High_Availability
高可用性 (HA) 機能を使用すると、SonicOS が動作している同一のファイアウォール 2 つを設定して、パブリック インターネットへの連続した信頼性の高い接続を提供できます。このセクションでは、SonicOS の高可用性 (HA) 機能の概念情報と設定方法について説明します。このセクションは、次のサブセクションで構成されています。
• アクティブ/スタンバイおよびアクティブ/アクティブ DPI 機能の前提条件
以下のセクションでは、Dell SonicWALL による HA 機能の実装の概要を説明します。
• アクティブ/スタンバイおよびアクティブ/アクティブ DPI 機能の前提条件
高可用性機能には次の 4 つの動作モードがあります。
• アクティブ/スタンバイ
• アクティブ/アクティブ DPI
• アクティブ/アクティブ クラスタリング
• アクティブ/アクティブ DPI クラスタリング
HA の 4 つの動作モードは、「高可用性 > 設定」ページの「一般」タブにあるプルダウン メニューから選択できます。
アクティブ/スタンバイ - アクティブ/スタンバイ モードでは、2 つの同一のファイアウォールを高可用性ペアとして構成することで、基本的な高可用性を実現します。アクティブ装置はすべてのトラフィックを処理します。スタンバイ装置は設定情報を共有し、アクティブ装置が停止した場合にただちに動作を引き継いでネットワーク接続の持続性を確保します。既定では、アクティブ/アクティブ モードはステートレスです。つまり、フェイルオーバー後にネットワーク接続と VPN トンネルを再確立する必要があります。ステートフル同期のライセンスを追加して有効化すると、アクティブ/スタンバイ モードでこれを回避できます。このステートフルな高可用性モードでは、アクティブ装置とスタンバイ装置の間で動的な状態が常時同期されます。アクティブ装置に障害が発生すると、既存のネットワーク接続に中断を発生させることなくスタンバイ ファイアウォールがアクティブの役割を引き継ぐので、ステートフル フェイルオーバーとなります。
補足 ステートフル高可用性は NSA 2600 でのみサポートされます (SonicOS の拡張ライセンスまたは高可用性ライセンスの購入が必要)。ライセンスは www.mysonicwall.com で購入できます。
アクティブ/アクティブ DPI - アクティブ/アクティブ DPI (精密パケット検査) モードは、アクティブ/スタンバイ モードと並行して使用できます。アクティブ/アクティブ DPI モードを有効にすると、侵入防御 (IPS)、ゲートウェイ アンチウイルス (GAV)、アンチスパイウェアなどのプロセッサ使用率の高い DPI サービスはスタンバイ ファイアウォールが処理を実行し、ファイアウォール、NAT、その他のトラフィックなどのサービスはアクティブ ファイアウォールが同時的に処理を実行します。
補足 アクティブ/アクティブ DPI は、NSA 2600, 、NSA 3600、および NSA 4600 ではサポートされません。
アクティブ/アクティブ クラスタリング - このモードでは、複数のファイアウォールがクラスタ ノードとしてグループを形成し、複数のアクティブ装置が DPI の処理やネットワーク負荷を分散しながらトラフィックを処理します (複数のゲートウェイとして動作)。各クラスタ ノードは、ステートフル高可用性ペアとして動作する 2 つの装置から構成されます。アクティブ/アクティブ クラスタリングでは、負荷分散に加えてステートフル フェイルオーバーがサポートされます。各クラスタ ノードを 1 つの装置で構成することもできます。その場合は、ステートフル フェイルオーバーとアクティブ/アクティブ DPI は利用できません。
補足 アクティブ/アクティブ クラスタリングは、SM 9000 シリーズでは既定でサポートされます。NSA 5600 および NSA 6600 でアクティブ/アクティブ クラスタリングをサポートするには SonicOS の拡張ライセンスを購入する必要があります。ライセンスは www.mysonicwall.com で購入できます。
アクティブ/アクティブ DPI クラスタリング - このモードでは、フェイルオーバーと負荷分散のために最大 4 つの HA クラスタ ノードを設定できます。負荷分散では、各ノードによってネットワーク トラフィックに対する DPI セキュリティ サービスのアプリケーションの負荷が分散されます。このモードを有効にすると、各クラスタ ノードのスタンバイ装置の利用によりパフォーマンスを向上できます。
• プライマリ - プライマリ ハードウェア装置を示します。プライマリの識別は手動で指定し、条件による変更の対象にはなりません。通常の動作条件下では、プライマリ ハードウェア装置はアクティブな役割で動作します。
• セカンダリ - 従属のハードウェア装置を示します。セカンダリの識別は関連に基づく指定であり、プライマリ装置と組み合わせたときに装置によって想定されます。通常の動作条件下では、セカンダリ装置はスタンバイ モードで動作します。プライマリ装置で障害が発生すると、セカンダリ装置がアクティブな役割を引き継ぎます。
• アクティブ - ハードウェア装置の稼動状態を示します。アクティブの識別子は、プライマリ ハードウェア装置またはセカンダリ ハードウェア装置のいずれかが持つことができる論理的な役割です。
• スタンバイ - ハードウェア装置のパッシブ状態を示します。スタンバイの識別子は、プライマリ ハードウェア装置またはセカンダリ ハードウェア装置のいずれかが持つことができる論理的な役割です。スタンバイ状態の装置は、アクティブな装置の障害と判断できるイベントが発生したときに、アクティブの役割を引き継ぎます。
• フェイルオーバー - アクティブな装置の障害と判断された後に、スタンバイ状態の装置がアクティブの役割を引き継ぐ実際のプロセスを表します。障害かどうかの判断は、「タスク リスト」セクションに記載されている設定可能なさまざまな物理的および論理的な監視機能によって行われます。
• 先制 - プライマリ装置に障害が発生し、セカンダリ装置がアクティブの役割を引き継ぐ、フェイルオーバー後の状態を示します。先制を有効にすると、プライマリ装置が稼動状態に復元されたことが確認された後に、プライマリ装置がセカンダリ装置からアクティブの役割を取り戻します。
クラッシュ検出
HA 機能は、アクティブ ファイアウォールおよびスタンバイ ファイアウォールの両方に対する完全な自己診断メカニズムを備えています。スタンバイ装置へのフェイルオーバーが発生するのは、重要なサービスに影響があった場合、監視中のインターフェースで物理 (または論理) リンクの障害が検出された場合、または SonicWALL で停電が発生した場合です。
自己チェック メカニズムはソフトウェア診断によって管理されます。 ソフトウェア診断では、SonicWALL 機器の完全なシステム整合性がチェックされます。診断では、内部システム状況、システム プロセス状況、および内外部のネットワーク接続がチェックされます。フェイルオーバー ループの発生を避けるため、両側において、どちらの側の接続が優れるかの重み付けをするメカニズムがあります。
NAT、VPN、DHCP などの重要な内部システム プロセスは、リアルタイムでチェックされます。障害の発生したサービスは可能な限り速やかに切り離され、フェイルオーバー メカニズムによって自動的に修復されます。
仮想 MAC アドレスを使用することで高可用性ペアが同じ MAC アドレスを共有できるため、フェイルオーバー後の収束にかかる時間が大幅に減少します。収束にかかる時間は、ネットワーク内の装置のルーティング テーブルを高可用性機能に起因する変更に適合させるためにかかる時間です。
仮想 MAC アドレスが有効でない場合、アクティブ状態の装置とスタンバイ状態の装置はそれぞれ独自の MAC アドレスを持ちます。しかし、装置で同じ IP アドレスを使用しているため、フェイルオーバーが発生した場合には、すべてのクライアントおよびネットワーク リソースの ARP キャッシュにおいて、IP アドレスと MAC アドレスの間のマッピングが壊れてしまいます。セカンダリ装置は ARP 要求を発行して、新しい MAC アドレスと IP アドレスのペアを通知する必要があります。この ARP 要求がネットワーク全体に伝播するまで、プライマリ装置の MAC アドレス宛てのトラフィックが失われる可能性があります。
仮想 MAC アドレスの導入により、プライマリ装置とセカンダリ装置の両方で同じ MAC アドレスが使用されるため、この処理が大幅に簡素化されました。フェイルオーバーが発生しても、プライマリ装置に到達するルートおよびプライマリ装置から発信するルートのすべてが、セカンダリ装置で有効なままになります。すべてのクライアントおよびリモート サイトは、同じ仮想 MAC アドレスおよび IP アドレスを途切れることなく使用し続けます。
既定では、この仮想 MAC アドレスは SonicWALL ファームウェアによって指定されるものであり、プライマリまたはセカンダリ装置のいずれの物理 MAC アドレスとも異なります。これにより、設定エラーの発生を防止し、仮想 MAC アドレスの一意性を確保して競合が起こらないようにしています。必要に応じて、仮想 MAC アドレスの手動設定を「高可用性 > 監視」ページで行うことができます。
仮想 MAC の設定は、ステートフル高可用性機能のライセンスがなくても利用できます。仮想 MACが有効になっていると、ステートフル同期が有効になっていなくても、常に仮想 MAC アドレスが使用されます。
「高可用性 > 監視」ページでは、物理インターフェースと論理インターフェースの両方の監視を設定できます。物理インターフェース監視を有効にすると、指定された HA インターフェースのリンク検出が可能になります。このリンクの検出は、リンクの動作状態を判断するために物理層で行われます。論理監視とは、SonicWALL を設定して接続先ネットワークの 1 つ以上に存在する信頼性の高い機器を監視することです。HA ペアのアクティブな装置がこの機器との定期的な通信に失敗すると、スタンバイ装置へのフェイルオーバーが実行されます。HA ペアのどちらもこの機器に接続できない場合は、何も処理が行われません。
「高可用性 > 監視」ページで設定されるプライマリおよびセカンダリ IP アドレスは、LAN または WAN インターフェース上で設定でき、以下に示す複数の目的に使用されます。
• 各装置の固有の管理アドレス (すべての物理インターフェース上でサポートされている) として使用
• スタンバイ状態の装置と SonicWALL ライセンス サーバの間のライセンスの同期用
• 論理監視中に送出されるプローブ Ping の送信元 IP アドレス
HA ペアの両方の装置に一意の管理 IP アドレスを設定すると、各装置に個別にログインして管理タスクを行うことができます。管理 IP アドレス宛に送信された管理目的ではないトラフィックは無視されます。プライマリ ファイアウォールおよびセカンダリ ファイアウォールの一意の LAN IP アドレスは、アクティブ ゲートウェイとしては機能できません。内部 LAN に接続されたすべてのシステムは、ゲートウェイとして仮想 LAN IP アドレスを使用する必要があります。
WAN 監視 IP アドレスを設定する場合、X0 監視 IP アドレスは不要です。WAN 監視 IP アドレスを設定しない場合は、X0 監視 IP アドレスが必要です。このようなシナリオでは、スタンバイ装置は X0 監視 IP アドレスを使用してライセンス サーバに接続し、すべてのトラフィックがアクティブ装置を通過するためです。
セカンダリ/スタンバイ装置の管理 IP アドレスを使用すると、Dell SonicWALL ライセンス サーバとライセンスを同期できます。このサーバは、HA ペア単位ではなく装置単位でライセンスを管理します。HA の関連付けを作成する前にセカンダリ装置が MySonicWALL で登録されていた場合でも、管理 IP アドレスからセカンダリ装置にアクセスしているときは、Dell SonicWALL サーバに接続する場合に「システム > ライセンス」ページ上のリンクを使用する必要があります。
論理監視の使用時には、指定された論理監視対象 IP アドレスを送信先とした Ping が、HA ペアのプライマリおよびセカンダリの装置から実行されます。「プライマリ IP アドレス」または「セカンダリ IP アドレス」のフィールドに設定された IP アドレスは、Ping の送信元 IP アドレスとして使用されます。両方が送信先への Ping に成功した場合、フェイルオーバーは発生しません。両方が送信先への Ping に失敗した場合は、SonicOS は、装置ではなく送信先に問題があると見なし、フェイルオーバーは発生しません。しかし、一方の装置が送信先への Ping に成功し、もう一方が失敗した場合は、Ping に成功したほうの装置へのフェイルオーバーが行われます。
「高可用性 > 監視」ページでの設定タスクは、プライマリ装置で実行された後、セカンダリ装置に対して自動的に同期されます。
HA 機能を使用すると、SonicOS が動作している同一のファイアウォール 2 つを設定して、パブリック インターネットへの連続した信頼性の高い接続を提供できます。1 つのファイアウォールはプライマリ装置として設定し、それと同一のファイアウォールをセカンダリ装置として設定します。プライマリ ファイアウォールに障害が発生した場合、セカンダリ ファイアウォールが引き継ぎ、保護されたネットワークとインターネット間の信頼性の高い接続を確保します。このようにして設定された2 台の装置は、高可用性ペア (HA ペア) とも呼ばれます。
HA 機能を使用すると、一方の装置が他方の装置の高可用性システムとして機能するので、2 つのファイアウォールの間でライセンスを共有できます。この機能を使用するには、MySonicWALL で各装置を関連付けられた製品として登録する必要があります。両方の装置は同一の SonicWALL モデルでなければなりません。
アクティブ/スタンバイ HA 機能のメリットは次のとおりです。
• ネットワークの信頼性の向上 - 高可用性機能の設定では、プライマリ装置に障害が発生した場合、セカンダリ装置がすべてのネットワーク処理を引き継ぎ、保護されたネットワークとインターネット間の信頼性の高い接続を確保します。
• 優れたコスト効果 - 高可用性機能は、ファイアウォールを冗長化して使用することで高可用性を得る、配備にとってコスト効果の高いオプションです。高可用性ペアのセカンダリ装置のためにライセンスをもう 1 セット購入する必要はありません。
• フェイルオーバー後の収束時間を短縮する仮想 MAC - 仮想 MAC アドレスを設定することで HA ペアが同じ MAC アドレスを共有できるため、フェイルオーバー後の収束にかかる時間が大幅に減少します。収束にかかる時間は、ネットワーク内の装置のルーティング テーブルを高可用性機能に起因する変更に適合させるためにかかる時間です。既定では、この仮想 MAC アドレスは SonicWALL ファームウェアによって指定されるものであり、プライマリまたはセカンダリ装置のいずれの物理 MAC アドレスとも異なります。
HA 機能を使用するには、プライマリ SonicWALL として設定された 1 台の SonicWALL 機器と、セカンダリ SonicWALL として設定された同一モデルの SonicWALL 機器が必要です。通常の動作中は、プライマリ SonicWALL がアクティブ状態となり、セカンダリ SonicWALL がスタンバイ状態となります。プライマリ機器が接続を失った場合、セカンダリ SonicWALL 機器がアクティブ モードに移行し、プライマリ機器の設定と役割を代行します。設定されたインターフェースのインターフェース IP アドレスもそのまま使用されます。
基本的なアクティブ/スタンバイ HA 機能では、ステートレス高可用性が提供されます。セカンダリ装置へのフェイルオーバーが行われた後は、既存のすべてのネットワーク接続を再確立する必要があります。VPN トンネルの再ネゴシエートも必要になります。オプションで、ステートフル同期のライセンスを追加して有効化することもできます。詳細については、ステートフル同期の概要を参照してください。
フェイルオーバーが適用されるのは、プライマリ SonicWALL の機能またはネットワーク層接続が失われた場合です。セカンダリ SonicWALL へのフェイルオーバーが発生するのは、重要なサービスに影響があった場合、監視中のインターフェースで物理 (または論理) リンクの障害が検出された場合、またはプライマリ SonicWALL で停電が発生した場合です。現在、プライマリ SonicWALL 機器およびセカンダリ SonicWALL 機器では、アクティブ/スタンバイ高可用性機能、またはアクティブ/アクティブ DPI 機能のみを実行できます。完全なアクティブ/アクティブ高可用性機能は、現時点ではサポートされていません。
すべての設定に適用される同期には、増分と完全の 2 種類があります。タイムスタンプが同期されており、アクティブな装置で変更が行われた場合、増分同期がスタンバイ状態の装置にプッシュされます。タイムスタンプが同期されておらず、スタンバイ状態の装置が利用可能な場合、完全同期がスタンバイ状態の装置にプッシュされます。増分同期が失敗した場合、完全同期が自動的に試みられます。
このセクションでは、ステートフル同期機能の概要を説明します。ステートフル同期機能では、フェイルオーバーのパフォーマンスが大幅に改善されています。ステートフル同期が有効な場合、ネットワーク接続と VPN トンネルの情報が 2 つの装置の間で常時同期され、プライマリ装置に障害が発生した場合に、既存のネットワーク接続を中断することなく、ネットワークに関するすべての役割をセカンダリ装置がシームレスに引き継ぐことができます。
このセクションは、次のサブセクションから構成されています。
ステートフル同期機能のメリットは次のとおりです。
• 信頼性の向上 - ステートフル同期機能により最も重要なネットワーク接続情報が同期されるため、装置に障害が発生した場合にもダウン時間が発生することがなく、接続が切断されることがありません。
• フェイルオーバーの高速化 - ステートフル同期機能によりプライマリ装置およびセカンダリ装置の間で常時同期がとられるため、障害が発生した場合にも、ダウン時間が発生したりネットワーク接続が失われたりすることが事実上なく、セカンダリ装置が引き継ぐことができます。
• CPU のパフォーマンスへの影響の最小化 - 通常、使用率は 1% 未満です。
• 帯域幅への影響の最小化 - 同期データの送信は、他のデータの送信に影響しないように調整されます。
ステートフル同期機能は、負荷分散ではありません。プライマリ装置ですべてのトラフィックが処理されるアクティブ-スタンバイ構成です。ステートフル同期機能が有効にされている場合、プライマリ装置はセカンダリ装置とアクティブに通信して、ほとんどのネットワーク接続情報を更新します。プライマリ装置でネットワーク接続情報 (VPN トンネル、使用中のユーザ数、接続キャッシュ エントリなど) が作成および更新されると、プライマリ装置からセカンダリ装置にすぐに通知されます。これにより、セカンダリ装置は常にアクティブ状態に移行する準備が整っているため、接続が切断されることはありません。
同期トラフィックは、通常のネットワーク トラフィックが影響を受けることのないように調整されます。設定の変更はすべてプライマリ装置で実行され、セカンダリ装置へ自動的に伝播されます。どちらの装置がアクティブであるかに関係なく、高可用性ペアでは同じ LAN および WAN IP アドレスが使用されます。
SonicWALL グローバル管理システム (GMS) を使用して装置を管理する場合、GMS は共有 IPアドレスにログインします。フェイルオーバーが発生した場合、GMS 管理はシームレスに継続されます。また、その時点で装置にログインしている GMS 管理者がログアウトされることはありません。ただし、Get および Post コマンドはタイムアウトとなり、応答は返されません。
以下の表に、現在のステートフル同期機能で同期される情報と同期されない情報を示します。
|
ステートフル同期の例
フェイルオーバーが行われる場合、イベントが発生するシーケンスは次のとおりです。
1. PC ユーザがネットワークに接続し、プライマリ ファイアウォールでそのユーザのためのセッションが作成されます。
2. プライマリ装置とセカンダリ装置の同期が取られます。これで、セカンダリ装置にそのユーザのすべてのセッション情報が保存された状態になります。
3. 管理者がプライマリ装置を再起動します。
4. セカンダリ装置はプライマリ装置の再起動を検知し、スタンバイからアクティブに切り替わります。
5. セカンダリ装置は、プライマリ装置と同じ仮想 MAC アドレスおよび IP アドレスを使用して、LAN および WAN スイッチへの重複回避用 ARP メッセージの送信を開始します。下流または上流のネットワーク機器でルーティングを更新する必要はありません。
6. PC ユーザがウェブ ページにアクセスしようとした場合、セカンダリ装置にそのユーザのすべてのセッション情報が保存されているため、中断なくユーザのセッションを継続できます。
ステートフル HA ペアでアクティブ/アクティブ DPI 機能を有効にすると、アクティブ ファイアウォールでのファイアウォール、NAT、および他のモジュールの処理と並行して、精密パケット検査 (DPI) サービスが HA ペアのスタンバイ ファイアウォールで処理されます。影響を受けるのは、次のDPI サービスです。
• 侵入防御サービス (IPS)
• ゲートウェイ アンチウイルス (GAV)
• ゲートウェイ アンチスパイウェア
• アプリケーション制御
アクティブ/アクティブ DPI 機能を使用するには、管理者が追加インターフェースをアクティブ/アクティブ DPI インターフェースとして設定する必要があります。例えば、X5 をアクティブ/アクティブ DPI インターフェースにする場合は、HA ペアのアクティブ装置の X5 を同じペアのスタンバイ装置の X5 に物理的に接続する必要があります。アクティブ/アクティブ DPI インターフェース上で、アクティブ装置の特定のパケット フローを選択し、スタンバイ装置にオフロードします。DPI はスタンバイ装置で実行され、結果は同じインターフェースを介してアクティブ装置に返されます。それ以外の処理は、アクティブ装置で実行されます。
アクティブ/アクティブ DPI では、スタンバイ装置で利用可能な未使用の CPU サイクルを活用しますが、トラフィックのやりとりは従来どおりにアクティブ装置で行われます。ネットワーク トラフィックの負荷は、アクティブ装置によって処理され、スタンバイ装置にはかかりません。また、DPI サービス以外のすべてのモジュールの処理はアクティブ装置でのみ行われます。
アクティブ/スタンバイおよびアクティブ/アクティブ DPI 機能の前提条件
このセクションでは、サポート対象プラットフォームの一覧を示し、装置を物理的に接続するための推奨事項と要件を紹介します。さらに、高可用性に必要な装置の登録、関連付け、ライセンス有効化の方法について説明します。
アクティブ/アクティブ DPI をサポートする Dell SonicWALL モデルは以下のとおりです。
• SuperMassive 9600
• SuperMassive 9400
• SuperMassive 9200
• NSA 6600
• NSA 5600
補足 NSA 5600 および NSA 6600 でアクティブ/アクティブ DPI をサポートするには拡張ライセンスを購入する必要があります。
アクティブ/アクティブ DPI は以下の Dell SonicWALL モデルではサポートされません。
• NSA 4600
• NSA 3600
• NSA 2600
高可用性機能を使用するには、影響を受ける Dell SonicWALL 装置の間に物理的な接続を追加する必要があります。すべてのモデルについて、HA 制御および HA データ用の接続が必要です。アクティブ/アクティブ DPI には追加の接続インターフェースが必要です。
どのような高可用性配備でも、すべての装置の LAN および WAN ポートを適切なスイッチに物理的に接続する必要があります。
すべての装置の X0 インターフェースを同じブロードキャスト ドメインに接続することが重要です。そうしないと、トラフィックのフェイルオーバーは動作しません。また、X0 は既定の冗長 HA ポートになります。標準の高可用性制御リンクに障害が発生すると、装置間のハートビート通信には X0 が使用されます。X0 が同じブロードキャスト ドメインにない場合、高可用性制御リンクの障害時に両方の装置がアクティブになります。
インターネットへの WAN 接続は、MySonicWALL で装置を登録したり、ライセンス情報を同期したりする場合に役立ちます。ネットワーク ポリシーによって SonicWALL ライセンス サーバとの常時通信が許可されていない場合を除き、WAN (X1) インターフェースを接続してから登録やライセンス処理を実行してください。
Dell SonicWALL ネットワーク セキュリティ装置は、指定の各 HA インターフェースで以下のインターフェース リンク速度を必要とします。
• HA 制御インターフェース - 1GB または 10GB のインターフェース。推奨は 1GB です。
補足 リンク統合化とポート冗長化は、HA 制御インターフェースではサポートされません。
• HA データ インターフェース - 1GB または 10GB のインターフェース。推奨は 10GB です。
HA 制御インターフェースと HA データ インターフェースは同一のインターフェースを共有できます。
同一のインターフェースを共有する場合の推奨は 10GB です。
• アクティブ/アクティブ DPI インターフェース - 1GB または 10GB のインターフェース。
アクティブ/アクティブ DPI のためのアクティブ/アクティブ DPI インターフェースの接続
アクティブ/アクティブ DPI では、各 HA ペアまたはクラスタ ノード内の 2 台の装置間で少なくとも 1 つの追加インターフェース (アクティブ/アクティブ DPI インターフェースと呼ばれます) を物理的に接続する必要があります。接続されるインターフェースは、両方の装置で同じ番号、かつ「ネットワーク > インターフェース」ページで最初は未使用、未定義のインターフェースとして表示されていなければなりません。例えば、X5 が未定義のインターフェースである場合、プライマリ装置の X5 をセカンダリ装置の X5 に接続できます。アクティブ/アクティブ DPI を有効にした後、接続されたインターフェースは HA データリンクのゾーン割り当てを持つことになります。
アクティブ/アクティブ DPI インターフェース上で、アクティブ装置の特定のパケット フローを選択し、スタンバイ装置にオフロードします。DPI はスタンバイ装置で実行され、結果は同じインターフェースを介してアクティブ装置に返されます。
必要に応じて、アクティブ/アクティブ DPI によるポート冗長化のために、各 HA ペアの 2 台の装置間で 2 番目の アクティブ/アクティブ DPI インターフェースを物理的に接続することもできます。このインターフェースは、1 番目のアクティブ/アクティブ DPI インターフェースに障害が発生した場合、アクティブ/アクティブ DPI 処理時の 2 台の装置間でのデータ転送を引き継ぐことになります。
アクティブ/アクティブ DPI のためのアクティブ/アクティブ DPI インターフェースを接続するには:
1. HA ペアの装置間の追加接続に使用するインターフェースを決定します。各装置で同じインターフェースを選択する必要があります。
2. SonicOS 管理インターフェースで、「ネットワーク > インターフェース」ページに移動して、目的のアクティブ/アクティブ DPI インターフェースの「ゾーン」が「未定義」になっていることを確認します。
3. 標準のイーサネット ケーブルを使用して、2 つのインターフェースを相互に直接接続します。
4. 必要に応じて、アクティブ/アクティブ DPI によるポート冗長化のために、各 HA ペアの 2 台の装置間で 2 番目の アクティブ/アクティブ DPI インターフェースを物理的に接続することもできます。
高可用性機能を使用するには、MySonicWALL で HA 用に両方の装置を登録して関連付ける必要があります。MySonicWALL ページで登録済の装置のリンクを選択すると、その装置のサービス管理ページが表示されます。サービス管理ページの下部で、「関連付けられた製品」の下の「HA セカンダリ」リンクを選択します。指示に従って、HA ペアのもう一方の装置を選択して関連付けます。
装置を HA ペアとして関連付けると、両装置でライセンスを共有できます。これらのライセンスには、高可用性ライセンスのほか、SonicOS ライセンス、サポート購読、およびセキュリティ サービス ライセンスが含まれます。共有できないのは、SonicWALL GMS 予防保守サービスなどのコンサルティング サービス用のライセンスだけです。
プライマリ装置とセカンダリ装置で、同じセキュリティ サービスが有効になっている必要はありません。セキュリティ サービスの設定は、最初に行われる設定の同期で自動的に更新されます。セカンダリ装置がフェイルオーバーの前と同レベルのネットワーク保護を維持できるように、ライセンスの同期が使用されます。
MySonicWALL には、2 台の装置を関連付けるためのさまざまな方法が用意されています。最初に新しい装置を登録し、次に関連付ける登録済みの装置を選択します。または、すでに登録されている2 つの装置どうしを関連付けることもできます。登録済みの装置を選択し、その装置に関連付ける新しい装置を追加して、処理を開始することも可能です。
補足 MySonicWALL で装置を初めて登録する場合も、プライマリ装置とセカンダリ装置でそれぞれの管理 IP アドレスにログインし、SonicOS 管理インターフェースから個別に装置を登録する必要があります。これにより、セカンダリ装置は Dell SonicWALL ライセンス サーバと同期され、関連付けられているプライマリ装置とライセンスを共有できるようになります。インターネットへのアクセスが制限されている場合は、共有するライセンスを手動で両方の装置に適用できます。
各装置の個別の管理 IP アドレスの設定および使用方法については、アクティブ/クラスタリングでの高可用性監視についておよび高可用性 > 監視を参照してください。
アクティブ/アクティブ クラスタリング、ステートフル高可用性、およびアクティブ/アクティブ DPI の各ライセンスは、登録されたファイアウォールに含まれています。このため、これらの高可用性機能を使用するために追加のライセンスを購入する必要はありません。
補足 アクティブ/アクティブ クラスタリングとステートフル高可用性の各ライセンスは、装置ごとに有効にする必要があります。そのためには、MySonicWALL で SonicOS 管理インターフェースから装置を登録するか、インターネット アクセスが利用できない場合は各装置にライセンス キーセットを適用します。
システム ライセンスは、管理インターフェースの「システム > ライセンス」ページで確認できます。このページには、MySonicWALL へのログイン方法も用意されています。
アクティブ/アクティブ クラスタ内のファイアウォールがインターネットにアクセスできる場合、管理者は各装置の管理 IP アドレスにログインし、SonicOS 管理インターフェースからクラスタ内の各装置を個別に登録する必要があります。これにより、セカンダリ装置は SonicWALL ライセンス サーバと同期され、各 HA ペアの関連付けられたプライマリ装置とライセンスを共有できるようになります。
また、インターネットにアクセスできない装置がある HA ペアについてもライセンスを同期する方法があります。ネットワーク ポリシーの制約により SonicWALL ライセンス サーバとの常時通信が許可されない場合は、ライセンス キーセットを使用してセキュリティ サービス ライセンスを装置に手動で適用することができます。MySonicWALL でファイアウォールを登録すると、その装置用のライセンス キーセットが生成されます。新しいセキュリティ サービス ライセンスを追加する場合、キーセットが更新されます。ただし、このライセンスを装置に登録するまで、装置でライセンスを取得したサービスを実行することはできません。
補足 インターネット接続なしで高可用性を提供する配備では、HA ペアの両方の装置にライセンス キーセットを適用する必要があります。
以下の表に、Dell SonicWALL ネットワーク セキュリティ装置の購入時に付属する HA ライセンスを示します。一部のプラットフォームでは、ステートフル同期やアクティブ/アクティブ DPI を利用するためには追加ライセンスが必要です。SonicOS 拡張ライセンスまたは高可用性ライセンスは、MySonicWALL または Dell SonicWALL 再販業者から購入できます。
|
装置にライセンスを適用するには、以下のいずれかの手順を行います。
• SonicOS ユーザ インターフェースからのライセンスの有効化
• MySonicWALL からのライセンス キーセットのコピー
SonicOS ユーザ インターフェースからのライセンスの有効化
このセクションの手順に従うことで、SonicOS ユーザ インターフェースを使用してライセンスを有効化することができます。設定の手続きは、高可用性ペアの各装置で個々の LAN 管理 IP アドレスにログインして行います。
個々の IP アドレスの設定方法については、高可用性 > 監視を参照してください。
1. 装置の LAN 管理 IP アドレスを使って SonicOS ユーザ インターフェースにログインします。
2. 「システム > ライセンス」ページの「セキュリティ サービスのオンライン管理」の下にある「サービスの購読、アップグレード、及び更新はここを選択してください。」のリンクを選択します。
3. 「ライセンス > ライセンス管理」ページのテキスト ボックスに、mySonicWALL ユーザ名とパスワードを入力します。
4. 「送信」を選択します。
5. 「システム > ライセンス」ページの「セキュリティ サービスのオンライン管理」の下にある「セキュリティ サービスの概要」テーブルに表示されるサービスを確認します。
6. この手順を HA ペアのもう一方の装置についても繰り返します。
MySonicWALL からのライセンス キーセットのコピー
このセクションの手順に従って MySonicWALL でライセンス キーセットを表示し、これをファイアウォールにコピーすることができます。設定の手続きは、高可用性ペアの各装置で個々の LAN 管理 IP アドレスにログインして行います。
個々の IP アドレスの設定方法については、高可用性 > 監視を参照してください。
1. https://www.mysonicwall.com/ で MySonicWALL アカウントにログインします。
2. 左側にあるナビゲーション ペインで、「マイ プロダクト」を選択します。
3. 「マイ プロダクト」ページの「登録済み製品」で、下にスクロールしてライセンス キーセットをコピーする装置を探します。製品の名前またはシリアル番号を選択します。
4. 「サービス管理」ページで「ライセンス キーセットの表示」を選択します。
5. 「ライセンス鍵セット」ページで、マウスを使用してテキスト ボックス内のすべての文字を選択します。
6. ライセンス キーセットをクリップボードにコピーするには、Ctrl+C キーを押します。
7. 個々の LAN 管理 IP アドレスを使って SonicOS ユーザ インターフェースにログインします。
8. 「システム > ライセンス」ページの「手動でアップグレード」の下にある「または、キーセットの入力」テキスト ボックスで Ctrl+V キーを押して、ライセンス キーセットを貼り付けます。
9. 「送信」を選択します。
10. この手順を HA ペアのもう一方の装置についても繰り返します。