、バックアップ機が自動的にマスターに昇格し、通信を継続します。

通信の仕組み（プロトコルレベル）

VRRPでは、マスター機がIPプロトコル番号112を使用し、マルチキャストアドレス 224.0.0.18（IPv4） に対して定期的に「Advertisementパケット」を送信します。

これをバックアップ機が受信し続けることで、マスターの稼働を監視します。

• 伝送方式：L2ブロードキャストではなく、IPマルチキャスト（TTL=255）
• 検出タイミング：マスターのAdvertisementが途絶えた場合、
  バックアップはタイマー満了をもって自動昇格（フェイルオーバー）します。

基本構成イメージ

          ┌────────────────┐
          │  FortiGate #1 │（Master）
          │  IP: 192.168.1.2 │
          │  Priority: 200   │
          └────────────────┘
                   │
        VRRP Virtual IP: 192.168.1.1
                   │
          ┌────────────────┐
          │  FortiGate #2 │（Backup）
          │  IP: 192.168.1.3 │
          │  Priority: 150   │
          └────────────────┘
                   │
              Client Network

クライアントは常に 192.168.1.1 をデフォルトゲートウェイに設定します。

マスターがダウンしても、バックアップ機が即座に同一IPを引き継ぐため、通信断は最小限です。

FortiGateでの設定手順（CLI実例）

Master側設定例

config system interface
    edit "port1"
        set ip 192.168.1.2 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 10
                set vrip 192.168.1.1
                set priority 200
                set preempt enable
                set vrdst 8.8.8.8
                set vrdst-priority 10
            next
        end
    next
end

Backup側設定例

config system interface
    edit "port1"
        set ip 192.168.1.3 255.255.255.0
        set vrrp-virtual-mac enable
        config vrrp
            edit 10
                set vrip 192.168.1.1
                set priority 150
                set preempt enable
                set vrdst 8.8.8.8
                set vrdst-priority 10
            next
        end
    next
end

補足ポイント

• edit 10 の数値は VRID（Virtual Router ID）。1〜255の範囲で一意に設定。
• set interface "port1" は不要です。インターフェースコンテキストの中で設定するため。
• vrrp-virtual-mac enable により、仮想MACアドレス（00:00:5e:00:01:VRID） を利用可能。
  切替時にクライアント側でARP再学習が不要になり、瞬時に通信復旧できます。

各パラメータの詳細

フェイルオーバーの流れ

1. 通常動作時
   Masterが定期的にAdvertisement（224.0.0.18）を送信。Backupはこれを監視。
2. Master障害発生
   Advertisementが途絶えると、Backupがタイマー満了を検知しMaster昇格。
3. MAC引き継ぎ
   Virtual MAC有効時は同一MACを継続使用。通信断は1〜3秒程度。
4. Master復旧
   preempt enable が有効であれば、自機が再びMasterに昇格し、元の状態へ復帰。

実運用でのポイント

vrdstによるヘルスチェック

単にFortiGateが稼働していても、上位回線断では通信不可。

vrdstを設定し、上位ルーターや外部DNS（例：8.8.8.8）を監視することで、ルーティング障害時にもフェイルオーバーが可能になります。

同一セグメント内で設定

VRRPはL2ブロードキャストではなくマルチキャスト通信で動作しますが、それでもマスター／バックアップは同一L2セグメント上に存在する必要があります。

仮想MACの有効化推奨

vrrp-virtual-mac enable により、フェイルオーバー後の通信中断を最小化できます。

これがない場合は、Backup昇格時にGratuitous ARPが送信されます。

異機種との連携

VRRPは標準プロトコル（RFC 5798）準拠のため、Cisco・Juniperなど他社ルーターとも問題なく相互運用が可能です。

ただし、メーカー間で細かな挙動（タイマーやMAC動作）が異なるため、事前検証を推奨します。

FortiGate独自HA（FGCP）との違い

応用構成例

• 拠点ルーター冗長構成
  → 本社⇄拠点間VPNゲートウェイをVRRPで冗長化。
• デュアルWAN構成
  → 2本の上り回線をそれぞれ別FortiGateに接続し、VRRPでフェイルオーバー。
• FortiGate + L3スイッチ冗長構成
  → FortiGateとCisco L3スイッチで仮想ゲートウェイを共有し、経路冗長化。

トラブルシューティングコマンド

まとめ

まとめコメント

FortiGateでのVRRP構成は、「異機種ルーターとの連携」「個別管理を前提とした軽量冗長構成」に最適です。

一方で、セッション同期が必要なWebシステムやSSL VPN環境では、FGCP（HAクラスタ）の方が望ましい場合もあります。

運用設計のコツは、VRRPを“L3ゲートウェイの冗長化”と割り切ること。
FortiGate独自のHA機能とは目的を明確に分けて活用するのがベストプラクティスです。

以上、FortiGateのVRRP設定についてでした。

最後までお読みいただき、ありがとうございました。