Figure 54:23 アクティブ/アクティブ クラスタリングのトポロジ

クラスタ内で許可される動作

許可される管理動作の種類は、クラスタ内のファイアウォールの状態によって異なります。マスター ノードのアクティブ ファイアウォール上で適切な権限を持つ管理者ユーザは、すべての設定動作など、あらゆる動作を実行できます。非マスター ノードのアクティブ ファイアウォールでは一部の動作が許可されており、アイドル状態のファイアウォールでは許可されている動作がさらに少なくなります。クラスタ内の非マスター ノードのアクティブ ファイアウォールやアイドル ファイアウォールで許可されている動作の一覧については、を参照してください。

Table 20 許可される管理動作

仮想グループについて

アクティブ/アクティブ クラスタリングでは、仮想グループの概念もサポートしています。同時に最大 4 つの仮想グループがサポートされます。

仮想グループは、クラスタの設定で設定されたすべてのインターフェースに対する仮想 IP アドレスの集まりです (未使用/未割り当てのインターフェースに仮想 IP アドレスはありません)。アクティブ/アクティブ クラスタリングが初めて有効になったときに、そのファイアウォールのインターフェースに対して設定された IP アドレスは、仮想グループ 1 の仮想 IP アドレスに変換されます。そのため、仮想グループ 1 には、X0、X1、およびゾーンに対して設定および割り当てが行われているその他のあらゆるインターフェースの仮想 IP アドレスが含まれることになります。

仮想グループは、トラフィック フローの論理グループが障害発生時の状況に応じてあるノードから別のノードへのフェイルオーバーが可能であるという点で、フェイルオーバー コンテキスト内のトラフィック フローの論理的なグループとも見なせます。各仮想グループには、オーナーとして機能するクラスタ ノードが 1 つ、スタンバイとして機能するクラスタ ノードが 1 つ以上存在します。1 つの仮想グループは一度に 1 つのクラスタ ノードによってのみ所有され、そのクラスタ ノードはその仮想グループに関連付けられているすべての仮想 IP アドレスのオーナーになります。仮想グループ 1 のオーナーは、マスター ノードとして指定され、クラスタ内の他のノードに対する設定とファームウェアの同期を担当します。仮想グループのオーナー ノードが障害が発生した場合は、スタンバイ ノードの 1 つがオーナーになります。

アクティブ/アクティブ クラスタリングの設定の一環として、クラスタ内の他のファイアウォールのシリアル番号を SonicOS 管理インターフェースに入力し、スタンバイの順序を示す順位付け番号をそれぞれに割り当てます。アクティブ/アクティブ クラスタリングの設定の適用時には、追加のクラスタ ノード数に応じて、最大 3 つ追加仮想グループを作成できますが、これらの仮想グループについては仮想 IP アドレスが作成されません。こうした仮想 IP アドレスは、「ネットワーク > インターフェース」ページで、設定する必要があります。

仮想グループのオーナーシップ (どのクラスタ ノードを仮想グループのオーナーにするか) を決定する際には、次の 2 つの要因を考慮します。

• クラスタ ノードのランク – このランクは、仮想グループのオーナーシップを引き継ぐ各ノードの優先順位を指定するために、SonicOS 管理インターフェースで設定します。

• クラスタ ノードの仮想グループ リンク重み – これは、起動状態にあって仮想 IP アドレスが設定されている、仮想グループ内のインターフェースの数です。

あるクラスタ内に設定されているクラスタ ノード数が 2 を超えている場合、仮想グループのオーナーシップを取得できる最適なクラスタ ノードがこれらの要因によって決定されます。2 つのクラスタ ノードを持つクラスタでは、一方のノードに障害が発生すると、必然的にもう一方のノードがオーナーシップを取得することになります。

仮想グループのリンクの状態とオーナーシップの状態をクラスタ内のすべてのクラスタ ノードに伝えるために、SVRRP が使用されます。

仮想グループ 1 のオーナーは、マスター ノードに指定されます。設定の変更やファームウェアの更新はマスター ノードでのみ許可され、マスター ノードは SVRRP を使用して、設定とファームウェアの同期をクラスタ内のすべてのノードに対して行います。特定のインターフェースでは、仮想グループ 1 の仮想 IP アドレスを設定しないと、他の仮想グループを設定できません。

負荷分散と複数のゲートウェイのサポート

仮想グループのトラフィックは、オーナー ノードによってのみ処理されます。仮想グループに到着するパケットは、同じ仮想グループのファイアウォールを通過します。通常の設定では、各クラスタ ノードは、仮想グループを持つので、1 つの仮想グループに対応したトラフィックを処理します。

この仮想グループの機能は、冗長化された複数ゲートウェイのモデルをサポートしています。2 つのクラスタ ノードを持つ配備では、X0 による仮想グループ 1 の IP アドレスをあるゲートウェイに、X0 による仮想グループ 2 の IP アドレスを別のゲートウェイにすることができます。トラフィックを各ゲートウェイにどのように割り当てるかは、ネットワーク管理者に委ねられます。例えば、ゲートウェイの割り当てを直接的に接続されたクライアント ネットワーク上の各 PC に配布する気の利いた DHCP サーバを使用することも、ポリシー ベースのルートをダウンストリームのルータで使用することもできます。

アクティブ/アクティブ クラスタリングが有効になると、SonicOS の内部 DHCP サーバはオフになり、有効にできなくなります。DHCP サーバを必要とするネットワークでは、ゲートウェイの割り当てを配布できるように、複数のゲートウェイを認識する外部 DHCP サーバを使用できます。

Note アクティブ/アクティブ クラスタリングが有効になると、SonicOS の内部 DHCP サーバはオフになります。

関連する設定ページへの影響

アクティブ/アクティブ クラスタリングが初めて有効になったときに、すべての設定済みインターフェースの既存 IP アドレスは、仮想グループ 1 の仮想 IP アドレスに自動的に変換されます。仮想グループ 1 または任意の仮想グループが作成されると、既定のインターフェース オブジェクトが、仮想 IP アドレスに対して適切な名前 ("仮想グループ 1"、"仮想グループ 2" など) で作成されます。同じインターフェースに複数の仮想 IP アドレス (設定される仮想グループごとに 1 つ) を持たせることができます。こうした仮想 IP アドレスは、「ネットワーク > インターフェース」ページで、確認できます。

Note アクティブ/アクティブ クラスタ内のすべてのクラスタ ノードは、同じ設定を共有します。

仮想 MAC アドレスは、インターフェース上の各仮想 IP アドレスと関連付けられ、Sonic OS によって自動的に生成されます。仮想 MAC アドレスは 00-17-c5-6a-XX-YY という形式で作成されます。ここで、XX はインターフェース番号 (ポート X3 の場合は "03")、YY は内部グループ番号 (仮想グループ 1 の場合は "00"、仮想グループ 2 の場合は "01") です。

Note アクティブ/アクティブの仮想 MAC アドレスは、高可用性機能の仮想 MAC アドレスとは異なります。高可用性の仮想 MAC アドレス機能は、アクティブ/アクティブ クラスタリングが有効な場合にはサポートされません。

影響を受ける、各仮想グループのインターフェース オブジェクトに対し、NAT ポリシーが自動的に作成されます。こうした NAT ポリシーは、特定のインターフェースに対する既存の NAT ポリシーを、対応する仮想インターフェースにまで拡大します。これらの NAT ポリシーは、「ネットワーク > NAT ポリシー」ページで確認できます。追加の NAT ポリシーは、必要に応じて設定したり、それが適切な場合にはある仮想グループに特有のものにしたりできます。

アクティブ/アクティブ クラスタリングが有効になった後は、VPN ポリシー追加時の設定で仮想グループ番号を選択する必要があります。

SVRRP について

アクティブ/アクティブ クラスタ内のクラスタ ノード間の通信では、SonicWALL Virtual Router Redundancy Protocol (SVRRP) という新しいプロトコルが使用されます。クラスタ ノードの管理と監視に関する状況メッセージは、SVRRP を使用して HA ポート接続を介して送信されます。

SVRRP は、設定の変更、ファームウェアの更新、およびシグネチャの更新をマスター ノードからクラスタ内のすべてのノードに対して同期するためにも使用されます。各クラスタ ノードでは、アクティブな装置のみが SVRRP メッセージを処理します。

HA ポート接続に障害が発生した場合には、SVRRP ハートビート メッセージが X0 インターフェースで送信されます。ただし、HA ポート接続がダウンしている間は、設定の同期が行われません。ファームウェアまたはシグネチャの更新、ポリシーの変更、およびその他の設定変更は、HA ポート接続が修復されるまで、他のクラスタ ノードに対して同期できません。

冗長ポートと冗長スイッチについて

冗長ポートは、アクティブ/アクティブ クラスタリングと併用できます。あるポートに障害が発生した場合、そのトラフィックは、HA またはアクティブ/アクティブのフェイルオーバーなしに冗長ポートによってシームレスに処理されます。「ネットワーク > インターフェース > インターフェースの編集」ページの「冗長ポート」フィールドは、アクティブ/アクティブ クラスタリングが有効な場合に使用可能になります。

冗長ポートを設定する場合、インターフェースは未使用、つまり、どのゾーンにも割り当てられていない状態でなければなりません。2 つのポートは、同じスイッチか、できればネットワーク内の冗長スイッチに物理的に接続されている必要があります。

Note すべてのクラスタ ノードは同じ設定を共有するので、各ノードは同じ冗長ポートが設定され、同じスイッチに接続されている必要があります。

すべてのクラスタ ノードが起動していてトラフィックを通常どおりに処理している間、冗長ポートは、アイドル状態のままで、パートナー ポートが何らかの理由でダウンした場合にすぐに使えるように準備されています。あるクラスタ ノードがダウンし、アクティブ/アクティブ フェイルオーバーが発生した場合、残りのクラスタ ノードの冗長ポートは、障害が発生したノードによって所有されていた仮想グループのトラフィックを処理するために直ちに使用されます。これにより、負荷分散が実現されます。

例えば、仮想グループ 1 がクラスタ ノード 1 によって、仮想グループ 2 がクラスタ ノード 2 によって所有されている配備があるとします。各クラスタ ノードには冗長ポート X3 および X4 が設定されています。すべてのノードが適切に機能している場合、X4 ではトラフィックが一切送信されません。クラスタ ノード 2 がダウンした場合は、仮想グループ 2 もクラスタ ノード1 によって所有されることになります。この時点で、冗長ポート X4 は負荷分散のために使用が開始されます。仮想グループ 1 のトラフィックは X3 で送信され、仮想グループ 2 のトラフィックは X4 で送信されます。より大規模な配備で、クラスタ ノード 1 が 3 つまたは 4 つの仮想グループを所有している場合、トラフィックは冗長ポートの間で分配されます。つまり、仮想グループ 1 および 3 のトラフィックは X3 で、仮想グループ 2 および 4 のトラフィックは X4 で送信されます。

冗長スイッチが設定されている場合、SonicWALL では冗長ポートを使用してこのスイッチに接続することを推奨します。冗長ポートを使用せずに冗長スイッチに接続することも可能ですが、その場合はプローブを使用した複雑な設定が必要になります。冗長スイッチは、高可用性機能の必要性に応じて、ネットワーク内の任意の場所に配備できます。例えば、冗長スイッチを通過するトラフィックが事業的に非常に重要な場合は冗長スイッチを WAN 側に配備できます。

冗長なルータ、スイッチ、およびポートが WAN 側に含まれていても、LAN 側では冗長化を使用していないのでフル メッシュにはなっていない配備の図については、Figure 54:24を参照してください。

Figure 54:24 WAN 側の冗長化

冗長ポートや冗長スイッチを配備する場合にフル メッシュは必須ではありませんが、フル メッシュ配備には冗長ポートや冗長スイッチが含まれます。フル メッシュ配備では、メインのトラフィック ポート (LAN、WAN など) のそれぞれで冗長ポートを使用し、冗長スイッチに加えて冗長アップストリーム ルータも使用します。

フル メッシュ配備の詳細については、『Active/Active Clustering Full Mesh Deployment Technote』を参照してください。

フェイルオーバーについて

アクティブ/アクティブ クラスタリングが有効な場合に発生しうるフェイルオーバーには次の 2 種類があります。

• 高可用性フェイルオーバー – HA ペア内で、セカンダリ装置がプライマリ装置の処理を引き継ぎます。HA ペアでステートフル HA が有効になっている場合、フェイルオーバーはネットワーク接続の中断なしに行われます。

• アクティブ/アクティブ フェイルオーバー – 仮想グループのオーナー ノード内にあるすべての装置で障害が発生した場合は、仮想グループのスタンバイ ノードが仮想グループのオーナーシップを引き継ぎます。アクティブ/アクティブ フェイルオーバーは、仮想グループのオーナーシップをあるクラスタ ノードから別のクラスタ ノードに渡します。仮想グループのオーナーになるクラスタ ノードは、その仮想グループと関連付けられているすべての仮想 IP アドレスのオーナーにもなり、対応する仮想 MAC アドレスの使用を開始します。

アクティブ/アクティブ フェイルオーバーはステートレスです。つまり、ネットワーク接続はリセットされ、VPN トンネルの再ネゴシエートが必要になります。レイヤ 2 ブロードキャストによってトポロジの変更がネットワーク機器に通知され、仮想グループの新しいオーナーとなったクラスタ ノードが新たに所有した仮想 IP アドレスに対する仮想 MAC アドレスによって ARP 要求を生成します。これにより、フェイルオーバーの処理は大幅に簡素化されます。接続されているスイッチのみが学習テーブルを更新すれば済むからです。その他すべてのネットワーク機器は、引き続き同じ仮想 MAC アドレスを使用します。仮想 IP アドレスと仮想 MAC アドレスのマッピングは保持されているので、ARP テーブルを更新する必要はありません。

高可用性 (HA) フェイルオーバーとアクティブ/アクティブ フェイルオーバーのどちらも可能な場合には、次の理由により、HA フェイルオーバーがアクティブ/アクティブ フェイルオーバーよりも優先されます。

• HA フェイルオーバーはステートフルにできるのに対し、アクティブ/アクティブ フェイルオーバーはステートレスである。

• HA ペアのアイドル ファイアウォールは、負荷が軽く、必要な処理の引き継ぎに使用できるリソースがあるのに対し、アクティブ/アクティブ DPI が有効な場合はアイドル ファイアウォールが既に DPI トラフィックを処理している可能性がある。代替のクラスタ ノードは、既に相当な量のトラフィックを処理している場合があり、フェイルオーバー後に過負荷状態になる可能性がある。

アクティブ/アクティブ フェイルオーバーは、必ずアクティブ/アクティブの先制モードで行われます。先制モードでは、2 つのクラスタ ノード間でのフェイルオーバー後に、仮想グループの元のオーナー ノードが稼働状態に復元されたことが確認されると、そのノードがスタンバイ ノードからアクティブの役割を取り戻すことになります。すべての仮想 IP インターフェースが起動していて 2 つのクラスタ ノード間でリンクの重みが同じ場合、元のオーナーは、順位が高いため、仮想グループでの優先度が高くなります。

これら 2 種類のフェイルオーバーのほか、次の機能によって単一障害点に対する保護が実現されます。

• ポート冗長化 – 技術的にはフェイルオーバーではありませんが、冗長ポートはそのパートナーに障害が発生した場合にすべてのトラフィックを処理することによってセカンダリとしての役割を果たします。

アクティブ/アクティブ DPI について

アクティブ/アクティブ クラスタリングは、アクティブ/アクティブ DPI 機能の有効/無効に関係なく、有効にできます。同様に、アクティブ/アクティブ DPI もアクティブ/アクティブ クラスタリングの有効/無効に関係なく、有効にできます。アクティブ/アクティブ クラスタのパフォーマンスを向上するために、アクティブ/アクティブ DPI を有効にすることをお勧めします。アクティブ/アクティブ DPI は、HA ペアのアイドル ファイアウォールを活用して精密パケット検査 (DPI) を処理するからです。

アクティブ/アクティブ DPI 機能を使用するには、管理者が追加インターフェースをアクティブ/アクティブ DPI インターフェースとして設定する必要があります。X5 をアクティブ/アクティブ DPI インターフェースにする場合は、HA ペアのアクティブ装置の X5 を同じペアのアイドル装置の X5 に物理的に接続する必要があります。アクティブ/アクティブ DPI インターフェース上で、アクティブ装置の特定のパケット フローを選択し、アイドル装置にオフロードします。DPI はアイドル装置で実行され、結果は同じインターフェースを介してアクティブ装置に返されます。それ以外の処理は、アクティブ装置で実行されます。

HA ペアの各装置でステートフル同期を有効にしてアクティブ/アクティブ DPI インターフェースの接続と設定が済んだら、「高可用性 > 設定」ページでアクティブ/アクティブ DPI を有効にできます。

高可用性監視について

アクティブ/アクティブ クラスタリングが有効になっている場合、各クラスタ ノードの HA ペアでは HA 監視の設定がサポートされます。HA 監視機能は、以前のバージョンと首尾一貫しています。HA 監視は、物理/リンク監視と論理/プローブ監視の両方で設定できます。マスター ノードにログインした後、「高可用性 > 監視」ページで、監視設定をノードごとに追加する必要があります。

Note 「高可用性 > 監視」ページの設定は、クラスタ全体ではなく、ログインしている HA ペアのみに適用されます。

物理インターフェース監視により、監視対象インターフェースのリンク検出が有効になります。このリンクの検出は、リンクの動作状態を判断するために物理層で行われます。

物理インターフェース監視が有効になっている場合は、論理監視の有効/無効に関係なく、HA フェイルオーバーがアクティブ/アクティブ フェイルオーバーよりも優先されます。アクティブ装置でリンクに障害が発生するかポートが切断されると、その HA ペアのアイドル装置がアクティブになります。

Note 仮想 IP アドレスが設定されているインターフェースの場合、アクティブ/アクティブの物理監視は暗黙的であり、これを使用して仮想グループ リンク重みが計算されます。これらのインターフェースでは、物理監視を無効にできません。この点が HA 監視との違いです。

論理監視とは、SonicWALL を設定して接続先ネットワークの 1 つ以上に存在する信頼性の高い機器を監視することです。HA ペアのアクティブ装置がこの機器との定期的な通信に失敗すると、アイドル装置へのフェイルオーバーが実行されます。HA ペアのどちらの装置もこの機器に接続できない場合は、この機器に問題があると見なされ、フェイルオーバーは行われません。

物理監視と論理監視のどちらも無効になっている場合は、リンクの障害発生時またはポートの切断時にアクティブ/アクティブ フェイルオーバーが行われます。

「高可用性 > 監視」ページで設定されるプライマリおよびセカンダリ IP アドレスは、LAN または WAN インターフェース上で設定でき、以下に示す複数の目的に使用されます。

• 装置の状態がアクティブかアイドルかにかかわらず、各装置の固有の管理アドレスとして使用 (すべての物理インターフェース上でサポートされている)

• アイドル装置と SonicWALL ライセンス サーバの間のライセンスの同期用

• 論理監視中に送出されるプローブ Ping の送信元 IP アドレス

HA ペアの両方の装置に管理 IP アドレスを設定すると、管理のために各装置に個別にログインできます。監視 IP アドレスのいずれかに送信された管理目的ではないトラフィックは無視されます。プライマリ ファイアウォールおよびセカンダリ ファイアウォールの一意の LAN IP アドレスは、アクティブ ゲートウェイとしては機能できません。内部 LAN に接続されたすべてのシステムは、ゲートウェイとして仮想 LAN IP アドレスを使用する必要があります。

Note HA 監視/管理 IP アドレスを WAN インターフェースのみに設定する場合、仮想 IP アドレスが設定されているすべての WAN インターフェースに設定する必要があります。

セカンダリ装置の管理 IP アドレスを使用すると、SonicWALL ライセンス サーバとライセンスを同期できます。このサーバは、HA ペア単位ではなく装置単位でライセンスを管理します。HA の関連付けを作成する前にアイドル装置が MySonicWALL で登録されていた場合でも、管理 IP アドレスからセカンダリ装置にアクセスしているときは、SonicWALL サーバに接続する場合に「システム > ライセンス」ページ上のリンクを使用する必要があります。これにより、アイドル装置と SonicWALL ライセンス サーバとの間のライセンス (アクティブ/アクティブ クラスタリング、ステートフル HA などのライセンス) の同期が可能になります。

論理監視の使用時には、指定された論理精査 IP アドレスを送信先とした Ping が、HA ペアのプライマリおよびセカンダリの SonicWALL から実行されます。「プライマリ IP アドレス」または「セカンダリ IP アドレス」のフィールドに設定された IP アドレスは、Ping の送信元 IP アドレスとして使用されます。両方が送信先への Ping に成功した場合、フェイルオーバーは発生しません。両方が送信先への Ping に失敗した場合は、SonicWALL ではなく送信先に問題があると見なし、フェイルオーバーは発生しません。しかし、一方の SonicWALL が送信先への Ping に成功し、もう一方が失敗した場合は、Ping に成功したほうの SonicWALL へのフェイルオーバーが行われます。

「高可用性 > 監視」ページでの設定タスクは、プライマリ装置で実行された後、セカンダリ装置に対して自動的に同期されます。‏‏

フル メッシュ配備について

アクティブ/アクティブ クラスタリングのフル メッシュ設定は、アクティブ/アクティブ クラスタリングの設定オプションに対する強化であり、実現可能な最高レベルの可用性と高いパフォーマンスを提供します。フル メッシュ配備では、ネットワークで非常に高いレベルの可用性を実現します。これは、すべての機器 (ルータ、スイッチ、セキュリティ装置など) が 1 つ以上の冗長なパートナーを持つからです。ネットワーク全体に単一障害点がまったく存在しないように、すべての機器が接続対象機器に対して 2 重に配線されています。例えば、すべての SonicWALL ファイアウォールは冗長ポートを使用して、各ネットワーキング機器に対して 2 回接続されます。

Note フル メッシュ配備では、ポート冗長化が有効かつ実現されている必要があります。

アクティブ/アクティブ クラスタリングに関する機能サポート情報

以下のセクションでは、アクティブ/アクティブ クラスタリングに関する機能サポート情報を示します。

• 機能に関する注意事項

• 下位互換性

• SonicPoint の互換性

• WAN 負荷分散の互換性

• ルーティング トポロジとプロトコル互換性

機能に関する注意事項

アクティブ/アクティブ クラスタリングが有効になっている場合、WAN では静的 IP アドレスしか使用できません。

以下の機能は、アクティブ/アクティブ クラスタリングが有効な場合にはサポートされません。

• DHCPサーバ

• L3 トランスペアレント モード

• L2 ブリッジ / L2 トランスペアレント モード

• 動的 DNS

• ワイヤ モード

以下の機能は、仮想グループ 1 でのみサポートされます。

• SonicWALL GVC

• SonicOS の SSL VPN

• IP ヘルパー

下位互換性

アクティブ/アクティブ クラスタリング機能には、下位互換性がありません。アクティブ/アクティブ クラスタリングをサポートしていない以前のリリースから SonicOS をアップグレードする際には、以前のバージョンの SonicOS が動作している HA ペアから設定をエクスポートする前に、高可用性を無効にすることを強くお勧めします。そうすれば、アップグレード後の競合が発生する可能性なしに設定をインポートできます。

SonicPoint の互換性

SonicWALL SonicPoints をアクティブ/アクティブ クラスタリングと併用する場合には、次の 2 つの点を考慮します。

• SonicPoints は、ファームウェアのダウンロードや運用のその他の面に関してマスター ノードとの通信しか行いません。

• SonicPoints は個別の DHCP サーバにアクセスする必要があります。SonicPoints は、無線クライアントに IP アドレスを提供するために DHCP サーバを必要としますが、組み込みの SonicOS DHCP サーバは、アクティブ/アクティブ クラスタリングが有効になると自動的に無効になります。

WAN 負荷分散の互換性

アクティブ/アクティブ クラスタ内で WAN 負荷分散 (WLB) が有効になっている場合は、クラスタ内のすべてのノードで同じ WLB インターフェース設定が使用されます。

WAN インターフェースに障害が発生すると、以下の状況に応じて、WLB フェイルオーバー、HA ペア フェイルオーバー、または別のクラスタ ノードへのアクティブ/アクティブ フェイルオーバーのいずれかが行われます。

• WLB プローブの障害によって WAN がダウンした場合 – WLB フェイルオーバー

• 物理監視が有効になっているときに物理 WAN がダウンした場合 – HA ペア フェイルオーバー

• 物理監視が有効になっていないときに物理 WAN がダウンした場合 – アクティブ/アクティブ フェイルオーバー

ルーティング トポロジとプロトコル互換性

このセクションでは、ルーティング トポロジとルーティング プロトコルに関するアクティブ/アクティブ クラスタリング設定の現時点での制限事項と特殊な要件について説明します。

レイヤ 2 ブリッジのサポート

レイヤ 2 でブリッジ接続されたインターフェースは、クラスタ設定ではサポートされません。

OSPF のサポート

OSPF はアクティブ/アクティブ クラスタリングと共にサポートされます。OSPF が有効になっている場合、アクティブなクラスタ ノードのそれぞれの OSPF 対応インターフェースで OSPF が実行されます。ルーティングの観点からは、すべてのクラスタ ノードが並列なルータとなり、そのそれぞれがクラスタ ノードのインターフェースの仮想 IP アドレスを持ちます。一般に、あるノードによってアドバタイズされたネットワークはすべて、他のすべてのノードによってアドバタイズされることになります。

各クラスタ ノードの OSPF ルータ ID は、一意でなければならず、次のようにマスター ノードで設定されているルータ ID から派生します。

• ユーザが OSPF 設定でルータ ID に 0 または 0.0.0.0 を入力した場合、各ノードのルータ ID にはノードの X0 仮想 IP アドレスが割り当てられます。

• ユーザがルータ ID に 0 または 0.0.0.0 以外の任意の値を入力した場合、各ノードには、ノードごとに値が 1 ずつ増える連続値を持つルータ ID が割り当てられます。例えば、マスター ノードにルータ ID 10.0.0.1 が設定された 4 ノードのクラスタでは、次のようにルータ ID が割り当てられます。

– ノード 1: 10.0.0.1

– ノード 2: 10.0.0.2

– ノード 3: 10.0.0.3

– ノード 4: 10.0.0.4

RIP のサポート

RIP はサポートされており、OSPF と同様、各クラスタ ノードの RIP 対応インターフェースで動作します。ルーティングの観点からは、すべてのクラスタ ノードがクラスタ ノードのインターフェースの仮想 IP アドレスを持つ並列なルータとなります。一般に、あるノードによってアドバタイズされたネットワークはすべて、他のすべてのノードによってアドバタイズされることになります。

BGP のサポート

BGP はクラスタでサポートされ、またクラスタ ノードのインターフェースの仮想 IP アドレスを使用している並列な BGP ルータとなります。OSPF や RIP と同様、マスター ノードで行われた設定の変更は、他のすべてのクラスタ ノードに適用されます。CLI によってのみ設定を適用できる BGP の場合、実行中の設定が write file CLI コマンドによって保存されるときに設定が割り当てられます。

クラスタ設定における非対称ルーティングの問題

精密パケット検査またはステートフルなファイアウォール アクティビティを実行するすべてのネットワーク装置は、パケット フローに関連付けられているすべてのパケットを "確認" する必要があります。これは、フロー内の各パケットが、意図された送信先に到達する限り、異なるパスに沿って技術的に転送される可能性がある (つまり、介在するルータがあらゆるパケットを確認する必要がない) 従来の IP ルーティングとは対照的です。現在のルータは各パケット フローで一貫したネクストホップによるパケット転送を試みますが、これは一方向へのパケット転送にしか当てはまりません。ルータは、送信側ルータへの戻りのトラフィックの誘導を一切試みません。こうした IP ルーティング動作は、ファイアウォール クラスタにとって問題となります。一連のクラスタ ノードはすべて同じネットワークへのパスを提供するからです。クラスタを介してネットワークにパケットを転送するルータは、任意のクラスタ ノードをネクストホップとして選択する可能性があります。その結果、ある方向へのパケットのフローに使用されたノードがその戻りのパスで使用されるノードとは異なる非対称なルーティングとなります。これは、一方または両方のクラスタ ノードでトラフィックが破棄される原因となります。どちらのノードも、フローからのトラフィックのすべてを "確認" していないからです。

非対称なルーティング パスを回避するには、次の 2 つの方法があります。

1. クラスタに接続されているすべてのネットワークとルータをうまく設計して、結果として常にパケット転送がクラスタ内で使用される仮想 IP アドレスに関して対称なパスで行われるようにします。

2. クラスタ内の NAT ルールのフル メッシュ設定を作成して、パケット内の送信元 IP アドレスを送信インターフェースの仮想 IP で置き換える NAT ルールをすべてのインターフェースペアに持たせます。これらのルールは、保護ゾーンのインターフェースと非保護ゾーンのインターフェースとの間に作成される既定のルールと同じである必要があります。こうしたフル メッシュ NAT ルールを設定すると、クラスタを通過するフローの順方向のパスと逆方向のパスは、必ず同じクラスタ ノード (またはクラスタ ノードのプライマリ仮想 IP アドレスの現在のオーナー) を通るようになります。

アクティブ/アクティブ クラスタリングと HA 機能の設定

Note このセクションで説明する手順を実行する前に、アクティブ/アイドルおよびアクティブ/アクティブ DPI HA 機能の前提条件で説明した前提条件を満たしていることを確認してください。

アクティブ/アクティブ クラスタリング設定には、仮想グループ ID と冗長ポートの設定を含めることができます。これらのタスクの両方に関する手順については、このセクションの高可用性 > 設定セクションを参照してください。

SonicOS 管理インターフェースには、高可用性に関するページが 4 つあります。これらのうち、2 つのページにはアクティブ/アクティブ クラスタリングに関連する設定可能な設定があり、1 つのページにはログインしているクラスタと HA ペアの両方の状態が表示され、残りの 1 ページはローカル HA ペアの設定のみに関連しています。最後のものは「高可用性 > 監視」ページです。この文書では、アクティブ/アクティブ クラスタリングに関連するのか HA ペアのみに関連するのかに関係なく、高可用性の設定に関する設定オプションについて説明します。

以下のセクションを参照してください。

• 高可用性 > 状況

• 高可用性 > 設定

• 高可用性 > 詳細設定

• 高可用性 > 監視

高可用性 > 状況

以下のセクションは、「高可用性 > 状況」ページについて説明しています。

• アクティブ/アイドル高可用性機能の状況

• アクティブ/アクティブ高可用性の状況

アクティブ/アイドル高可用性機能の状況

「高可用性 > 状況」ページの「高可用性状況‎‏」テーブルには、HA ペアの現在の状況が表示されます。プライマリSonicWALL がアクティブの場合は、テーブルの 1 行目でプライマリSonicWALL が現在アクティブであることが示されます。

セカンダリ SonicWALL の一意の LAN IP アドレスにログインすることで、セカンダリ SonicWALL の状況を確認することもできます。プライマリ SonicWALL が正常に動作している場合は、セカンダリ SonicWALL が現在アイドルであるという状況が示されます。セカンダリがプライマリを引き継ぐと、セカンダリが現在アクティブであることが状況テーブルに示されます。

プライマリ SonicWALL で障害が発生した場合は、プライマリ SonicWALL の仮想 LAN IP アドレスまたはセカンダリ SonicWALL の LAN IP アドレスで、セカンダリ SonicWALL の管理インターフェースにアクセスできます。障害の後で再起動したプライマリ SonicWALL には、「高可用性 > 監視」ページで作成した一意の IP アドレスを使用してアクセスできます。先制 モードが有効になっている場合は、プライマリ SonicWALL がアクティブなファイアウォールになり、セカンダリ ファイアウォールはアイドル状態に戻ります。

 

このテーブルには、以下の情報が表示されます。

高可用性状況

• 状況 – プライマリ ファイアウォールの HA 状況を示します。次の値をとります。

– プライマリ アクティブ – プライマリ HA 装置がアクティブな状態にあることを示します。

– プライマリ アイドル – この装置がアイドル状態にあることを示します。

– プライマリ無効 – この装置の管理インターフェースで高可用性機能が有効になっていないことを示します。

– プライマリ不安定 – HA は有効になっているが、装置がアクティブ状態とアイドル状態のどちらでもないことを示します。

• プライマリ状況 - プライマリ装置の HA ペアのメンバーとしての現在の状態を示します。「プライマリ 状況」フィールドは、プライマリ装置とセカンダリ装置の双方に表示されます。次の値をとります。

– アクティブ (ACTIVE) – アイドル状態の装置宛ての管理/監視/ライセンス用のトラフィックを除くすべてのネットワーク トラフィックがプライマリ装置によって処理されていることを示します。

– アイドル (IDLE) – プライマリ装置がパッシブな状態にあり、フェイルオーバー時に動作を引き継ぐ準備ができていることを示します。

– 選択 (ELECTION) – プライマリ装置とセカンダリ装置の間でどちらがアクティブな装置になるかのネゴシエーションが行われていることを示します。

– 同期 (SYNC) – プライマリ装置が設定またはファームウェアの同期をセカンダリ装置に対して行っていることを示します。

– エラー (ERROR) – プライマリ装置がエラーの状態になっていることを示します。

– 再起動 (REBOOT) – プライマリ装置が再起動中であることを示します。

– なし (NONE) – プライマリ装置に表示される「なし (NONE)」は、HA 機能がプライマリ装置で有効になっていないことを示します。セカンダリ装置に表示される「なし (NONE)」は、セカンダリ装置がプライマリ装置からのハートビートを受信していないことを示します。

• セカンダリ状況 - セカンダリ装置の HA ペアのメンバーとしての現在の状態を示します。「セカンダリ状況」フィールドは、プライマリ装置とセカンダリ装置の双方に表示されます。次の値をとります。

– アクティブ (ACTIVE) – アイドル状態の装置宛ての管理/監視/ライセンス用のトラフィックを除くすべてのネットワーク トラフィックがセカンダリ装置によって処理されていることを示します。

– アイドル (IDLE) – セカンダリ装置がパッシブな状態にあり、フェイルオーバー時に動作を引き継ぐ準備ができていることを示します。

– 選択 (ELECTION) – セカンダリ装置とプライマリ装置の間でどちらがアクティブな装置になるかのネゴシエーションが行われていることを示します。

– 同期 (SYNC) – セカンダリ装置が設定またはファームウェアの同期をプライマリ装置に対して行っていることを示します。

– エラー (ERROR) – セカンダリ装置がエラーの状態になっていることを示します。

– 再起動 (REBOOT) – セカンダリ装置が再起動中であることを示します。

– なし (NONE) – セカンダリ装置に表示される「なし (NONE)」は、HA 機能がセカンダリ装置で有効になっていないことを示します。プライマリ装置に表示される「なし (NONE)」は、プライマリ装置がセカンダリ装置からのハートビートを受信していないことを示します。

• アクティブ アップ タイム - 現時点でアクティブなファイアウォールがアクティブな状態になってからの経過時間を示します。この行は、高可用性機能が有効になっているときにのみ表示されます。プライマリ SonicWALL で障害が発生した場合は、セカンダリ SonicWALL がプライマリ SonicWALL の LAN と WAN の IP アドレスを引き継ぎます。高可用性ペアの状況を確認する主な方法としては、 「高可用性状況」ウィンドウ、電子メール警告、および「ログ」の 3 つがあります。以下ではこれらの方法について説明します。

• ノード状況 - アクティブ/アクティブ クラスタリングが有効であるかどうかを示します。

• 発見した相手先 - プライマリ装置がセカンダリ装置を検出しているかどうかを示します。「有」または「無」のどちらかの値をとります。

• 同期された設定 - プライマリ装置とセカンダリ装置の間で HA 設定が同期されているかどうかを示します。「有」または「無」のどちらかの値をとります。

• ステートフル HA 同期済み - プライマリ装置とセカンダリ装置の間でステートフル同期設定が同期されているかどうかを示します。「有」または「無」のどちらかの値をとります。

高可用性の設定

• 高可用性モード - アクティブな SonicWALL を判別する方法の 1 つは、「高可用性 > 設定」ページで HA 設定状況インジケータを確認することです。プライマリ SonicWALL がアクティブな場合は、ページの 1 行目でプライマリ SonicWALL が現在アクティブであることが示されます。セカンダリ SonicWALL の LAN IP アドレスにログインすることで、セカンダリ SonicWALL の状況を確認することもできます。プライマリ SonicWALL が正常に動作している場合は、セカンダリ SonicWALL が現在アイドルであるという状況が示されます。セカンダリがプライマリを引き継ぐと、セカンダリが現在アクティブであることが状況に示されます。プライマリ SonicWALL で障害が発生した場合は、プライマリ SonicWALL の LAN IP アドレスまたはセカンダリ SonicWALL の LAN IP アドレスで、セカンダリ SonicWALL の管理インターフェースにアクセスできます。障害の後で再起動したプライマリSonicWALL には、設定の際に作成する 3 番目の IP アドレスでアクセスできます。先制 モードが有効になっている場合は、プライマリ SonicWALL がアクティブなファイアウォールになり、セカンダリ ファイアウォールはアイドル状態に戻ります。

• 高可用性制御リンク – 2 つのファイアウォールが指定された HA インターフェースによって接続されている場合に、HA リンクのポート、速度、通信方式の設定を示します (例: HA 1000 Mbps 全二重)。高可用性機能が有効になっていない場合は、「無効」と表示されます。

• HA データ リンク – 2 つのファイアウォールが指定された HA インターフェースによって接続されている場合に、HA リンクのポート、速度、通信方式の設定を示します (例: HA 1000 Mbps 全二重)。高可用性機能が有効になっていない場合は、「無効」と表示されます。

高可用性ライセンス

• プライマリ ステートフル HA 購読済 - プライマリ装置にステートフル HA のライセンスがあるかどうかを示します。「有」または「無」のどちらかの値をとります。

• セカンダリ ステートフル HA 購読済 - セカンダリ装置にステートフル HA のライセンスがあるかどうかを示します。「有」または「無」のどちらかの値をとります。ステートフル HA ライセンスはプライマリ装置と共有されますが、SonicWALL ライセンス サーバとの同期を行うには、セカンダリ装置の LAN 管理 IP アドレスへのログイン中に mysonicwall.com にアクセスする必要があります。

• プライマリ アクティブ/アクティブ購読済 - プライマリ装置にアクティブ/アクティブのライセンスがあるかどうかを示します。「有」または「無」のどちらかの値をとります。

アクティブ/アクティブ高可用性の状況

「高可用性 > 状況」ページには、アクティブ/アクティブ クラスタ全体と配備内の各クラスタ ノードの状況が表示されます。アクティブ/アクティブ クラスタの状況は、上のテーブルに、各クラスタ ノードの状況は下のテーブルに表示されます。

Figure 54:25 「高可用性 > 状況」ページ

 

高可用性状況と設定の確認方法の詳細については、アクティブ/アクティブ クラスタリング設定の確認を参照してください。