HA の前提条件

HA リンクペアは以下のいずれかの方法により確立することができます。
  • クロスオーバーケーブルを使用して、直接接続する。
  • 専用イーサネットネットワーク経由で、間接的に接続する。HA 管理トラフィックは、分離させたネットワーク上でやりとりする必要があります (イーサネットネットワーク上の専用 VLAN など)。
  • LACP 802.3ad モードでリンクアグリゲーションスイッチを使用して、XG Firewall をブリッジモードで接続する。
注: ルーティング不可能なマルチキャストパケットを転送できるネットワーク媒体を使用してください。

前提条件

  • 両方のデバイスのすべての監視対象ポートを、ケーブルで接続してください。
  • HA クラスタ内のデバイスは、同じモデルとリビジョンにしてください。
  • デバイスを登録してください。
  • デバイスのインターフェース数を同じにしてください。
  • デバイスにインストールされているファームウェアのバージョンを統一してください (メンテナンスリリースとホットフィックスを含む)。
  • アクティブ-アクティブ構成の場合は、デバイスごとに 1 つのライセンスが必要です。
  • アクティブ-パッシブ構成の場合は、プライマリデバイス用のライセンスが 1 つ必要です。補助デバイスのライセンスは必要ありません。
  • デバイスで有効にするサブスクリプションモジュールを統一してください。
  • HA ノード間の通信チャネルは暗号化されないので、ネットワーク構成を保護してください。
  • 両方のデバイス上で、専用 HA リンクポートが同じ DMZ ゾーンのメンバーで、固有の IP アドレスを持っている必要があります。また、DMZ ゾーンで両方のデバイスの SSH を有効にしてください。
  • DMZ ゾーンにおける SSH でのアクセスを、両方の XG Firewall デバイスで有効にしてください。
  • DHCP および PPPoE の設定は HA 設定を行う前に無効に設定しておく必要があります。
  • HA リンクの遅延は、距離に応じて増加します。専用 HA リンクのスパニングツリープロトコル (STP) を無効にすることが推奨されます。
  • スイッチ型インターフェースでは、ファイアウォールインターフェースに接続する各ポートのリンクアクティベーション時間を調整してください(イーサネットスイッチでスパニングツリープロトコル (STP) またはラピッドスパニングツリープロトコル (RSTP) を使用する場合)。たとえば、Cisco Catalyst シリーズのスイッチの場合、ファイアウォールインターフェースに接続する各ポートに対してスパニングツリー portfast を有効にします。