コンテンツにスキップ

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/20.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=HA-requirements

HA の要件

HA を構成する際は、以下の要件を満たす必要があります。

デバイスとファームウェア

  • HA クラスタに含まれるデバイス (プライマリデバイスと補助デバイス) は、同じモデルとハードウェアリビジョンにする必要があります。たとえば、XG 210 は、別の XG 210 にのみ接続できます。XG 210 を XG 230 や SG 210 に接続することはできません。

ハードウェアリビジョンの制限は、XG シリーズのファイアウォールにのみ適用されます。HA クラスタで XGS シリーズのファイアウォールを使用できるのは、モデルが同じでハードウェアリビジョンが異なる場合です。たとえば、HA では、XGS デスクトップの R2 および R3 モデルを使用できます。

  • すべてのデバイスのポート (インターフェース) の数が同じであること。Flexi ポート拡張モジュールが取り付けられている場合、それも数に含まれます。
  • 両方のデバイスに同じバージョンのファームウェアがインストールされている必要があります。メンテナンスリリースとホットフィックスも同じにしてください。
  • Sophos Central で既にスタンドアロンファイアウォールを管理している場合は、ファイアウォールの登録を一度解除し、HA を設定してから、Sophos Central 管理用に再登録することを推奨します。これにより、必要に応じて HA ペアを Sophos Central の別のグループに移動できます。詳細は、Sophos Central での HA ペアの管理を参照してください。

ワイヤレスモデルは高可用性をサポートしていません。

ネットワーク要件

  • 両方のデバイスで、すべての監視対象ポートにケーブルを接続する必要があります。

  • 専用 HA リンクは、両デバイスで一意の IP アドレスを持つ必要があり、次のいずれかにできます。

    • DMZ またはバインドされていない物理インターフェース
    • LAG インターフェースまたは VLAN インターフェース

  • 両方のデバイスで、DMZ ゾーンの SSH をオンにする必要があります。

  • プライマリデバイスと補助デバイスの専用 HA リンクインターフェースの IP アドレスが、同じサブネット内にあることを確認してください。
  • HA を設定する前に、HA インターフェース上で DHCP および PPPoE をオフにする必要があります。
  • スパニングツリープロトコル (STP) を使用しているイーサネットスイッチに HA デバイスを接続する場合は、接続先のスイッチポートのリンクアクティベーション時間を調整する必要があります。たとえば、Cisco Catalyst シリーズのスイッチの場合、Sophos Firewall インターフェースの接続先の各ポートでスパニングツリーの port-fast をオンにしなければなりません。つまり、Sophos Firewall の接続先のスイッチポートで port-fast をオンにし、スパニングツリープロトコル (STP) と RSTP の両方をオフにする必要があります。
  • HA 専用リンクの速度と MTU-MSS はデフォルトにする必要があります。
  • HA リンクの遅延は、距離に応じて増加します。専用 HA リンクのスパニングツリープロトコル (STP) を無効にすることが推奨されます。
  • HA を確立するには、HA インターフェースがアクティブであり、ネットワークケーブルが両デバイスに接続され、補助デバイスを到達可能にする必要があります。これらの条件が 1 つでも満たされない場合は、「HA を有効にできませんでした」というエラーメッセージが表示されます。
  • HA クラスタにブレークアウトインターフェースがある場合は、冗長化 (HA)を参照してください。

制限事項

1U XGS シリーズのファイアウォールで、HA 専用ポートとして Flexi ポートを使用すると、HA は自動的に確立されません。この問題を解決するには、1U XGS シリーズのファイアウォールで FleXi ポートを HA 専用リンクとして使用すると、HA を確立できないを参照してください。

ライセンス

  • HA の初期セットアップ時に、ライセンスサブスクリプションがあるファイアウォールをプライマリノードとして設定する必要があります。
  • デバイスを登録する必要があります。
  • アクティブ-アクティブモードでは、両方のデバイスにライセンスが必要になります。ゼロデイ対策は、各デバイスの有効期限に関わらず HA 設定に影響しません。
  • アクティブ-パッシブモードでは、プライマリデバイスにのみライセンスが必要です。補助デバイスのライセンスは必要ありません。
  • ソフトウェアデバイスまたは仮想デバイスを使用する場合は、基本ライセンスを 1つだけ購入します。プライマリデバイスのシリアル番号を登録すると、SFOS によって補助デバイスが作成されます。補助デバイス用に別のベースファイアウォールライセンスや別のシリアル番号を購入する必要はありません。この場合、設定アシスタントを使用してデバイスを HA に追加します。

制限事項

物理デバイスをアクティブ-パッシブモードで構成する場合、ネットワークインターフェースを設定するには、パッシブノードでライセンスをアクティベートする必要があります。これには評価版ライセンスを使用できます。評価版ライセンスがすでに使用されている場合 (デバイスがリセットされている場合など)、カスタマーケアに連絡して新しい評価版ライセンスを取得する必要があります。

サポートされていない設定

HA では、以下の構成はサポートされていません。

  • DHCP および PPPoE: インターフェイスが DHCP または PPPoE を使用して動的に設定される場合、次が適用されます。

    • アクティブ-アクティブモード: 対応していません。
    • アクティブ-パッシブモード: サポートされていますが、セッションフェイルオーバーはサポートされていません。

  • セルラー WAN がオンになっている場合は、HA を設定できません。

  • エイリアス IP アドレスは、専用 HA ポートではサポートされていません。
  • 専用 HA ポートの MAC アドレスを上書きすることはできません。