以下のセクションは、「高可用性 > 設定」ページの設定方法について説明しています。
Note 高可用性の詳細については、高可用性機能の概要およびアクティブ/アイドルおよびアクティブ/アクティブ DPI HA 機能の前提条件を参照してください。アクティブ/アクティブ クラスタリング環境で VPN または NAT を使用する場合は、アクティブ/アクティブ設定の完了後にアクティブ/アクティブ クラスタリングによる VPN と NAT の設定を参照してください。
プライマリ装置で行った「高可用性 > 設定」ページの設定タスクは、セカンダリ装置に自動的に同期されます。「高可用性 > 設定」ページでアクティブ/スタンバイの設定を行うには、以下の手順に従います。
1. プライマリSonicWALL の SonicOS ユーザー インターフェースに管理者としてログインします。
2. 左側のナビゲーション ペインで、「高可用性 > 設定」ページに移動します。「一般」タブが表示されます。
「モード」プルダウン メニューで「アクティブ/アイドル」を選択します。
4. ステートフル高可用性機能を設定するには、「ステートフル同期を有効にする」を選択します。フィールドが表示され、「ハートビート間隔」と「プローブ間隔」のフィールドに対して推奨される設定が示されます。ここに表示されるのは、推奨される最小の設定値です。値が低すぎると、特に SonicWALL の負荷が高い場合に不必要なフェイルオーバーが発生する可能性があります。SonicWALL が大量のネットワーク トラフィックを処理している場合は、値を高く設定してください。
ステートフル高可用性機能が有効になっていないと、プライマリ ファイアウォールとセカンダリ ファイアウォールの間でのセッション状態の同期は行われません。フェイルオーバーが発生した場合、フェイルオーバー時にアクティブであったセッションは再ネゴシエートされる必要があります。
5. プライマリ装置が障害後の再起動によりプライマリの役割に復帰するように高可用性ペアを設定するには、「先制(プリエンプト)モードを有効にする」を選択します。ステートフル高可用性機能を有効にする場合は、先制 モードを無効にすることを推奨します。セカンダリ装置へのフェイルオーバーが過度に実行される可能性があるからです。
6. 「仮想 MAC を有効にする」チェックボックスをオンにすると、プライマリとセカンダリの各装置で同じ MAC アドレスを共有できます。これにより、フェイルオーバーが発生したとき、ネットワーク ARP テーブルとキャッシュの更新処理が大幅に簡素化されます。2 台の装置が接続されているスイッチへの通知だけで済みます。外部のすべての機器は、単一の共有 MAC アドレスに引き続きルーティングされます。
7. プライマリおよびセカンダリ装置のシリアル番号を設定するには、「高可用性装置」タブを選択します。
「セカンダリ装置」の「シリアル番号」を入力します。
9. 「HA インターフェース」タブを選択します。
「HA 制御インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。
11. 「アクティブ/アクティブ DPI インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。
12. すべての高可用性設定が終了したら、「適用」を選択します。すべての設定がアイドル装置に同期され、アイドル装置が再起動します。
アクティブ/アクティブ高可用性の設定には、次の 3 つのオプションがあります。
1. 左側のナビゲーション ペインで、「高可用性 > 設定」ページに移動します。「一般」タブが表示されます。
「モード」プルダウン メニューで「アクティブ/アクティブ DPI」を選択します。
3. アクティブ/アクティブ DPI では「ステートフル同期を有効にする」オプションが自動的に有効になるので、このオプションはグレーアウトされます。
4. 通常、アクティブ/アクティブ DPI では「先制 (プリエンプト) モードを有効にする」オプションを無効にする必要があります。このオプションは、プライマリ装置が障害後の再起動によりプライマリの役割に復帰するように指示するものです。そのため、アクティブ/スタンバイ設定のみに適用されます。
5. 「仮想 MAC を有効にする」チェックボックスをオンにすると、HA ペアの両方の装置で同じ MAC アドレスを共有できます。これにより、フェイルオーバーが発生したとき、ネットワーク ARP テーブルとキャッシュの更新処理が大幅に簡素化されます。2 台の装置が接続されているスイッチへの通知だけで済みます。外部のすべての機器は、単一の共有 MAC アドレスに引き続きルーティングされます。
6. 「高可用性装置」タブを選択します。
「セカンダリ装置」の「シリアル番号」を入力します。
8. 「HA インターフェース」タブを選択します。
「HA 制御インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。
10. 「アクティブ/アクティブ DPI インターフェース」でインターフェース番号を選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。
11. 「アクティブ/アクティブ DPI インターフェース」を選択します。このインターフェースを使用して、アクティブ/アクティブ DPI 処理中に 2 台の装置間でデータを転送します。未定義かつ利用可能なインターフェースのみがリストに表示されます。接続されるインターフェースは、両方の装置で同じ番号、かつ「ネットワーク > インターフェース」ページで最初は未使用、未定義のインターフェースとして表示されていなければなりません。例えば、X5 が未定義のインターフェースである場合、プライマリ装置の X5 をセカンダリ装置の X5 に接続できます。アクティブ/アクティブ DPI を有効にした後、接続されたインターフェースは HA データリンクのゾーン割り当てを持つことになります。
12. すべての高可用性設定が終了したら、「適用」を選択します。すべての設定がアイドル装置に同期され、アイドル装置が再起動します。
アクティブ/アクティブ クラスタリング高可用性では、フェイルオーバーと負荷分散のために最大 4 つの HA クラスタ ノードを設定できます。各ノードには、1 台の装置あるいは、標準的なフェイルオーバー、ステートフル HA フェイルオーバー、またはアクティブ/アクティブの各機能用に設定された HA ペアのどちらかを含めることができます。
1. 左側のナビゲーション ペインで、「高可用性 > 設定」ページに移動します。「一般」タブが表示されます。
「モード」プルダウン メニューで「アクティブ/アクティブ クラスタリング」を選択します。
3. アクティブ/アクティブ クラスタリング では「ステートフル同期を有効にする」オプションが自動的に有効になります。
4. 新しいファームウェアを装置にアップロードしたときにセカンダリのファームウェアと設定を自動的に作成するには、「ファームウェアの更新時にセカンダリのファームウェアと設定を生成/上書きする」チェックボックスをオンにします。マスター ノードによって新しいファームウェアがクラスタ内の他の装置に同期される際に、これらの装置にセカンダリが作成されます。
5. アクティブ/アクティブ クラスタの情報を設定するには、「高可用性装置」タブを選択します。
各クラスタ ノード内の装置のシリアル番号をテーブルに入力します。
7. 各仮想グループでクラスタ ノード 1 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。既定では、クラスタ ノード 1 がグループ 1 のオーナーとなり、また通常はグループ 2 のスタンバイとして位置づけられます。クラスタから装置を除外するには、「仮想グループ X 階級」で「なし」を選択します。
8. 2 行目には、各仮想グループでクラスタ ノード 2 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。
「ネットワーク > インターフェース」ページに、仮想グループ 1 が対応する仮想 IP アドレスと共に表示されます。アクティブ/アクティブ DPI インターフェースは「HA データ-リンク」ゾーンのメンバーとして表示されます。
9. 「HA インターフェース」タブを選択します。「アクティブ/アクティブ クラスタ リンク」インターフェースを選択します。このインターフェースは、アクティブ/アクティブ処理中に 2 台の装置間でデータを転送するために使用されます。未定義かつ利用可能なインターフェースのみがリストに表示されます。
10. すべての高可用性設定が終了したら、「適用」を選択します。すべての設定がアイドル装置に同期され、アイドル装置が再起動します。
アクティブ/アクティブ DPI クラスタリング高可用性では、フェイルオーバーと負荷分散のために最大 4 つの HA クラスタ ノードを設定できます。負荷分散では、各ノードによってネットワーク トラフィックに対する DPI セキュリティ サービスのアプリケーションの負荷が分散されます。アクティブ/アクティブ クラスタリングを使用するように SonicWALL 配備を設定するには、以下の手順に従います。
1. マスター クラスタ ノードのプライマリ装置にログインし、「高可用性 > 設定」ページに移動します。「一般」タブが表示されます。
2. 装置の物理的な接続の説明どおりにアクティブ/アクティブ DPI インターフェースに物理的に接続している場合は、SonicOS 管理インターフェースでアクティブ/アクティブ DPI を設定する準備ができています。「モード」プルダウン メニューで「アクティブ/アクティブ DPI クラスタリング」を選択します。
3. アクティブ/アクティブ DPI クラスタリング では「ステートフル同期を有効にする」オプションが自動的に有効になります。
4. 新しいファームウェアを装置にアップロードしたときにセカンダリのファームウェアと設定を自動的に作成するには、「ファームウェアの更新時にセカンダリのファームウェアと設定を生成/上書きする」チェックボックスをオンにします。マスター ノードによって新しいファームウェアがクラスタ内の他の装置に同期される際に、これらの装置にセカンダリが作成されます。
5. アクティブ/アクティブ クラスタの情報を設定するには、「高可用性装置」タブを選択します。
設定されているセカンダリ装置がこの装置のクラスタ ノードの一部である場合は、タブの上部にある HA セカンダリのオプションで「内部」を選択します。設定されているセカンダリ装置が別のクラスタ ノードの一部である場合は、「外部」を選択します。
7. 各クラスタ ノード内の装置のシリアル番号をテーブルに入力します。
8. 各仮想グループでクラスタ ノード 1 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。既定では、クラスタ ノード 1 がグループ 1 のオーナーとなり、また通常はグループ 2 のスタンバイとして位置づけられます。クラスタから装置を除外するには、「仮想グループ X 階級」で「なし」を選択します。
9. 2 行目には、各仮想グループでクラスタ ノード 2 が保持する階級を、シリアル番号の右側にある「仮想グループ X 階級」フィールドに入力します。
「ネットワーク > インターフェース」ページに、仮想グループ 1 が対応する仮想 IP アドレスと共に表示されます。アクティブ/アクティブ DPI インターフェースは「HA データ-リンク」ゾーンのメンバーとして表示されます。
10. 「HA インターフェース」タブを選択します。「HA 制御インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。
11. 「アクティブ/アクティブ DPI インターフェース」でインターフェースを選択します。インターフェースが既に設定済みであることが装置によって検出されている場合、このオプションはグレーアウトされています。
12. 「アクティブ/アクティブ DPI インターフェース」を選択します。このインターフェースを使用して、アクティブ/アクティブ DPI 処理中に 2 台の装置間でデータを転送します。未定義かつ利用可能なインターフェースのみがリストに表示されます。
13. 「アクティブ/アクティブ クラスタ リンク」インターフェースを選択します。
14. すべての高可用性設定が終了したら、「適用」を選択します。すべての設定がアイドル装置に同期され、アイドル装置が再起動します。