コンテンツにスキップ

DNS の受信トラフィックの負荷分散とフェールオーバーの設定

Sophos Firewall の背後でホストされている単一の Web サイトに複数の DNS ホストエントリを追加して、DNS の受信トラフィックの負荷分散を有効にできます。

概要

Sophos Firewall は DNS ネームサーバーとして機能し、URL をリクエストしたエンドポイントコンピュータに対して、URL を解決するための A レコードを提供します。ファイアウォールの背後でホストされる単一の Web サイトに複数の DNS ホストエントリを追加すると、DNS の受信トラフィックを複数の WAN リンクに分散し、到達不能のインターフェースやデッドインターフェースのフェールオーバーを提供できます。

はじめに

この記事では、Web サイト www.example.com に対するすべてのリクエストが WAN リンク IP アドレスの 10.10.10.1 または 20.20.20.1 のいずれかに解決されるように、スタティック DNS ホストエントリを設定する方法について説明します。いずれかのリンクに障害が発生した場合、すべてのリクエストがアクティブインターフェースの IP アドレスに解決されます。これにより、DNS の受信トラフィックの負荷分散およびフェールオーバーが容易になります。

www.example.com に対するユーザーリクエストの処理の流れを次の図に示します。

ネットワーク図。

  1. エンドポイントコンピュータが、http://www.example.com の IP アドレスのリクエストをローカル DNS サーバーに送信します。
  2. ローカル DNS サーバーは、このリクエストを権威 DNS サーバーに転送します。
  3. 権威 DNS サーバーは、事前登録済みの NS レコード ns1.example.com と ns2.example.com をローカル DNS サーバーに返し、リクエストを直接 Sophos Firewall にリダイレクトします。
  4. 次に、ローカル DNS サーバーは Sophos Firewall に http://www.example.com の IP アドレスを尋ねるクエリを送信します。このクエリは、アクティブな WAN リンクのいずれかを経由してファイアウォールに到達します。
  5. Sophos Firewall は、リクエストを受信したインターフェースの WAN IP アドレスである 20.20.20.1 をローカル DNS サーバーに返します。
  6. ローカル DNS サーバーは、Sophos Firewall から取得した IP アドレス 20.20.20.1 をエンドポイントコンピュータに返します。
  7. エンドポイントコンピュータはこれを受け、HTTP リクエスト http://20.20.20.1 を使って、www.example.com にアクセスします。
  8. www.example.com をホストしている Web サーバー 172.16.16.5 (ファイアウォール内の DNS スタティックホストエントリによって WAN リンク 10.10.10.1 と 20.20.20.1 の両方にバインドされている) が、エンドポイントコンピュータの HTTP リクエストに対して適切なコンテンツを返します。

前提条件

Sophos Firewall がネームサーバーとして機能し、その背後でホストされているドメインの A レコードを提供するには、対応する NS レコードを ISP の権威 DNS に登録し、ファイアウォールの WAN リンクをポイントするようにする必要があります。このようにすることで、ISP の DNS がエンドポイントコンピュータから組織ドメインの DNS クエリを受信したときに、そのリクエストをファイアウォールに転送するようになります。

WAN ゾーンの DNS をオンにする

ファイアウォールの背後にある Web サーバーの DNS ネームサーバーとして Sophos Firewall を使用するには、WAN ゾーンの DNS をオンにする必要があります。次の手順を実行します。

  1. 管理 > デバイスのアクセス」に移動します。
  2. WAN ゾーンの DNS を選択します。
  3. 適用」をクリックします。

DNS ホストエントリの追加

次に、ファイアウォールによってホストされている Web サイトの DNS ホストエントリを設定する必要があります。複数の WAN IP アドレスを指定して、負荷分散とフェールオーバーをオンにします。次の手順を実行します。

  1. ネットワーク > DNS」の順に選択します。
  2. DNS ホストエントリ」セクションにスクロールして、「追加」をクリックします。
  3. ホスト/ドメイン名」に www.example.com と入力します。
  4. IP アドレス」に 10.10.10.1 と入力します。
  5. WAN 上で発行」をオンにします。
  6. 追加 追加。 をクリックして、2番目のアドレスを追加します。
  7. 2番目の IP アドレスに 20.20.20.1 と入力します。
  8. WAN 上で発行」をオンにします。

    DNS ホストエントリの追加。

  9. 保存」をクリックします。

制限

DNS の負荷分散およびフェールオーバーには、次の制約が適用されます。

  • 最大 8つのアドレスを使用できます。
  • サポートされている DNS の最大エントリ数は 1024 です。
  • サポートされている DNS レコードの種類は「A」、「AAAA」、「PTR」です。
    • アドレス (A) レコードは、ホスト名から 32 ビットの IPv4 アドレスを特定して返します。
    • AAAA レコードは、ホスト名から 128 ビットの IPv6 アドレスを特定して返します。
    • ポインタレコード (PTR) は逆引き参照に使用されます。ポインタレコードは IP アドレスをホスト名にマップします。
  • デバイスインターフェースを DNS ネームサーバーとして使用している場合、ROOT サーバーより先に、設定済みの DNS サーバーにクエリが送信されます。