フェールオーバーグループの追加
フェールオーバーグループとは、IPsec 接続の順番を指定し、グループ化したものです。プライマリ接続に障害が発生すると、グループ内の次の有効な接続に自動的に引き継がれます。
フェールオーバーグループのメンバーについて:
- 1つの接続は、1つのグループのみにメンバーとして属することができます。
- 有効な接続だけが、フェールオーバーに参加できます。
- フェールオーバーグループに含まれる接続は削除できません。
- リモートアクセス接続は、フェールオーバーグループに追加できません。
接続と設定について:
- 確立済みの接続をフェールオーバーグループに追加すると切断されます。
- フェールオーバーグループに接続を追加すると、デッドピア検出がオフになり、対応する IPsec プロファイルで鍵のネゴシエーションの試行回数が 3 に設定されます。フェールオーバーの条件に基づき、リモートネットワークが使用可能かどうかがチェックされます。
- グループから接続が削除されると、デッドピア検出を使って、ポリシーで指定した回数だけ、鍵のネゴシエーションが試行されます。
フェールオーバーグループを追加するには、以下の手順に従います。
- 「サイト間 VPN > IPsec」に移動します。
- 「フェールオーバーグループ」までスクロールして、「追加」をクリックします。
- 名前を入力します。
-
少なくとも 2つ以上の接続を選択します。プライマリ接続に障害が発生すると、グループ内の次の有効な接続に自動的に引き継がれます。
注
リモート ID の IP アドレスは、グループ内のすべての接続で同じである必要があります。
-
接続エラーの通知を受け取るには、「メール通知」を選択します。
-
プライマリ IPsec 接続が復旧したら自動的にフェールバックするには、「自動フェールバック」を選択します。
フェールオーバーグループに指定した条件に基づいて、リモートゲートウェイの状態がチェックされます。チェックの実行間隔は、「ネットワーク > WAN リンクマネージャ」の「ゲートウェイフェールオーバーのタイムアウト」で指定します。
リモートゲートウェイが復旧すると、プライマリの IPsec 接続に再び戻ります。プライマリに戻せない場合は、セカンダリ接続が引き続き使用されます。この場合、プライマリ接続を再度チェックして自動フェールバックを行うことはありません。セカンダリ接続のリモートゲートウェイがダウンした場合のみに、プライマリへのフェールバックが行われます。プライマリ接続を手動で復元するには、フェールオーバーグループリストに移動し、グループのステータスボタンをオフにしてから再びオンにします。この操作を行うと、ダウンタイムが発生します。
-
フェールオーバーの状況を指定します。
フェールオーバーの状況にあてはまると、接続エラーとみなされます。両方のファイアウォールで、以下のアクセスを適宜許可する必要があります。
- Ping: 「管理 > デバイスのアクセス」で、WAN ゾーンの「Ping/Ping6」を許可します。
- TCP ポート 22: 「管理 > デバイスのアクセス」で、VPN ゾーンの「SSH」を許可します。セキュリティ上の理由から、WAN で SSH アクセスを許可することは推奨しません。
- 他の TCP ポート: パケットの受信および送信を許可するファイアウォールルールを作成します。
-
「保存」をクリックします。
状態ボタンをクリックして、グループをアクティベートし、プライマリ接続を確立してください。