コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=HA-configuration-active-active-QuickHA-mode

アクティブ-アクティブ HA の構成

QuickHA と対話型構成モードをを使用して、アクティブ-アクティブ HA クラスタで 2 台の Sophos Firewall デバイスを構成できます。

ハードウェアアプライアンス間または仮想アプライアンス間で HA を確立できます。ファイアウォールが次の条件を満たしていることを確認します。

設定モード

QuickHA モード

QuickHA 構成モードでは、各デバイスで初期デバイスの役割ノード名、および専用 HA リンクのみを指定します。事前にデバイスを構成して出荷することができます。デバイスはピアを検出するまで、ピアの検出を試行し続けます。その後、構成を完了し、HA を確立します。

その後、監視対象のポート、キープアライブ値、優先プライマリデバイスなど、その他の設定を変更できます。

対話型モード

対話型モードでは、監視対象のポートやピア管理設定など、すべての設定を指定します。

対話型構成モードでは、最初に補助デバイスを構成し、次にプライマリデバイスを構成します。

設定手順

QuickHA または対話型モードで HA を構成する方法を参照してください。

ポート要件

QuickHA モードでは、ファイアウォールが自動的に一部の HA ポートにインターフェイスを割り当てます。そのため、次の設定を確認してください。

  1. 管理ポート: これによって、Web 管理コンソールにアクセスできるようになります。

    1. 管理ポートに使用するインターフェイスを選択します。ハイエンドのアプライアンスには管理ポートがあります。

      ヒント

      QuickHA は、デバイスの Web 管理コンソールにアクセスするために使用したインターフェイスをピア管理ポートとして割り当てます。たとえば、Web 管理コンソールのアドレスが https://192.168.3.254:4444 で、192.168.3.254 が PortA に割り当てられている場合、両方のデバイスで PortA がピア管理ポートになります。

    2. ネットワーク」 > 「インターフェイス」に移動し、プライマリデバイスと補助デバイスの管理または管理ポートが次のように設定されていることを確認します。

      1. 同じサブネットに属する。異なるサブネットに属している場合、HA を確立することはできません。
      2. IP アドレスが異なる。両方のデバイスで IP アドレスが同じ場合、補助デバイスの Web 管理コンソールにアクセスできません。

    プライマリデバイス:192.168.3.254/24

    補助デバイス:192.168.3.253/24

  2. 専用 HA リンク:構成で使用されているインターフェイスを選択すると、ファイアウォールはインターフェイスの IP アドレスを書き換え、依存関係のある構成を削除します。これは物理、VLAN、LAG インターフェイスに適用されます。

    • 選択するインターフェイスに構成の依存関係がないことを確認してください。
    • 専用 HA リンクのインターフェイスには、静的 IP アドレスのみを使用してください。

    専用 HA リンクと監視対象ポートは、同じインターフェイスを使用できません。

プライマリデバイスでの HA の構成

  1. プライマリデバイスで、「システムサービス」>「高可用性」を選択します。
  2. 初期のデバイスのロール」に対し「プライマリ (アクティブ-アクティブ)」を設定します。
  3. HA 構成モード」で、「QuickHA モード」が選択されていることを確認します。
  4. 任意: クラスタでデバイスを簡単に識別できるように、ノード名を変更します。

  5. ファイアウォールは自動的にパスフレーズを生成します。 変更可能です。

    補助デバイスでこのパスフレーズを入力する必要があります。パスフレーズは、専用 HA リンク上の通信の暗号化に使用する SSH 鍵を生成するために 1 回だけ使用されます。削除されます。

  6. 「専用 HA リンク」で「新規項目の追加」をクリックし、HA デバイス間でデータとハートビート情報を同期するインターフェイスを選択します。リンク冗長性には、最大 4 つのインターフェースが選択できます。以下のオプションを選択できます:

    • 物理インターフェイス、LAG インターフェイス、VLAN インターフェイスを含む DMZ インターフェイス。

    • バインドされていない物理インターフェイス:

      • 単一インターフェイス:ファイアウォールは「HA リンク」という名前を割り当てます。
      • 複数のインターフェイス:ファイアウォールは QuickHA モードで LAG インターフェイスを作成し、「HA 冗長リンク」という名前を割り当てます。

      QuickHA モードでは、ファイアウォールは自動的に DMZ ゾーンとデフォルト IP アドレス 169.254.192.1 をインターフェイスに割り当て、ゾーンの SSH をオンにします。

  7. HA の開始」をクリックします。

補助デバイスでの HA の構成

  1. 補助デバイスの Web 管理コンソールで、「システムサービス」>「高可用性」を選択します。
  2. 初期のデバイスのロール」を「補助」に設定します。
  3. HA 設定モード」を「QuickHA」に設定します。
  4. 任意: ノード名を入力します。
  5. プライマリデバイスで使用したものと同じパスフレーズを入力します。
  6. 「専用 HA リンク」の場合は、「新規項目の追加」をクリックし、プライマリデバイスで選択したのと同じインターフェイスを選択します。

  7. HA の開始」をクリックします。

    高可用性のステータス」で進捗状況を確認できます。詳細は、HA の管理を参照してください。

    補助デバイスの構成は、プライマリデバイスの構成と同期されます。

任意: プライマリでの詳細設定の構成

HA が確立されたら、プライマリデバイスで詳細設定を構成できます。

  1. 「監視対象ポートの選択」で、インターネットに接続する WAN ポートや重要な DMZ サーバーへのポートなど、重要なポートの可用性を監視するオプションを次の中から 1 つ以上選択します。

    • 物理
    • LAG インターフェイス
    • VLAN が構成されている場合は、バインドされていないインターフェイス。バインドされていないインターフェイスで VLAN が構成されていない場合は選択できません。

    監視対象ポートが停止した場合、そのデバイスは利用不可と認識され、フェールオーバーが発生します。

  2. 補助デバイスの Web 管理コンソールにアクセスするには、次のピア管理者設定を指定します。

    1. インターフェイス」を選択します。
    2. IPv4 アドレス」または「IPv6 アドレス」を入力します。

  3. 優先プライマリデバイス」で、いずれかの HA デバイスを選択します。

    このデバイスは、フェールオーバーから復帰した際に、自動的にプライマリデバイスになります。詳細は、プライマリデバイスへのフェールバックを参照してください。

  4. キープアライブの要求間隔」をミリ秒単位で入力します。

    デバイスは、設定された間隔で専用リンクポートを介してピアデバイスにハートビートを送信します。ハートビートは、ピアデバイスが使用可能かどうかを判断するために使用されます。

    デフォルト: 250

  5. キープアライブの試行」回数を指定します。

    デフォルト: 16

    たとえば、キープアライブの要求間隔を 250 ms に設定し、キープアライブの試行回数を 8 に設定した場合、250 x 8 = 2 秒経過すると、ダウンしていると判断されます。

    スタンドアロン」および「障害」ステータスではデバイスには、キープアライブ間隔およびキープアライブ試行を設定できません。

  6. 仮想アプライアンスの場合は、「ホストまたはハイパーバイザーで割り当てられた MAC アドレスを使用」を選択して、ハイパーバイザーによって割り当てられた MAC アドレスを使用します。

    vSwitch の無差別モードをオンにする必要はありません。このチェックボックスを選択しない場合は、MAC アドレスの変更を許可するを参照してください。

    仮想 MAC アドレスの選択をオンまたはオフにすると、インターフェイスの構成が更新され、ダウンタイムが発生します。

  7. HA の開始」をクリックします。

    プライマリデバイスが変更を補助デバイスに同期します。

警告

デバイスがピアを検出し、HA を確立しているときには、QuickHA の検出を停止できません。

ポート要件

対話型モードで、次の設定を確認します。

  1. 管理ポート:「ネットワーク」 > 「インターフェイス」に移動し、プライマリデバイスと補助デバイスの管理または管理ポートが次のように設定されていることを確認します。

    1. 同じサブネットに属する。異なるサブネットに属している場合、HA を確立することはできません。
    2. IP アドレスが異なる。両方のデバイスで IP アドレスが同じ場合、補助デバイスの Web 管理コンソールにアクセスできません。

    プライマリデバイス:192.168.3.254/24

    補助デバイス:192.168.3.253/24

  2. 専用 HA リンク:ファイアウォールは、選択したインターフェイスの依存関係にある構成を削除します。

    • 選択するインターフェイスに構成の依存関係がないことを確認してください。
    • 専用 HA リンクのインターフェイスには、静的 IP アドレスのみを使用してください。

デバイスアクセス

  1. 管理」>「デバイスアクセス」を選択します。
  2. SSH」で「DMZ」を選択します。

  3. 適用」をクリックします。

    ファイアウォールは HA パスフレーズを使用し、HA デバイスの専用 HA リンク間で SSH トンネルを確立します。

補助デバイスでの HA の構成

対話型モードでは、まず補助デバイスを構成することをお勧めします。これにより、プライマリデバイスによるピア検出がタイムアウトしなくなります。

  1. プライマリデバイスの Web 管理コンソールにサインインします。
  2. システムサービス > 冗長化 (HA)」に移動します。
  3. 初期のデバイスのロール」を「補助」に設定します。
  4. HA 設定モード」を「対話型モード」に設定します。
  5. 任意: クラスタでデバイスを簡単に識別できるように、ノード名を変更します。

  6. ファイアウォールは自動的にパスフレーズを生成します。変更可能です。

    プライマリデバイスでこのパスフレーズを入力する必要があります。パスフレーズは、専用 HA リンク間の通信の暗号化に使用される SSH 鍵を生成するために 1 回だけ使用されます。削除されます。

  7. 対話型モードでは、ファイアウォールは自動的に最初の DMZ インターフェイスを専用 HA リンクとして選択します。次の DMZ インターフェイスのいずれかに変更できます。

    • 物理インターフェース
    • VLAN インターフェース
    • LAG インターフェイス:まず、「ネットワーク」>「インターフェイス」で LAG インターフェイスを構成し、それをここで選択する必要があります。

    専用 HA リンクは、HA デバイス間でデータ情報とハートビート情報を同期します。選択したインターフェイスは、「ネットワーク」 > 「インターフェイス」で確認できます。

    警告

    ファイアウォールはインターフェイスの既存の構成を削除します。

  8. 保存」をクリックします。

プライマリデバイスでの HA の構成

  1. プライマリデバイスの Web 管理コンソールにサインインします。
  2. システムサービス > 冗長化 (HA)」に移動します。
  3. 初期のデバイスのロール」に対し「プライマリ (アクティブ-アクティブ)」を設定します。
  4. HA 設定モード」を「対話型モード」に設定します。

  5. 任意: 「クラスタ ID」でこの HA クラスタを識別する番号を入力します。

    ファイアウォールは、この ID をクラスタ内の両方のデバイスに自動的に割り当てます。ネットワークで複数の HA クラスタが構成されている場合は、仮想 MAC アドレスの競合を防ぐために、各クラスタに異なる ID を割り当てます。詳細は、HA モードとデバイスの役割を参照してください。

  6. 任意: ノード名を変更します。

  7. ファイアウォールは自動的にパスフレーズを生成します。補助デバイスからコピーしたパスフレーズを貼り付けます。
  8. 「HA」で、補助デバイスで選択したのと同じ専用 HA リンクポートを選択します。たとえば、補助デバイスで PortE を指定した場合は、ここでも PortE を選択します。
  9. 専用ピア HA リンク IPv4 アドレス」で、補助デバイスの専用 HA リンクアドレスを入力します。

両方のデバイスの専用 HA リンク IP アドレスが同じサブネットに属していることを確認してください。

  1. 任意: 「監視対象ポートの選択」で、インターネットに接続する WAN ポートや重要な DMZ サーバーへのポートなど、重要なポートの可用性を監視するオプションを次の中から 1 つ以上選択します。

    • 物理インターフェース
    • LAG インターフェイス
    • VLAN が構成されている場合は、バインドされていないインターフェイス。バインドされていないインターフェイスで VLAN が構成されていない場合は選択できません。

    監視対象ポートが停止した場合、そのデバイスは利用不可と認識され、フェールオーバーが発生します。

  2. 補助デバイスの Web 管理コンソールにアクセスするには、次のピア管理者設定を指定します。

    1. インターフェイス」を選択します。
    2. IPv4 アドレス」または「IPv6 アドレス」を入力します。

  3. 優先プライマリデバイス」で、いずれかの HA デバイスを選択します。

    このデバイスは、フェールオーバーから復帰した際に、自動的にプライマリデバイスになります。詳細は、プライマリデバイスへのフェールバックを参照してください。

  4. キープアライブの要求間隔」をミリ秒単位で入力します。

    デバイスは、設定された間隔で専用リンクポートを介してピアデバイスにハートビートを送信します。ハートビートは、ピアデバイスが使用可能かどうかを判断するために使用されます。

    デフォルト: 250

  5. キープアライブの試行」回数を指定します。

    デフォルト: 16

    たとえば、キープアライブの要求間隔を 250 ms に設定し、キープアライブの試行回数を 8 に設定した場合、250 x 8 = 2 秒経過すると、ダウンしていると判断されます。

    スタンドアロン」または「障害」ステータスではデバイスには、キープアライブ間隔およびキープアライブ試行を設定できません。

  6. 仮想アプライアンスの場合は、「ホストまたはハイパーバイザーで割り当てられた MAC アドレスを使用」を選択して、ハイパーバイザーによって割り当てられた MAC アドレスを使用します。

    vSwitch の無差別モードをオンにする必要はありません。このチェックボックスを選択しない場合は、MAC アドレスの変更を許可するを参照してください。

    仮想 MAC アドレスの選択をオンまたはオフにすると、インターフェイスの構成が更新され、ダウンタイムが発生します。

  7. HA の開始」をクリックします。

    プライマリデバイスがその構成を補助デバイスにプッシュします。

CLI で HA の詳細を表示するには、コマンド system ha show details を入力します。