ゲートウェイの負荷分散とフェールオーバーの設定
Sophos Firewall で、アプライアンスで使用可能な WAN ポートの数に基づいて、複数の ISP アップリンクのロードバランシングとフェールオーバーを設定します。
はじめに
ISP リンクが複数ある場合は、すべての ISP リンクの終端を物理 WAN インターフェースに設定できます。ISP リンクへのトラフィックは、そのリンク用に設定されたゲートウェイに送信されます。
ゲートウェイをアクティブまたはバックアップとして設定できます。
- アクティブ-アクティブ: アクティブなゲートウェイの間で、トラフィックが負荷分散されます。新しいゲートウェイは、デフォルトでアクティブなゲートウェイとして追加されます。そのため、既存の ISP リンクと新しく追加された ISP リンクの間で自動的に負荷分散が行われます。負荷分散には、重み付きラウンドロビンのアルゴリズムが使用され、各リンクに指定された重みに基づいてトラフィックが配分されます。
- アクティブ-バックアップ: 1つまたは複数のゲートウェイをバックアップゲートウェイとして設定し、アクティブなゲートウェイがダウンした場合、使用可能なバックアップゲートウェイにフェールオーバーします。
負荷分散とフェールオーバーは、IPv4 と IPv6 の両方のトラフィックで使用できます。2 つの IPv4 ゲートウェイまたは 2 つの IPv6 ゲートウェイを使用できます。
ネットワーク図は、 1 つの ISP リンクがポート B で終端され、ポート D がバインド解除されたポートであることを示しています。次の手順は、ポート D で別の ISP アップリンクを終了する方法を示しています
ゲートウェイを追加する
バインドされていない物理ポートを設定する必要があります。この例では、 PortD を使用しています。
ゲートウェイを追加するには、以下の手順に従います。
- 「ネットワーク > インターフェース」に移動します。
-
バインドされていないポートを選択し、クリックして設定を編集します。
-
新しいインターフェースの次の情報を入力します。
- ネットワークゾーン: 「WAN」を選択します。
- IPv4 設定: 必要に応じてオンにします。
- IP の割り当て
- IPv4/ネットワークマスク
- ゲートウェイ名
- ゲートウェイ ID
-
「保存」をクリックします。
PortD の設定例:
ゲートウェイがゲートウェイのリストに追加されます。
負荷分散を設定する
新しいゲートウェイのロードバランシングを設定する必要があります。
Sophos Firewall は新しいゲートウェイをアクティブゲートウェイとして追加します。既存のリンクと新しいリンクの間でロードバランシングが自動的に有効になります。
Sophos Firewall はロードバランシングに重み付けラウンドロビンアルゴリズムを使用します。これにより、リンクに重みが割り当てられます。Sophos Firewall は、割り当てられた重みに比例して、リンク間でトラフィックを分散します。
リンクに重みを割り当てるには、次の手順を実行します。
ゲートウェイのフェールオーバーを設定する
ゲートウェイのフェールオーバーは、アクティブ-アクティブとアクティブ-バックアップの両方の構成で設定できます。
アクティブ-アクティブの構成では、アクティブなゲートウェイのいずれかで障害が発生した場合に、別のアクティブなゲートウェイにトラフィックが転送されます。フェールオーバーの条件を設定し、ゲートウェイの障害を検出する方法を指定できます。ゲートウェイを追加すると、デフォルトのフェールオーバールールが以下のように自動的に追加されます。Sophos Firewall が最近追加したゲートウェイ IP アドレスに ping を実行できない場合、ゲートウェイはダウンしていると見なされます。
リンク障害インシデントの間、Sophos Firewall は定期的に接続の状態をチェックして、インターネットサービスが復元されたときに接続を迅速に復元できるようにします。接続が回復し、ゲートウェイが復旧すると、そのアクティブなゲートウェイに自動的に再ルーティングされます。
Sophos Firewall はゲートウェイの状態に関するすべての変更をメールで管理者に通知します。これはログビューアにも表示されます。
アクティブ-バックアップの構成では、アクティブなゲートウェイで障害が発生した場合に、バックアップゲートウェイにトラフィックを転送します。
ゲートウェイのフェールオーバーを設定するには、フェールオーバーの条件を指定するか、または、バックアップゲートウェイに転送するように指定します。
-
フェールオーバーの条件を指定する場合は、以下の手順に従います。
- 「追加」をクリックすると、新しいフェールオーバールールが追加されます。既存のルールを編集することもできます。
-
ルールの詳細を入力します。
このスクリーンショットは、ルールの例を示しています。このルールでは、Sophos Firewall がゲートウェイの IP アドレス 172.16.16.15 に ping を実行できない場合と、ポート 80 経由で 4.2.2.2 に TCP 接続を確立できない場合に、ゲートウェイがダウンしていると見なされるように指定しています。
注
WAN または ISP ベースのゲートウェイの場合は、フェールオーバーが正常に動作するように、8.8.8.8 や 8.8.4.4 など、既知のパブリック IP アドレスを入力する必要があります。Route-Based VPN (RBVPN)、RED、および MPLS インターフェイスタイプに追加されたカスタムゲートウェイの場合、フェールオーバーが正しく動作するように、ゲートウェイの背後に IP アドレスを入力する必要があります。
-
トラフィックをバックアップゲートウェイにリダイレクトするには、次の手順を実行します。
その他のリソース