Hardware_Failover_haMonitoring
「高可用性 > 監視」ページでは、物理インターフェースと論理インターフェースの両方の監視を設定できます。物理インターフェース監視を有効にすると、指定された HA インターフェースのリンク検出が可能になります。このリンクの検出は、リンクの動作状態を判断するために物理層で行われます。論理監視とは、Dell SonicWALL を設定して接続先ネットワークの 1 つ以上に存在する信頼性の高い機器を監視することです。HA ペアのアクティブな装置がこの機器との定期的な通信に失敗すると、アイドル装置へのフェイルオーバーが実行されます。HA ペアのどちらもこの機器に接続できない場合は、何も処理が行われません。
このページで設定されるプライマリ IP アドレスとバックアップ IP アドレスには、次のように複数の用途があります。
• 各装置の固有の管理アドレス (すべての物理インターフェース上でサポートされている) として使用
• アイドル状態の装置と Dell SonicWALL ライセンス サーバの間のライセンスの同期用
• 論理監視中に送出されるプローブ Ping の送信元 IP アドレス
HA ペアの両方の装置に一意の管理 IP アドレスを設定すると、各装置に個別にログインして管理タスクを行うことができます。管理 IP アドレス宛に送信された管理目的ではないトラフィックは無視されます。プライマリおよびバックアップの Dell SonicWALL セキュリティ装置の一意の LAN IP アドレスは、アクティブ ゲートウェイとしては機能できません。内部 LAN に接続されたすべてのシステムは、ゲートウェイとして仮想 LAN IP アドレスを使用する必要があります。
バックアップ/アイドル装置の管理 IP アドレスを使って、Dell SonicWALL ライセンス サーバとライセンスを同期できます。このサーバは、HA ペア単位ではなく装置単位でライセンスを管理します。HA の関連付けを作成する前にバックアップ装置が MySonicWALL で登録されていた場合でも、管理 IP アドレスによってバックアップ装置にアクセスしているときは、Dell SonicWALL サーバに接続するために「システム > ライセンス」ページ上のリンクを使用する必要があります。
論理監視の使用時には、指定された論理精査 IP アドレスを送信先とした Ping が、HA ペアのプライマリおよびバックアップの Dell SonicWALL から実行されます。「プライマリ IP アドレス」または「バックアップ IP アドレス」のフィールドに設定された IP アドレスは、Ping の送信元 IP アドレスとして使用されます。両方が送信先への Ping に成功した場合、フェイルオーバーは発生しません。両方が送信先への Ping に失敗した場合は、Dell SonicWALL ではなく送信先に問題があると見なし、フェイルオーバーは発生しません。しかし、一方の Dell SonicWALL が送信先への Ping に成功し、もう一方が失敗した場合は、Ping に成功したほうの Dell SonicWALL へのフェイルオーバーが行われます。
「高可用性 > 監視」ページでの設定タスクは、プライマリ装置で実行された後、バックアップ装置に対して自動的に同期されます。
固有の LAN 管理 IP アドレスを設定し、物理/論理インターフェース監視を設定するには、以下の手順に従います。
1. プライマリ Dell SonicWALL の SonicOS ユーザー インターフェースに管理者としてログインします。
2. 左側のナビゲーション ペインで、「高可用性 > 監視」ページに移動します。
X0 など、LAN 上のインターフェースの「設定」アイコンを選択します。
プライマリ装置およびバックアップ装置で指定の HA インターフェース間のリンク検出を有効にするには、「物理リンク監視を有効にする」チェックボックスの選択を保持します。
5. 「プライマリ IP アドレス」フィールドにプライマリ装置の一意の LAN 管理 IP アドレスを入力します。
6. 「セカンダリ IP アドレス」フィールドにバックアップ装置の一意の LAN 管理 IP アドレスを入力します。
7. 「プライマリ/バックアップ IP アドレスでの管理を許可する」チェックボックスを選択します。あるインターフェースに対してこのオプションを有効にすると、「高可用性 > 監視」ページの監視設定テーブルにある、そのインターフェースの「管理」列に、緑色のアイコンが表示されます。このオプションが有効な場合、1 つのインターフェースに対してのみ管理が許可されます。
8. 「論理精査 IP アドレス」フィールドに、接続を監視する LAN ネットワーク上のダウンストリーム機器の IP アドレスを入力します。通常、これはダウンストリームのルータまたはサーバになります(WAN 側でのプローブ処理が望ましい場合は、アップストリームの機器を使用してください)。プライマリおよびバックアップ装置から、この監視対象 IP アドレスに対して定期的に Ping が実行されます。両方が送信先への Ping に成功した場合は、フェイルオーバーは発生しません。両方が送信先への Ping に失敗した場合は、Dell SonicWALL 装置ではなく送信先に問題があると見なされ、フェイルオーバーは発生しません。しかし、一方の装置が送信先への Ping に成功し、もう一方の装置が失敗した場合は、送信先への Ping に成功した装置へのフェイルオーバーが実行されます。
論理監視が正しく機能できるように、「プライマリ IP アドレス」および「バックアップ IP アドレス」のフィールドに、X0 などの LAN インターフェース (WAN でのプローブ処理の場合は X1 などの WAN インターフェース) 上の個別の IP アドレスを設定する必要があります。
9. 必要に応じて、インターフェースの仮想 MAC アドレスを手動で指定することもできます。その場合は、「仮想 MAC の上書き」を選択し、MAC アドレスをフィールドに入力します。MAC アドレスは、A1:B2:C3:d4:e5:f6 のように、6 つの 16 進数をコロンで区切った形式になっています。仮想 MAC アドレスの選択時には、設定エラーが起こらないように注意が必要です。
「高可用性 > 詳細設定」ページで「仮想 MAC を有効にする」チェックボックスをオンにすると、SonicOS ファームウェアによってすべてのインターフェースの仮想 MAC アドレスが自動的に生成されます。SonicOS ファームウェアによって仮想 MAC アドレスが生成されるため、設定エラーは発生しなくなり、仮想 MAC アドレスの一意性が確保され、競合が防止されます。
10. 「OK」を選択します。
11. 他のインターフェースにも監視を設定するには、この手順を繰り返します。
12. すべての高可用性設定が終了したら、「適用」を選択します。すべての設定は、アイドル装置に自動的に同期されます。
プライマリ Dell SonicWALL セキュリティ装置での高可用性の設定が終了し、「適用」ボタンを選択すると、プライマリは設定をバックアップ装置に自動的に同期し、バックアップ装置は再起動します。「設定の同期」ボタンを選択する必要はありません。
後で「設定の同期」を選択すると、完全な手動同期が開始され、設定が同期された後で、バックアップ装置が再起動します。管理インターフェース ページの下部に、「HA Peer ファイアウォールが更新されました」というメッセージが表示されます。通常のプライマリで開始される同期 (手動ではなく自動) は増分同期であり、バックアップ装置は再起動しないことに注意してください。
既定では、「証明書/キーを含める」設定が有効になります。つまり、証明書、CRL、および関連する設定 (CRL 自動インポート URL や OCSP の設定など) が、プライマリ装置とバックアップ装置の間で同期されます。ローカル証明書がバックアップ装置にコピーされると、関連付けられている秘密鍵もコピーされます。通常、プライマリ装置とバックアップ装置の間の接続は保護されているので、一般にこれはセキュリティの問題ではありません。
Tip 証明書を同期する便利さと、証明書を同期しないことによるセキュリティの向上の妥協案としては、「証明書/キーを含める」設定を一時的に有効にして手動で設定を同期した後、「証明書/キーを含める」を無効にします。
プライマリおよびバックアップの Dell SonicWALL セキュリティ装置が正しく機能していることを確認するには、2、3分間待ってから、プライマリ Dell SonicWALL 装置を停止します。バックアップ Dell SonicWALL セキュリティ装置が即時に引き継ぐはずです。
管理ワークステーションから、バックアップ Dell SonicWALL を通してパブリック インターネット上のサイトにアクセスすることで、接続性を試験します。アクティブ時のバックアップ Dell SonicWALL は、IP アドレスとイーサネット MAC アドレスも含め、プライマリの ID を完全に引き継ぐことに注意してください。
バックアップ Dell SonicWALL の一意な LAN IP アドレスにログインします。このとき管理インターフェースの右上隅に「ログイン先: バックアップ Dell SonicWALL の状況: (緑の球) アクティブ」と表示されます。すべてのライセンスがまだプライマリ装置と同期されていない場合は、「システム > ライセンス」ページに移動し、この Dell SonicWALL セキュリティ装置を mySonicWALL.com に登録します。これにより、Dell SonicWALL ライセンス サーバはライセンスを同期できます。
ここで、プライマリ Dell SonicWALL の電源を入れ、2、3分間待ってから、管理インターフェースにログインし直します。このとき管理インターフェースの右上隅に「ログイン先: プライマリ Dell SonicWALL の状況:(緑の球) アクティブ」と再び表示されます。
監視インターフェース機能を使っている場合は、各監視対象リンクを切断する試験によって、すべてが正しく動作していることを確認します。
高可用性の正常な同期はログに記録されず、障害だけが記録されます。
ある種の状況において、アクティブ Dell SonicWALL からアイドル装置への強制的な移行が必要になる場合があります。例えば、「復旧時の自動回復」が有効になっていないときに障害の後でプライマリ Dell SonicWALL を強制的に再びアクティブにする場合や、プライマリ Dell SonicWALL で予防保守を行うためにバックアップ Dell SonicWALL を強制的にアクティブにする場合などです。
このような移行を強制的に行うには、現在アクティブになっている Dell SonicWALL からのハートビートを中断する必要があります。これを実現するには、現在アクティブな装置の電源を切るか、または Web 管理インターフェースから現在アクティブな装置を再起動することによって、アクティブな Dell SonicWALL の LAN ポートを切断します。いずれの場合も、アクティブな Dell SonicWALL からのハートビートが中断されて、現在のアイドル装置が強制的にアクティブになります。
アクティブな Dell SonicWALL を再起動するには、プライマリ Dell SonicWALL の LAN IP アドレスにログインし、ブラウザ ウィンドウの左側の「システム」を選択してから、ウィンドウの上部にある「再起動」を選択します。
「Dell SonicWALL の再起動」を選択し、「はい」を選択して再起動を確認します。アクティブな Dell SonicWALL が再起動すると、高可用性ペアの他の Dell SonicWALL が動作を引き継ぎます。
WARNING プライマリ Dell SonicWALL で「復旧時の自動回復」チェックボックスが選択されている場合、再起動が完了した後で、プライマリ装置がバックアップ装置から動作を引き継ぎます。
Tip ステートフル高可用性機能を使用するときは、復旧時の自動回復を無効にすることをお勧めします。復旧時の自動回復を有効にすると、バックアップ装置へのフェイルオーバーが過剰にアグレッシブになる可能性があるためです。
Dell SonicWALL セキュリティ装置へのライセンスの適用
Dell SonicWALL セキュリティ装置がインターネットにアクセスできる場合、管理者は各装置の管理 IP アドレスにログインし、SonicOS 管理インターフェースから高可用性ペアの各装置を個別に登録する必要があります。これにより、バックアップ装置は Dell SonicWALL ライセンス サーバと同期され、関連付けられているプライマリ装置とライセンスを共有できるようになります。また、インターネットにアクセスできない装置がある HA ペアについてもライセンスを同期する方法があります。
ネットワーク ポリシーの制約により Dell SonicWALL ライセンス サーバとの常時通信が許可されない場合は、ライセンス キーセットを使用してセキュリティ サービス ライセンスを装置に手動で適用することができます。MySonicWALL で Dell SonicWALL セキュリティ装置を登録すると、その装置用のライセンス キーセットが生成されます。新しいセキュリティ サービス ライセンスを追加する場合、キーセットが更新されます。ただし、このライセンスを装置に登録するまで、装置でライセンスを取得したサービスを実行することはできません。
Note インターネット接続なしで高可用性を提供する配備では、HA ペアの両方の装置にライセンス キーセットを適用する必要があります。
装置にライセンスを適用するには、以下のいずれかの手順を行います。
• SonicOS ユーザ インターフェースでのライセンスの有効化
• MySonicWALL からのライセンス キーセットのコピー
SonicOS ユーザ インターフェースでのライセンスの有効化
このセクションの手順に従うことで、SonicOS ユーザ インターフェースを使用してライセンスを有効化することができます。設定の手続きは、高可用性ペアの各装置で個々の LAN 管理 IP アドレスにログインして行います。個々の IP アドレスの設定方法については、高可用性 > 監視を参照してください。
1. 装置の LAN 管理 IP アドレスを使って SonicOS ユーザ インターフェースにログインします。
2. 「システム > ライセンス」ページの「セキュリティ サービスのオンライン管理」の下にある「サービスの購読、アップグレード、及び更新はここを選択してください。」のリンクを選択します。
「ライセンス > ライセンス管理」ページのテキスト ボックスに、mySonicWALL ユーザ名とパスワードを入力します。
「送信」を選択します。
5. 「システム > ライセンス」ページの「セキュリティ サービスのオンライン管理」の下にある「セキュリティ サービスの概要」テーブルに表示されるサービスを確認します。
6. この手順を HA ペアのもう一方の装置についても繰り返します。
MySonicWALL からのライセンス キーセットのコピー
このセクションの手順に従って MySonicWALL でライセンス キーセットを表示し、これを Dell SonicWALL セキュリティ装置にコピーすることができます。設定の手続きは、高可用性ペアの各装置で個々の LAN 管理 IP アドレスにログインして行います。個々の IP アドレスの設定方法については、高可用性 > 監視を参照してください。
1. https://www.mySonicWALL.com/ で MySonicWALL アカウントにログインします。
2. 左側にあるナビゲーション ペインで、「マイ プロダクト」を選択します。
3. 「マイ プロダクト」ページで、「登録された製品」を下の方へスクロールしてライセンス キーセットをコピーする装置を探します。製品の名前またはシリアル番号を選択します。
4. 「サービス管理」ページで「ライセンス キーセットの表示」を選択します。
5. 「ライセンス キーセット」ページで、マウスを使用してテキスト ボックス内のすべての文字を選択します。
これは、3. で選択した Dell SonicWALL セキュリティ装置のライセンス キーセットです。
ライセンス キーセットをクリップボードにコピーするには、Ctrl+Cを押します。
7. 個々の LAN 管理 IP アドレスを使って SonicOS ユーザ インターフェースにログインします。
8. 「システム > ライセンス」ページの「手動でアップグレード」の下部の「または、キーセットの入力」テキスト ボックスで Ctrl+V キーを押して、ライセンス キーセットを貼り付けます。
「送信」を選択します。
10. この手順を HA ペアのもう一方の装置についても繰り返します。
SonicOS Enhanced 管理インターフェースで高可用性の状況を表示するには、複数の方法があります。以下のセクションを参照してください。
「高可用性 > 設定」ページの「高可用性状況」テーブルには、HA ペアの現在の状況が表示されます。プライマリ Dell SonicWALL がアクティブの場合は、テーブルの 1 行目でプライマリ Dell SonicWALL が現在アクティブであることが示されます。
バックアップ Dell SonicWALL の一意の LAN IP アドレスにログインすることで、バックアップ Dell SonicWALL の状況を確認することもできます。プライマリ Dell SonicWALL が正常に動作している場合は、バックアップ Dell SonicWALL が現在アイドルであるという状況が示されます。バックアップがプライマリを引き継ぐと、バックアップが現在アクティブであることが状況テーブルに示されます。
プライマリ Dell SonicWALL で障害が発生した場合は、プライマリ Dell SonicWALL の仮想 LAN IP アドレスまたはバックアップ Dell SonicWALL の LAN IP アドレスで、バックアップ Dell SonicWALL の管理インターフェースにアクセスできます。障害の後で再起動したプライマリ Dell SonicWALL には、「高可用性 > 監視」ページで作成した一意の IP アドレスを使用してアクセスできます。先制 モードが有効になっている場合は、プライマリ Dell SonicWALL がアクティブなファイアウォールになり、バックアップ ファイアウォールはアイドル状態に戻ります。
このテーブルには、以下の情報が表示されます。
• プライマリの状況 – バックアップ装置で表示すると、このフィールドのラベルは「バックアップの状況」になります。次の値をとります。
– アクティブ – この装置がアクティブ状態にあることを示します。
– アイドル – この装置がアイドル状態にあることを示します。
– 無効 – この装置の管理インターフェースで高可用性機能が有効になっていないことを示します。
– 不安定 – HA は有効になっているが、装置がアクティブ状態とアイドル状態のどちらでもないことを示します。
• HA 専用リンク – 2 台の Dell SonicWALL NSA E-Class 装置が指定された HA インターフェースによって接続されている場合に、HA リンクのポート、速度、通信方式の設定を示します (例: HA 1000 Mbps 全二重)。専用 HA インターフェースを持たない Dell SonicWALL NSA 装置の場合、このフィールドには、HA ではなく X5 などの指定されたインターフェースが表示されます。HA インターフェースが接続されていない場合、またはリンクがダウンしいている場合は、フィールドに「X5 リンクなし」の形式で状況が表示されます。高可用性機能が有効になっていない場合は、「無効」と表示されます。
• 検出されたバックアップ - プライマリ装置がバックアップ装置を検出した場合は「はい」、HA リンクがない場合またはバックアップが再起動している場合は「いいえ」と表示されます。バックアップ装置で表示された場合はこのフィールドのラベルは「検出されたプライマリ」になり、バックアップ装置がプライマリ装置を検出した場合は「はい」、HA リンクがない場合またはプライマリが再起動している場合は「いいえ」と表示されます。
• 同期された設定 - 2 台の装置の間で設定が同期されているかどうかを示します。これには、システム設定の一部であるすべての設定が含まれます (NAT ポリシー、ルート、ユーザ アカウントなど)。「有」または「無」のどちらかの値をとります。
• プライマリ ステートフル HA 購読済 - プライマリ装置にステートフル HA のライセンスがあるかどうかを示します。「有」または「無」のどちらかの値をとります。
• バックアップ ステートフル HA 購読済 - バックアップ装置にステートフル HA のライセンスがあるかどうかを示します。「有」または「無」のどちらかの値をとります。ステートフル HA ライセンスはプライマリ装置と共有されますが、Dell SonicWALL ライセンス サーバとの同期を行うには、バックアップ装置の LAN 管理 IP アドレスへのログイン中に mySonicWALL.com にアクセスする必要があります。
• ステートフル HA 同期済み - アクティブな装置とアイドル装置が相互に検出したときに、アイドル装置がアクティブな装置の初期状態と同期されていたかどうかを示します (TCP セッション、VPN トンネル)。「有」または「無」のどちらかの値をとります。「無」は、初期状態のステートフル同期プロセスが進行中であることを意味する場合があります。「無」は、どちらかの装置でステートフル HA が有効ではない、またはライセンスされていない場合にも表示されます。
• プライマリ状況 - プライマリ装置の HA ペアのメンバーとしての現在の状態を示します。「プライマリ 状況」フィールドは、プライマリ装置とバックアップ装置の双方に表示されます。次の値をとります。
– アクティブ (ACTIVE) – アイドル状態の装置宛ての管理/監視/ライセンス用のトラフィックを除くすべてのネットワーク トラフィックがプライマリ装置によって処理されていることを示します。
– アイドル (IDLE) – プライマリ装置がパッシブな状態にあり、フェイルオーバー時に動作を引き継ぐ準備ができていることを示します。
– 選択 (ELECTION) – プライマリ装置とバックアップ装置の間でどちらがアクティブな装置になるかのネゴシエーションが行われていることを示します。
– 同期 (SYNC) – プライマリ装置が設定またはファームウェアの同期をバックアップ装置に対して行っていることを示します。
– エラー (ERROR) – プライマリ装置がエラーの状態になっていることを示します。
– 再起動 (REBOOT) – プライマリ装置が再起動中であることを示します。
– なし (NONE) – プライマリ装置に表示される「なし (NONE)」は、HA 機能がプライマリ装置で有効になっていないことを示します。バックアップ装置に表示される「なし (NONE)」は、バックアップ装置がプライマリ装置からのハートビートを受信していないことを示します。
• バックアップ状況 - バックアップ装置の HA ペアのメンバーとしての現在の状態を示します。「バックアップ状況」フィールドは、プライマリ装置とバックアップ装置の双方に表示されます。次の値をとります。
– アクティブ (ACTIVE) – アイドル状態の装置宛ての管理/監視/ライセンス用のトラフィックを除くすべてのネットワーク トラフィックがバックアップ装置によって処理されていることを示します。
– アイドル (IDLE) – バックアップ装置がパッシブな状態にあり、フェイルオーバー時に動作を引き継ぐ準備ができていることを示します。
– 選択 (ELECTION) – バックアップ装置とプライマリ装置の間でどちらがアクティブな装置になるかのネゴシエーションが行われていることを示します。
– 同期 (SYNC) – バックアップ装置が設定またはファームウェアの同期をプライマリ装置に対して行っていることを示します。
– エラー (ERROR) – バックアップ装置がエラーの状態になっていることを示します。
– 再起動 (REBOOT) – バックアップ装置が再起動中であることを示します。
– なし (NONE) – バックアップ装置に表示される「なし (NONE)」は、HA 機能がバックアップ装置で有効になっていないことを示します。プライマリ装置に表示される「なし (NONE)」は、プライマリ装置がバックアップ装置からのハートビートを受信していないことを示します。
• アクティブ アップ タイム - 現時点でアクティブなファイアウォールがアクティブな状態になってからの経過時間を示します。この行は、高可用性機能が有効になっているときにのみ表示されます。プライマリ Dell SonicWALL で障害が発生した場合は、バックアップ Dell SonicWALL がプライマリ Dell SonicWALL の LAN と WAN の IP アドレスを引き継ぎます。高可用性ペアの状況を確認する主な方法としては、 「高可用性状況」ウィンドウ、電子メール警告、および「ログ」の 3 つがあります。以下ではこれらの方法について説明します。
• 高可用性状況 - アクティブな Dell SonicWALL を判別する方法の 1 つは、「高可用性 > 設定」ページで高可用性設定状況インジケータを確認することです。プライマリ Dell SonicWALL がアクティブの場合は、ページの 1 行目でプライマリ Dell SonicWALL が現在アクティブであることが示されます。バックアップ Dell SonicWALL の LAN IP アドレスにログインすることで、バックアップ Dell SonicWALL の状況を確認することもできます。プライマリ Dell SonicWALL が正常に動作している場合は、バックアップ Dell SonicWALL が現在アイドルであるという状況が示されます。バックアップがプライマリを引き継ぐと、バックアップが現在アクティブであることが状況に示されます。プライマリ Dell SonicWALL で障害が発生した場合は、プライマリ Dell SonicWALL の LAN IP アドレスまたはバックアップ Dell SonicWALL の LAN IP アドレスで、バックアップ Dell SonicWALL の管理インターフェースにアクセスできます。障害の後で再起動したプライマリ Dell SonicWALL には、設定の際に作成する 3 番目の IP アドレスでアクセスできます。先制 モードが有効になっている場合は、プライマリ Dell SonicWALL がアクティブなファイアウォールになり、バックアップ ファイアウォールはアイドル状態に戻ります。
電子メール警告を送信するようにプライマリ Dell SonicWALL を構成してある場合、高可用性ペアの状況が変化すると電子メール警告を受け取ります。例えば、障害の後でバックアップ Dell SonicWALL がプライマリを引き継ぐと、バックアップがアイドルからアクティブに移行したことを示す電子メール警告が送信されます。その障害の後でプライマリ Dell SonicWALL が動作を再開し、復旧時の自動回復が有効になっている場合、プライマリ Dell SonicWALL が処理を引き継ぎ、プライマリがバックアップを引き継いだことを示す新しい電子メール警告が管理者に送信されます。
Dell SonicWALL は、他の状況メッセージおよびセキュリティ脅威の可能性に加えて、高可用性イベントを表示するイベント ログも保持しています。このログは、SonicOS 管理インターフェースで表示したり、管理者の電子メール アドレスに自動的に送信したりできます。Dell SonicWALL のログを表示するには、管理インターフェースの左側のナビゲーション ペインで「ログ」を選択します。
ここでは、アクティブ/アクティブ DPI の正しい設定を確認する 2 つの方法と、アイドル装置が寄与していないように思われる可能性のある 2 つの「検出漏れ」について説明します。
以下を参照してください。
• ログ
ステートフル HA ペアでアクティブ/アクティブ DPI が有効になった直後から、両方の装置で CPU 使用率の変化を監視できます。CPU アクティビティはアクティブ装置で低下し、アイドル装置で上昇します。
CPU のアクティビティを表示および比較するには、以下の手順に従います。
1. 2 つのブラウザ ウィンドウで、アクティブとアイドル両方の装置の監視 IP アドレスにログインします。個別の IP あどれすなどの HA 監視の設定については、『SonicOS Enhanced 管理者ガイド』を参照してください。
2. 両方の SonicOS 管理インターフェースで「システム > 診断」ページに移動します。
3. 両方の装置で、「診断ツール」の「マルチコア監視」を選択します。アクティブな装置の CPU アクティビティの急落を示すリアルタイムのマルチコア使用率グラフが下に表示されます。
「システム > 診断」ページでテクニカル サポート レポートを生成することによって、ステートフル HAペアにアクティブ/アクティブ DPI 機能が正しく設定されているかどうか判断できます。以下の設定パラメータが、テクニカル サポート レポートに正しい値で表示されるはずです。
• アクティブ/アクティブ DPI を有効にする
• HA データ インターフェースの設定
この場合、TSR を生成するには、以下の手順を実行します。
1. 共有 IP アドレスを使用して、ステートフル HA ペアにログインします。
2. 「システム > 診断」ページに移動します。
3. テクニカル サポート レポートの下にある「レポートのダウンロード」を選択します。
ネットワーク トラフィック内に DPI の一致が見つかった場合、応答 (アクション) は、常にアクティブ/アクティブ DPI 機能が動作しているステートフル HA ペアのアクティブ装置から送信されます。これは、すべての処理がアクティブ装置で実行されたことを示すわけではないことに注意してください。
精密パケット検査によって、ウイルスの添付ファイル、IPS シグネチャ、アプリケーション ファイアウォール ポリシー、および他のマルウェアに一致するネットワーク トラフィックが検出されます。一致が検出されると、SonicOS Enhanced は、パケットの破棄や TCP 接続のリセットなどのアクションを実行します。
DPI 一致アクションの中には、追加の TCP パケットを既存のストリームに注入するものもあります。例えば、SMTP セッションがウィルスの添付ファイルを搬送している場合、SonicOS はその SMTPクライアントに対して“552"エラー応答コードと、“電子メールの添付ファイルにウィルスが含まれています"というメッセージを送信します。このエラー応答コードに続いて TCP がリセットされ、接続が終了されます。
このような追加 TCP パケットは、アイドル ファイアウォール上での DPI 処理の結果として生成されます。生成されたパケットは、HA データ インターフェースを介してアクティブ ファイアウォールに送信され、アクティブ ファイアウォール上で処理が行われたかのように、アクティブ ファイアウォールから送出されます。これによって、シームレスな動作が保証され、DPI 処理がアクティブ ファイアウォール上で行われたかのように見えます。
アイドル ファイアウォール上で DPI 処理が行われた結果、前述のような DPI 一致アクションが発生した場合、アクションは、一致アクションを検出したアイドル装置ではなく、ステートフル HA ペアのアクティブ装置に記録されます。これは、すべての処理がアクティブ装置で実行されたことを示すわけではありません。