コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=HA-virtual-mac-address

HA トラフィックフロー

すべてのトラフィックは、アクティブ-パッシブモードとアクティブ-アクティブモードの両方で、HA クラスタのプライマリデバイスと通信します。

アクティブ-アクティブモードでは、プライマリデバイスが負荷分散を決定し、補助デバイスにトラフィックを送信します。詳細は、負荷分散を参照してください。

仮想 MAC アドレス

HA を開始すると、ファイアウォールはプライマリデバイスのインターフェイスに仮想 MAC アドレスを割り当てます。これらのアドレスは、専用 HA リンクインターフェイスと管理ポート以外のすべての物理インターフェイスに割り当てられます。

仮想 MAC アドレスは、インターフェイスの物理 MAC アドレスとは異なります。

ARP 要求に応答して、プライマリデバイスでこれらのアドレスが共有されます。クラスタへの ARP 要求に応答するのはプライマリデバイスのみです。

専用 HA リンクは、プライマリデバイスとの通信にリンク自体の物理 MAC アドレスを使用します。フェールオーバーが発生すると、補助デバイスは仮想 MAC アドレスを使用してトラフィック要求に応答します。フェールオーバー後も MAC アドレスと IP アドレスは変更されないため、ネットワークデバイスは引き続きクラスタと通信します。

ヒント

仮想 HA 環境で vSwitch の無差別モードをオンにせずに済むように、仮想 MAC アドレスを使用する代わりに、ハイパーバイザーによって割り当てられた MAC アドレスを保持することができます。ファイアウォールの HA 構成で、「ホストまたはハイパーバイザーで割り当てられた MAC アドレスを使用」を選択できます。

ファイアウォールは、割り当てたクラスタ ID に基づいて仮想 MAC アドレスを生成します。ネットワークで複数の HA クラスタが構成されている場合は、仮想 MAC アドレスの競合を防ぐために、各クラスタに異なる ID を割り当てます。

次の例は、HA クラスタにおける ARP 要求と応答の例です。

仮想 MAC アドレスと ARP パケットへの応答を示す図。

パケットフロー

トラフィック要求は常にプライマリデバイスに送信されます。

次の例は、プライマリデバイスがトラフィックを処理する例です。

プライマリデバイスのパケットフロー。

上の図の IP アドレスは例です。ご利用のネットワークによって、IP アドレスは異なります。