アクティブ/アクティブ クラスタリング フルメッシュ

このセクションは、次のサブセクションから構成されています。
アクティブ/アクティブ クラスタリング フルメッシュの概要
アクティブ/アクティブ クラスタリング フル メッシュの設定
装置 2 台によるアクティブ/アクティブ クラスタ フルメッシュの設定

アクティブ/アクティブ クラスタリング フルメッシュの概要

アクティブ/アクティブ クラスタリングのフルメッシュ設定は、アクティブ/アクティブ クラスタリングの設定オプションに対する強化であり、ネットワーク内のあらゆる単一障害点を回避します。ファイアウォールをはじめとするすべてのネットワーク機器は、完全な冗長化のために連携されます。フルメッシュでは、機器 (ファイアウォール/スイッチ/ルータ) であれリンクであれ、一切の単一障害点が配備に存在しないことが保証されます。すべての機器は、接続先の機器に二重に配線されます。フルメッシュによるアクティブ/アクティブ クラスタリングは、実現可能な最高レベルの可用性と高いパフォーマンスを提供します。

* 
補足:ファイアウォールのアップストリーム側ネットワーク内にあるルータは、Virtual Router Redundancy Protocol (VRRP) 向けにあらかじめ設定されている必要があります。
フル メッシュ配備について

アクティブ/アクティブ クラスタリングのフル メッシュ設定は、アクティブ/アクティブ クラスタリングの設定オプションに対する強化であり、実現可能な最高レベルの可用性と高いパフォーマンスを提供します。フル メッシュ配備では、ネットワークで非常に高いレベルの可用性を実現します。これは、すべての機器 (ルータ、スイッチ、セキュリティ装置など) が 1 つ以上の冗長なパートナーを持つからです。ネットワーク全体に単一障害点がまったく存在しないように、すべての機器が接続対象機器に対して 2 重に配線されています。例えば、すべての SonicWALL ファイアウォールは冗長ポートを使用して、各ネットワーキング機器に対して 2 回接続されます。

* 
補足:フル メッシュ配備では、ポート冗長化が有効かつ実現されている必要があります。
アクティブ/アクティブ クラスタリング フル メッシュのメリット

この配備設定の主なメリットは、次のとおりです。
コア ネットワーク内に単一障害点が存在しない:アクティブ/アクティブ クラスタリング フルメッシュ配備では、ファイアウォールだけでなく、コアネットワーク全体にわたって単一障害点が存在しません。パス上のスイッチ、ルータ、ファイアウォールに同時に障害が発生した場合でも、トラフィック フローの代替パスが必ず利用できるので、最高レベルの可用性を実現できます。
ポート冗長化:アクティブ/アクティブ クラスタリング フルメッシュでは、各クラスタ ノード内の HA 冗長化や、クラスタ内のノード レベルの冗長化に加え、冗長ポートも利用します。ポート冗長化では、プライマリ ポートに障害が発生した場合、バックアップ リンクがトランスペアレントな形で処理を引き継ぎます。この場合、機器レベルのフェイルオーバーは必要ありません。
冗長ポートと冗長スイッチ

冗長ポートは、アクティブ/アクティブ クラスタリングと併用できます。あるポートに障害が発生した場合、そのトラフィックは、HA またはアクティブ/アクティブのフェイルオーバーなしに冗長ポートによってシームレスに処理されます。「ネットワーク > インターフェース > インターフェースの編集」ページの「冗長ポート」フィールドは、アクティブ/アクティブ クラスタリングが有効な場合に使用可能になります。

冗長ポートを設定する場合、インターフェースは未使用、つまり、どのゾーンにも割り当てられていない状態でなければなりません。2 つのポートは、同じスイッチか、できればネットワーク内の冗長スイッチに物理的に接続されている必要があります。

* 
補足:すべてのクラスタ ノードは同じ設定を共有するので、各ノードは同じ冗長ポートが設定され、同じスイッチに接続されている必要があります。

すべてのクラスタ ノードが起動していてトラフィックを通常どおりに処理している間、冗長ポートは、スタンバイ状態のままで、パートナー ポートが何らかの理由でダウンした場合にすぐに使えるように準備されています。あるクラスタ ノードがダウンし、アクティブ/アクティブ フェイルオーバーが発生した場合、残りのクラスタ ノードの冗長ポートは、障害が発生したノードによって所有されていた仮想グループのトラフィックを処理するために直ちに使用されます。これにより、負荷分散が実現されます。

例えば、仮想グループ 1 がクラスタ ノード 1 によって、仮想グループ 2 がクラスタ ノード 2 によって所有されている配備があるとします。各クラスタ ノードには冗長ポート X3 および X4 が設定されています。すべてのノードが適切に機能している場合、X4 ではトラフィックが一切送信されません。クラスタ ノード 2 がダウンした場合は、仮想グループ 2 もクラスタ ノード1 によって所有されることになります。この時点で、冗長ポート X4 は負荷分散のために使用が開始されます。仮想グループ 1 のトラフィックは X3 で送信され、仮想グループ 2 のトラフィックは X4 で送信されます。より大規模な配備で、クラスタ ノード 1 が 3 つまたは 4 つの仮想グループを所有している場合、トラフィックは冗長ポートの間で分配されます。つまり、仮想グループ 1 および 3 のトラフィックは X3 で、仮想グループ 2 および 4 のトラフィックは X4 で送信されます。

冗長スイッチが設定されている場合、SonicWALL では冗長ポートを使用してこのスイッチに接続することを推奨します。冗長ポートを使用せずに冗長スイッチに接続することも可能ですが、その場合はプローブを使用した複雑な設定が必要になります。冗長スイッチは、高可用性機能の必要性に応じて、ネットワーク内の任意の場所に配備できます。例えば、冗長スイッチを通過するトラフィックが事業的に非常に重要な場合は冗長スイッチを WAN 側に配備できます。

次の図は、冗長なルータ、スイッチ、およびポートが WAN 側に含まれていても、LAN 側では冗長化を使用していないのでフル メッシュにはなっていない配備を示しています。

図 60. WAN 側の冗長化

冗長ポートや冗長スイッチを配備する場合にフル メッシュは必須ではありませんが、フル メッシュ配備には冗長ポートや冗長スイッチが含まれます。フル メッシュ配備では、メインのトラフィック ポート (LAN、WAN など) のそれぞれで冗長ポートを使用し、冗長スイッチに加えて冗長アップストリーム ルータも使用します。

フル メッシュ配備の詳細については、『Active/Active Clustering Full Mesh Deployment Technote』を参照してください。

アクティブ/アクティブ クラスタリング フル メッシュの設定

このセクションでは、アクティブ/アクティブ クラスタ フルメッシュ配備のセットアップ手順を説明します。ここでは、装置 4 台によるアクティブ/アクティブ クラスタリング フルメッシュのセットアップを取り上げます。この配備の以下の点について詳しく説明します。
アクティブ/アクティブ フル メッシュのケーブル配線
アクティブ/アクティブ クラスタ ファイアウォールの設定
装置 2 台によるアクティブ/アクティブ クラスタ フルメッシュの設定

ここで説明する配備は例です。実際の配備は、以下の点で異なる場合があります。

ネットワークのトポロジ/設計や使用するネットワーク機器の種類 (スイッチ、ルータ、負荷分散機器など)
適切な可用性のレベル
リソースの制約

図 61. 装置 4 台によるアクティブ/アクティブ クラスタ フルメッシュ

アクティブ/アクティブ フル メッシュのケーブル配線

ここでは、上の図に示した配備のケーブル配線の手順を説明します。

フルメッシュ配備でネットワーク機器を物理的に接続するには、以下の手順に従います。
1
すべてのファイアウォールのすべての HA リンクをスイッチ E のポートベース VLAN に接続します。
2
上記のセットアップでは、X2 が X0 の冗長ポートになります。X0、X2 の各ポートについてケーブルを次のように接続します。
a
CN2 プライマリ ファイアウォールの X0 をスイッチ A に、X2 をスイッチ B に接続します。
b
CN2 バックアップ ファイアウォールの X0 をスイッチ A に、X2 をスイッチ B に接続します。
c
CN2 プライマリ ファイアウォールの X0 をスイッチ B に、X2 をスイッチ A に接続します。
d
CN2 バックアップ ファイアウォールの X0 をスイッチ B に、X2 をスイッチ A に接続します。
3
スイッチ A とスイッチ B で、以下の作業を行います。
a
X0、X2 インターフェースに接続されているすべてのスイッチ ポートを、同じポートベース VLAN に属するように設定します。
b
ファイアウォールに接続されているポートで、スパニング ツリーを有効にし、ポートの高速化 (または等価なコマンド) も有効にします。
4
上記のセットアップでは、X3 が X1 の冗長ポートになります。X1、X3 の各ポートについてケーブルを次のように接続します。
a
CN2 プライマリ ファイアウォールの X1 をスイッチ C に、X3 をスイッチ D に接続します。
b
CN2 バックアップ ファイアウォールの X1 をスイッチ C に、X3 をスイッチ D に接続します。
c
CN2 プライマリ ファイアウォールの X1 をスイッチ D に、X3 をスイッチ C に接続します。
d
CN2 バックアップ ファイアウォールの X1 をスイッチ D に、X3 をスイッチ C に接続します。
5
スイッチ C とスイッチ D で、以下の作業を行います。
a
X1、X3 インターフェースに接続されているすべてのスイッチ ポートを、同じポートベース VLAN に属するように設定します。
b
ファイアウォールに接続されているポートで、スパニング ツリーを有効にし、ポートの高速化 (または等価なコマンド) も有効にします。
6
スイッチ A とスイッチ B を互いにケーブルで接続します。
7
スイッチ C とスイッチ D を互いにケーブルで接続します。
8
ルータ A とルータ B が冗長ポートをサポートしている場合は、ファイアウォール ポートをスイッチに接続したときと同じように、これらのルータをスイッチに接続します。つまり、ルータ A のプライマリ ポートをスイッチ C に、ルータ A のバックアップ ポートをスイッチ D に接続します。ルータ B についても同様にポートを接続します。
9
ルータが冗長ポートをサポートしておらず、スイッチングをサポートしている場合は、ルータ A の同じ VLAN 内に 2 つのポートを作成し、ポートではなく VLAN に IP アドレスを割り当てます。その後、一方のポートをスイッチ C に、他方のポートをスイッチ D に接続します。ルータ B についても同じように設定します (図中のセットアップを参照)。
10
上述のセットアップでは、アクティブ/アクティブ クラスタリングと共にアクティブ/アクティブ DPI も使用しています。ポート X6 および X7 は、冗長化と、アクティブ ファイアウォールからスタンバイ ファイアウォールにオフロードされたトラフィックの負荷分散のための 2 つの HA データポートです。以下のケーブル配線を実行します (上の図では簡略化のために X6、X7 ポートとケーブル配線は省略されています)。
a
CN1 プライマリの X6 を CN1 バックアップの X6 にクロスオーバー ケーブルで接続します。
b
CN1 プライマリの X7 を CN1 バックアップの X7 にクロスオーバー ケーブルで接続します。
c
CN2 プライマリの X6 を CN2 バックアップの X6 にクロスオーバー ケーブルで接続します。
d
CN2 プライマリの X7 を CN2 バックアップの X7 にクロスオーバー ケーブルで接続します。

アクティブ/アクティブ クラスタ ファイアウォールの設定

このセクションでは、アクティブ/アクティブ クラスタ ファイアウォールの設定手順を説明します。

1
CN1 プライマリ装置を除くすべてのファイアウォールをシャットダウンします。
2
「高可用性 > 設定」ページで、以下の操作を行います。
a
アクティブ/アクティブ クラスタリング モードを選択します。
b
クラスタ ノードのシリアル番号を入力します。
c
CN1 を、仮想グループ 1 のオーナー、および仮想グループ 2 のスタンバイとして選択します。
d
CN2 を、仮想グループ 2 のオーナー、および仮想グループ 1 のスタンバイとして選択します。
e
ステートフル同期を有効にします。
f
X6、X7 を 2 つの HA データ ポートとしてアクティブ/アクティブ DPI を有効にします。
g
送信」を選択します。
3
ネットワーク > インターフェース」ページで、以下の操作を行います。
a
X0 インターフェースと X1 インターフェースの両方に対して仮想グループ (VG) IP アドレスを追加します。
b
冗長ポートの設定を追加します (X2 を X0 の冗長ポートに、X3 を X1 の冗長ポートにします)。
4
高可用性 > 監視」ページで、クラスタ内の各装置の X0 または X1 のどちらかに監視/管理 IP アドレスを追加します。
5
その他すべてのファイアウォールを起動します。CN1 プライマリから他のすべてのファイアウォールに対して設定の完全な同期が行われます。
6
専用の監視/管理アドレスを使用して各ファイアウォールにログインし、以下の操作を行います。
a
MySonicWALL でファイアウォールを登録します。
b
MySonicWALL によってライセンスの同期を行います。
障害点が存在しないことのテスト

上記の配備の接続と設定が終了すると、CN1 は仮想グループ 1 (VG1) の、CN2 は仮想グループ 2 (VG2) のオーナーになります。

X0 の VG1 IP アドレスを特定のトラフィック フローのゲートウェイとして、X0 の VG2 IP アドレスを別のトラフィック フローのゲートウェイとして設定します。ネットワーク管理者は、異なる方法でこの設定を行うことができます。1 つの方法は、ゲートウェイの割り当てを直接的に接続されたクライアント ネットワーク上の各 PC に分散させる気の利いた DHCP サーバを使用することです。もう 1 つの方法は、ポリシー ベースのルートをダウンストリームのルータで使用することです。

トラフィックのセットアップが完了すると、ネットワーク トラフィックの処理が両方のクラスタ ノードによって積極的に行われます。ここで、どの機器やリンクにも単一障害点が存在しないことを以下の手順でテストできます。

1
機器の障害:以下に示すような機器の障害のいずれかが発生しても、トラフィックは両方のクラスタ ノードを流れ続けるはずです。
a
スイッチ B が起動および準備完了の状態でスイッチ A の電源をオフにします。
b
スイッチ A が起動および準備完了の状態でスイッチ B の電源をオフにします。
c
CN1 のスタンバイ装置が起動および準備完了の状態で CN1 のアクティブ装置を SonicOS 管理インターフェースから再起動します (このシナリオは、CN1 のアクティブ装置でソフトウェアの障害が発生した場合に類似しています)。この場合はステートフル HA フェイルオーバーが行われることに注意してください。
d
CN1 のスタンバイ装置が起動および準備完了の状態で CN1 のアクティブ装置をシャットダウンします (このシナリオは、CN1 のアクティブ装置でハードウェアの障害が発生した場合に類似しています)。
* 
補足:この場合はステートフル HA フェイルオーバーが行われます。
e
CN2 についてもStep c およびStep d を繰り返します。
f
ルータ B が起動および準備完了の状態でルータ A をシャットダウンします。
g
ルータ A が起動および準備完了の状態でルータ B をシャットダウンします。
2
リンクの障害:以下に示すようなリンクの障害のいずれかが発生しても、トラフィックは流れ続けるはずです。
a
クラスタ ノード内のアクティブ ファイアウォールのそれぞれで、X2 が接続された状態で X0 のケーブルを取り外します。
b
クラスタ ノード内のアクティブ ファイアウォールのそれぞれで、X3 が接続された状態で X1 のケーブルを取り外します。
c
アップストリームのスイッチからアクティブな仮想ルータであるルータへのプライマリ リンクを切断します。
d
アクティブ/アクティブ DPI HA データ インターフェースである X6 の接続を切断します。

装置 2 台によるアクティブ/アクティブ クラスタ フルメッシュの設定

これまでのセクションでは、ファイアウォール装置 4 台によるアクティブ/アクティブ クラスタ フルメッシュについて説明しました。必要に応じて、各 CN が 1 つのファイアウォールだけで構成される (HA バックアップがない)、ファイアウォール装置 2 台によるアクティブ/アクティブ クラスタ フルメッシュを配備することもできます。ただし、そのようなセットアップには以下の制限があります。
フェイルオーバーがステートフルではなくなり、既存の接続の再構築が必要になります。
フェイルオーバー時に各装置のトラフィックが装置 1 台の容量の 50% を超えていた場合、フェイルオーバー後はトラフィックの 50% 超過分が破棄されます。

装置 2 台によるフルメッシュ向けの手順は、装置 4 台によるフルメッシュの手順と似ていますが、以下の点が異なります。
各ノードのバックアップ装置に関する手順は適用されません。
ステートフル同期およびアクティブ-アクティブ DPI の設定に関する手順は適用されません。
HA ポートの接続に必要なスイッチが存在しません (装置は 2 台だけなので、両装置はクロスオーバー ケーブルで直接接続されます)。