コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=c_202011251710370116

HA のアーキテクチャと設計

ファイアウォールが仮想 MAC アドレスを割り当てる方法、およびパケットが HA クラスタを通過する方法について説明します。

仮想 MAC の仕組み

HA クラスタは、現在のプライマリ デバイスによって常に所有されている仮想 MAC アドレスを使用します。仮想 MAC アドレスは、クラスタ内のどのインターフェースの物理 MAC アドレスとも異なります。

プライマリデバイスは、仮想 MAC アドレスを使用してクラスタに対する ARP 要求に応答します。補助デバイスはARP要求に一切応答しません。補助デバイスは、そのデバイス自身の物理 MAC アドレスを使用します。

クラスタに接続しているすべてのクライアントは仮想 MAC アドレスを使用します。HA 専用リンク以外の各インターフェースに、仮想 MAC アドレスが 1つあります。

仮想 MAC アドレスは、割り当てたクラスタ ID に基づいて計算されます。したがって、HA クラスタごとに固有の ID を使用する必要があります。

次に、仮想 MAC アドレスがプライマリデバイスに割り当てられ、ARP 要求にどのように応答するかの例を示します。

仮想 MAC アドレスと ARP パケットへの応答を示す図。

パケットフロー

ARP 要求には、プライマリデバイスが仮想 MAC アドレスを使用して応答します。したがって、トラフィックは常にプライマリデバイスに送信されます。プライマリデバイスはパケットを宛先に送信します。プライマリデバイスは、宛先から応答を受信すると、それを送信元に送り返します。

以下の図は、プライマリデバイスによるパケット処理フローを示しています。次のいずれかが可能です。

  • アクティブ-パッシブ: プライマリデバイスがすべてのトラフィックを処理します。
  • アクティブ-アクティブ: プライマリデバイスはパケットを個別に処理します。

プライマリデバイスのパケットフロー。

上の図の IP アドレスは例です。ご利用のネットワークによって、IP アドレスは異なります。