HA の要件
HA を設定する際は、以下の要件を満たす必要があります。
デバイスとファームウェア
- HA クラスタに含まれるデバイス (プライマリデバイスと補助デバイス) は、同じモデルとリビジョンである必要があります。たとえば、XG 210 rev3 は、別の XG 210 rev3 にのみ接続できます。XG 210 を XG 230 や SG 210 に接続することはできません。
- すべてのデバイスのポート (インターフェース) の数が同じであること。Flexi ポート拡張モジュールが取り付けられている場合、それも数に含まれます。
- 両方のデバイスに同じバージョンのファームウェアがインストールされている必要があります。メンテナンスリリースとホットフィックスも同じにしてください。
注
ワイヤレスモデルでは HA はサポートされていません。
ネットワークとアクセスポリシー
- 両方のデバイスで、すべての監視対象ポートにケーブルを接続する必要があります。
- 両方のデバイスで、HA 専用リンクポートが DMZ ゾーンのメンバーであり、固有の IP アドレスを持っている必要があります。
- 両方のデバイスで、DMZ ゾーンの SSH をオンにする必要があります。
- プライマリデバイスおよび補助デバイスの HA リンクポートの IP アドレスが、同じサブネット内にあることを確認してください。
- HA の設定を行う際、HA インターフェースの DHCP および PPPoE を無効にする必要があります。
- スパニングツリープロトコル (STP) を使用しているイーサネットスイッチに HA デバイスを接続する場合は、接続先のスイッチポートのリンクアクティベーション時間を調整する必要があります。たとえば、Cisco Catalyst シリーズのスイッチの場合、Sophos Firewall インターフェースの接続先の各ポートでスパニングツリー portfast をオンにします。つまり、Sophos Firewall の接続先のスイッチポートで portfast をオンにし、スパニングツリープロトコル (STP) と RSTP の両方をオフにする必要があります。
- HA 専用リンクの速度と MTU-MSS はデフォルトにする必要があります。
- HA リンクの遅延は、距離に応じて増加します。HA 専用リンクのスパニングツリープロトコル (STP) を無効にすることが推奨されます。
制限事項
1U XGS シリーズのファイアウォールで、HA 専用ポートとして Flexi ポートを使用すると、HA は自動的に確立されません。この問題を解決するには、1U XGS シリーズのファイアウォールで FleXi ポートを HA 専用リンクとして使用すると、HA を確立できないを参照してください。
ライセンス
- HA の初期セットアップ時に、ライセンスサブスクリプションがあるファイアウォールをプライマリノードとして設定する必要があります。
- デバイスを登録する必要があります。
- アクティブ-アクティブモードでは、両方のデバイスにライセンスが必要になります。ゼロデイ対策は、各デバイスの有効期限に関わらず HA 設定に影響しません。
- アクティブ-パッシブモードでは、プライマリデバイスにのみライセンスが必要です。補助デバイスのライセンスは必要ありません。
- ソフトウェアデバイスまたは仮想デバイスを使用する場合は、基本ライセンスを 1つだけ購入します。シリアル番号を登録すると、SFOS がパッシブデバイスを作成します。パッシブデバイスに対して基本ライセンスを別途購入する必要はありません (別のシリアル番号は不要です)。この場合、設定アシスタントを使用してデバイスを HA に追加します。
サポートされていない設定
HA クラスタでは、以下はサポートされていません。
- DHCP および PPPoE: DHCP または PPPoE を使用してインターフェースを動的に設定している場合は、アクティブ-パッシブモードのみを使用できます。アクティブ-アクティブモードは使用できません。携帯 WAN の設定は、どの HA モードでもサポートされていません。
- HA 専用ポートのエイリアス IP アドレスまたは VLAN。
- 専用ポートでの MAC アドレスの上書き。
- アクティブ-アクティブモードでの、インターフェースの動的な IP アドレス割り当て。
- アクティブ-パッシブモードでの、動的インターフェースを使用したセッションフェールオーバー。
- HA 専用インターフェースでの LAG (LACP または LLDP)。