RED インターフェースの追加
2種類の RED インターフェースを作成できます。設定手順は、作成したインターフェースの種類によって異なります。
- RED のハードウェアモデル: ユーザーインターフェースなしの専用の RED ハードウェア。
- ファイアウォール RED: クライアント/サーバー構成で RED の役割を果たすファイアウォール。ネットワーク設定のみが必要です。
まず、「システムサービス > RED」で RED サービスをオンにする必要があります。
警告
HA クラスタでフェールオーバーが発生した場合、RED トンネルを補助ファイアウォールに再接続する際に遅延が発生します。トンネルの再接続にかかる時間は、インターフェースの数やその他の設定によって異なります。これは、サイト間 RED トンネルおよび RED アプライアンスにあてはまります。
作成するインターフェースの種類に応じて、次のいずれかを実行します。
警告
RED 15、15 (w)、50 はサポート終了となりました。SD-RED 20 または 60 を使用することをお勧めします。
RED ハードウェアモデルにインターフェースを追加します。
次の手順を実行します。
- 「ネットワーク > インターフェース」に移動し、「インターフェースの追加」をクリックして、「RED の追加」を選択します。
- 支社名を入力します。
- リストから RED インターフェースの種類を選択します。
-
RED の設定を指定します。
設定 説明 RED ID RED 識別番号。ID は、デバイスの背面と製品のパッケージに記載されています。 トンネル ID トンネル識別子。どちらのデバイスでも使用されていないトンネルを使用してください。 ロック解除コード プロビジョニングサーバーが、RED の新規設定を受け付けられるようにするためのコード。RED プロビジョニングサーバーは、RED ハードウェアモデルごとに一意のコードを割り当てます。
初めて RED を設定する場合は、ロック解除コードを空白のままにしてください。
ファイアウォールの IP/ホスト名 ファイアウォールのパブリック IP アドレスまたはホスト名。 2つ目のファイアウォールの IP/ホスト名 ファイアウォールの 2つ目のパブリック IP アドレスまたはホスト名。 2つ目の IP/ホスト名の使用: 以下から選択してください。
- フェールオーバー: プライマリホストに障害が発生すると、セカンダリが自動的に引き継ぎます。
- 負荷分散: プライマリホストとセカンダリホスト間でトラフィックを均等に分散します。
デバイスの導入 以下から選択してください。
注
RED デバイスは、Sophos NTP サーバープールと時刻を同期します。ファイアウォールとの TLS ハンドシェイクを行うには、同期が必要です。
オフラインモードのデバイスが時間を更新できるようにするには、インターネットアクセスを許可して NTP サーバーに接続できるようにするか、または、ローカルサービス ACL の例外ルールを作成して、RED が WAN ゾーンからファイアウォールに接続できるようにします。オフラインモードの RED デバイスがファイアウォールに接続しないを参照してください。
-
アップリンク設定を指定します。
設定 説明 アップリンク接続 以下を選択できます。
- DHCP: アドレスを動的に割り当てます。この方法を推奨します。プロビジョニングサービスを使って RED を設定する場合は、RED をいったん DHCP ネットワークに接続して、設定をダウンロードしてください。
- スタティック: スタティック IP アドレスを指定します。このオプションは、DHCP がサポートされていない場合のみ使用してください。
2つ目のアップリンク接続 2つ目の RED アップリンクの方式を選択します。 2つ目のアップリンクモード 以下を選択できます。
- フェールオーバー: プライマリアップリンクに障害が発生すると、セカンダリが自動的に引き継ぎます。
- 負荷分散: プライマリアップリンクとセカンダリアップリンクの間でトラフィックを均等に分散します。
3G/UMTS フェールオーバー WAN のエラーが発生した場合にモバイルネットワークを使用します。サービスプロバイダから設定を取得してください。3G/UMTS フェールオーバーには、USB ドングルが必要です。 注
「RED 操作モード」を「透過/分割」に設定している場合、3G/UMTS フェールオーバーは使用できません。
RED ファームウェア 2.0.018 は D-Link DWM-222 USB アダプタをサポートしていません。
-
RED のネットワーク設定を指定します。
設定 説明 RED 操作モード RED 側のリモートネットワークをローカルネットワークに統合するモードを選択してください。スプリットネットワークは FQDN ホストをサポートしません。
詳しくは、RED 操作モードを参照してください。
RED IP RED の IP アドレス。
既存の RED インターフェースの IP アドレスを RED DHCP サーバーの範囲外に変更すると、RED DHCP サーバーはオフになります。
ゾーン インターフェースに割り当てるゾーン。 DHCP 設定 RED が DHCP をデバイスに提供することを許可します。 RED DHCP 範囲 RED に接続されているデバイス用の DHCP 範囲。 分離ネットワーク リストに載っているネットワーク宛てのトラフィックは、ファイアウォールを経由します。残りのインターネットトラフィックはデフォルトゲートウェイを経由します。残りの内部リソースを要求するトラフィック (分離ネットワーク以外) は、これらのリソースに直接送信されます。 MAC フィルタリングの種類 以下から選択してください。
- 許可リスト: リストに載っているアドレスのみを許可します。
- ブロックリスト: リストに載っているアドレスをブロックします。
許可できる MAC アドレスの最大数については、デバイスの仕様を確認してください。
トンネルの圧縮 トンネルトラフィックを圧縮してスループットを向上させます。 MTU MTU (最大転送ユニット) の値 (バイト)。MTU とは、ネットワークが転送可能なパケットの最大サイズです。指定された値よりも大きなパケットは、送信前に小さなパケットに分割されます。 -
「スイッチの設定」を指定します。
Red 50 および SD-RED 60 デバイスは VLAN をサポートしています。
詳しくは、RED LAN モードを参照してください。
-
「PoE 設定」を指定します。SD-RED 60 の 1つまたは両方の PoE ポートに対して Power over Ethernet をオンにできます。
- 「保存」をクリックします。
2台の Sophos Firewall 間、または Sophos Firewall と Sophos UTM の間に RED トンネル用の RED インターフェースを追加します。
次の手順を実行します。
- 「ネットワーク > インターフェース」に移動し、「インターフェースの追加」をクリックして、「追加」を選択します。
- 支社名を入力します。
-
次のようにオプションを選択します。
- ファイアウォール RED サーバー: このファイアウォールがサーバーです。
- ファイアウォール RED クライアント: このファイアウォールがクライアントです。
- ファイアウォール RED サーバーレガシ: このファイアウォールがサーバーです。
- ファイアウォール RED クライアントレガシ: このファイアウォールがクライアントです。
設定 説明 トンネル ID トンネル識別子。どちらのデバイスでも使用されていないトンネルを使用してください。 ファイアウォールの IP/ホスト名 ファイアウォールのパブリック IP アドレスまたはホスト名。 プロビジョニングファイル クライアントファイアウォールに提供する構成データを含むファイル。 -
RED のネットワーク設定を指定します。
設定 説明 RED IP RED の IP アドレス。
既存の RED インターフェースの IP アドレスを RED DHCP サーバーの範囲外に変更すると、RED DHCP サーバーはオフになります。
RED ネットマスク RED IP アドレスのサブネットマスク。 ゾーン インターフェースに割り当てるゾーン。 トンネルの圧縮 トンネルトラフィックを圧縮します。インターネット接続速度が遅い地域では、RED トラフィックのスループットを高めることができます。 MTU MTU (最大転送ユニット) の値 (バイト)。MTU とは、ネットワークが転送可能なパケットの最大サイズです。指定された値よりも大きなパケットは、送信前に小さなパケットに分割されます。 -
「保存」をクリックします。
既存の RED インターフェースを更新する
次のいずれかの操作を実行できます。
- DHCP サーバーの設定を更新します (「ダイナミック IP リース」、「スタティック IP MAC マッピング」、「DNS」やその他の関連設定など)。
- 新しい IP アドレス範囲の DHCP サーバーをあらためて作成します。
その他のリソース