HA の動作

サポートされている機能

アクティブ-パッシブおよびアクティブ-アクティブ: どちらの HA モードも、以下には対応していません。

• 携帯 WAN の設定
• Wi‑Fi モデル

アクティブ-アクティブ: HA のアクティブ-アクティブモードは、以下には対応していません。

• DHCP、PPPoE
• アプリケーション同期と制御 (SAC)

ネットワークトラフィック

HA 利用時のネットワークトラフィックの動作を以下に示します。

• マスカレードされた接続: HA クラスタのデバイスを手動で同期すると、マスカレードされた接続がすべてドロップされます。
• HA を無効にすると、補助デバイスの LAN ゾーンで管理サービス (HTTP、HTTPS、SSH) が許可されます。DMZ ゾーンでは、HTTPS および SSH サービスのみが許可されます。プライマリデバイスは、スタンドアロンモードで通常どおりの動作を続けます。
• HA を有効にすると、HA ペアに対して仮想 MAC アドレス (VMAC) が作成されます。これにより、ネットワークが一時的に停止します。
• AV スキャンセッションでは、フェールオーバーはできません。したがって、スキャンセッション (現在のファイルスキャン) を再実行する必要があります。
• IPv4 転送トラフィックでは、セッションフェールオーバーはできません (例: ICMP、UDP、マルチキャストトラフィック、ブロードキャストトラフィック、プロキシサブシステム (透過プロキシ、直接プロキシ、親プロキシ) を通過するトラフィック、VPN トラフィックなど)。たとえば、VPN 接続は、新しいプライマリデバイスに自動的に再接続する前に、一時的に切断されます。
• IPv6 転送トラフィックでは、セッションフェールオーバーはできません (例: ICMPv6、UDP、マルチキャスト、ブロードキャストトラフィックなど)。

メール

HA 利用時のメールの動作を以下に示します。

• アクティブ-アクティブモードでは、メールは両方のデバイスで隔離されます。SMTP プロキシトラフィックは、ラウンドロビン方式で負荷分散されます。
• アクティブ-パッシブモードでは、メールはプライマリデバイスでのみ隔離されます。
• 隔離ダイジェストを設定した場合、クラスタ内の両方のデバイスから隔離ダイジェストメールが送信されます。
• 管理者は、ユーザーの隔離メールをどちらのデバイスからでもリリースできます。
• ユーザーはユーザーポータルから、隔離メールをリリースできます。ユーザーポータルでは、プライマリデバイスで隔離されたメールのみが表示されます。また、プライマリデバイスから送信された隔離ダイジェストからも、隔離メールをリリースできます。

HA アクティブ-パッシブモードでのセッションフェールオーバー

以下の表に、アクティブ-パッシブモードのセッションフェールオーバーでサポートされるトラフィックの種類を示します。

HA 負荷分散

HA アクティブ-アクティブモードにおけるトラフィックの負荷分散について以下に示します。

• 負荷分散の対象外: VPN セッション、UDP、ICMP、マルチキャスト、ブロードキャストセッション、スキャンされた FTP トラフィック、ワイヤレス RED デバイスおよびアクセスポイントからのトラフィック。また、ユーザーポータル、Web 管理コンソール、Telnet コンソール、H.323 トラフィックセッションの TCP トラフィックも負荷分散の対象外です。モジュールに関わらず、制御トラフィックは負荷分散の対象外です。
• 負荷分散の対象: 通常の転送 TCP トラフィック (NAT (SNAT と仮想ホストの両方) の転送 TCP トラフィックを含む)。プロキシサブシステム (透過プロキシ、直接プロキシ、親プロキシ) を通過する TCP トラフィックや、VLAN トラフィックも負荷分散されます。
• HTTPS 接続の負荷分散がサポートされています。

バックアップと復元

HA のデバイスにバックアップを復元するときの動作を以下に示します。

• HA を設定したあとに、HA の設定前のバックアップを復元すると、HA は無効になります。プライマリデバイスには、バックアップの設定に従ってアクセスできます。補助デバイスには、補助デバイスの管理用の IP アドレスを使ってアクセスできます。
• 新しいデバイスまたは出荷時設定にリセットしたデバイスに、HA 設定を含むバックアップを復元すると、そのデバイスで HA は無効になります。この場合、HA の設定をやり直す必要があります。
• HA の設定を含むバックアップをプライマリデバイスに復元すると、HA の設定が復元され、プライマリデバイスが再起動します。その後、補助デバイスに設定が復元され、補助デバイスが再起動します。HA は自動的に復元されるので、特に追加の設定を行う必要はありません。

管理

HA デバイスの管理に関する情報を以下に示します。

• HA の無効化は、どちらのデバイスからでも行えます。プライマリデバイスから無効にすると、HA は両方のデバイスで無効になります。補助デバイスから無効にすると、HA はプライマリデバイスでは無効になりません。プライマリデバイスは、スタンドアロンデバイスとして動作します。
• HA を無効にしても、プライマリデバイスの IP スキーマは変更されません。VMAC を無効にしていた場合は、IP スキーマが変更になり、ネットワーク障害が発生します。
• HA を無効にすると、HA 専用リンクポートとピア管理ポート以外のすべてのポートは、補助デバイスに対して無効になります。ピアの HA リンク IP には、HA 専用リンクポートに割り当てた IP アドレスが割り当てられます。ピアの管理ポートには、ピアの管理ポートに割り当てた IP アドレスが割り当てられます。
• スタンドアロンデバイスから HA を無効にした場合、IP スキーマは変更されません。
• 補助デバイスの管理コンソールにアクセスするには、管理者権限が必要です。また、管理コンソールに、ライブユーザー、DHCP リース、IPsec ライブ接続ページは表示されません。
• 補助デバイスでは、導入アシスタントは使用できません。
• 導入アシスタントを実行すると、HA は無効になります。
• GUI からブリッジを設定する場合は、ブリッジインターフェースで HA を使用できます。ただし、HA の設定後にブリッジモードでアシスタントを実行すると、HA は無効になります。
• リンクアップタイム (専用リンクまたは監視対象ポートの起動にかかる時間) は、3秒です。
• 共有ポートを HA 専用リンクとして使用すると、HA は正しく動作しません。
• プライマリデバイスまたは補助デバイスに管理目的で接続する場合、HA の設定に直接アクセス可能なクライアントを使用する必要があります。たとえば、補助デバイスにアクセスする場合、クライアントの IP と補助デバイスの IP は同じサブネット内にある必要があります。プライマリデバイス経由で補助デバイスにアクセスすることはできません。パケットをプライマリデバイスにルーティングしようとすると、補助デバイスが自身のインターフェースに設定済みの IP を使用してパケットを受信します (補助デバイスがプライマリデバイスの複製であるため)。したがって、要求は処理されません。

フェールオーバー

フェールオーバーが発生したときの動作を以下に示します。

• デバイスが所定時間内に HA ピアから通信を受信しない場合、ピアデバイスはエラーとみなされます。この場合、アクティブデバイスがピアデバイスを引き継ぎます (これを、「デバイスのフェールオーバー」といいます)。
• デバイスのフェールオーバーの検出時間 (ピアタイムアウト) は 4秒です。プライマリデバイスがハートビートパケットの送信を停止した場合、その 4秒後 (250ミリ秒 x 16回のタイムアウト) に、無効であるとみなされます。タイムアウトが 14回発生する前にピアのハートビートを受信した場合は、そのピアはアクティブであるとみなされます。フェールオーバーは、クラスタがアップした時点から 7秒後 (リンクアップタイム 3秒 + デバイスフェールオーバーの検出時間 4秒) に実行されます。フェールオーバーのしきい値は変更できません。

拡張モジュール

Flexi ポートモジュールを既存の HA クラスタに追加するには、以下の手順に従います。

1. 両方のデバイスの電源を切ります。
2. 両方のデバイスに同じ Flexi ポートモジュールを取り付けます。
3. 両方のデバイスの電源を入れます。
4. プライマリデバイスの IP アドレスを使用して、Flexiポートモジュールを設定します。Flexi ポートモジュールに新しく追加した IP は、セカンダリデバイスに同期されますが、IP の設定を再保存するまで、トラフィックはこのインターフェース IP を通過できません。