コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=HA-configuration

インターフェイス要件

HA を構成する前に、ファイアウォールがインターフェイス要件を満たしていることを確認してください。

ファイアウォールのインターフェイス

HA をサポートする物理インターフェイスと仮想インターフェイスの設定を参照してください。HA は一部のインターフェイス設定をサポートしていますが、これらの設定を専用 HA リンクまたは管理ポートに割り当てることはできません。

インターフェースの種類 アクティブ-パッシブ アクティブ-アクティブ

DHCP

DHCP プレフィックスの委任

専用 HA リンクと管理ポートには、静的 IP アドレスのみを使用してください。

すべてのインターフェイスに静的 IP アドレスのみを使用してください。
PPPoE

セッションフェールオーバーは発生しません。

専用 HA リンクと管理ポートには、静的 IP アドレスのみを使用してください。

すべてのインターフェイスに静的 IP アドレスのみを使用してください。
ブリッジインターフェース

専用 HA リンクには使用できません。

専用 HA リンクには使用できません。
エイリアス IP アドレス

専用 HA リンクには使用できません。

専用 HA リンクには使用できません。

ブレークアウトインターフェース

プライマリデバイスのブレイクアウトインターフェイス構成が補助デバイスと同期される仕組みを参照してください。

  • プライマリデバイスでブレイクアウトインターフェイスを設定する場合:プライマリデバイスを再起動して設定を適用し、補助デバイスを再起動します。
  • プライマリデバイスにブレイクアウトインターフェイスがある:ブレイクアウト設定が補助デバイスに同期された後、設定を有効にするために補助デバイスを再起動します。
  • プライマリデバイスにブレイクアウトインターフェイスがない:補助デバイスのブレイクアウトインターフェイス設定は、同期中に削除されます。

HA ポートの設定

専用 HA リンク

  1. 専用 HA リンクに使用する DMZ ポートを特定します。物理、VLAN、LAG インターフェイスにすることができます。

    1. 依存関係がある構成:依存関係のある構成がないことを確認してください。このような構成は、HA が開始されると削除されます。
    2. IP アドレス: プライマリデバイスと補助デバイスで、同じサブネットに属しているが、異なる IP が割り当てられていることを確認してください。
    3. IP の割り当て:これらのインターフェイスには、静的 IP アドレスのみを割り当てます。

  2. ポートおよびインターフェイスの設定:専用 HA リンクポートの詳細設定を指定するには、「ネットワーク」>「インターフェイス」を選択し、「インターフェイスの詳細設定」をクリックして、次の手順を実行します。

    1. ポート設定」を指定します。

      • 高速 (25、50、100 GbE) ポート。XGS 8500 および XGS 7500 シリーズファイアウォールに適用されます。

        1. リンクモード: 接続されたデバイスと同じポート速度とデュプレックスを選択します。スイッチなどのネットワークデバイスの接続ポート、またはピア HA デバイスの専用 HA リンクの場合があります。
        2. 保存」をクリックして、アプライアンスに設定を適用します。

        3. インターフェイスを編集し、「推奨設定の表示」をクリックします。「推奨設定の読み込み」をクリックすると、ネゴシエーションと前方誤り訂正 (FEC) の設定が自動的に読み込まれます。「保存」をクリックします。

          推奨設定が空の場合は、メディアタイプと FEC の自動ネゴシエーションをオフにします。

      • 他のポートについては、リンクモードを「自動」に設定するか、接続されているネットワークデバイスまたはピアデバイスと同じポート速度とデュプレックスを設定します。

    2. インターフェイス設定で、デフォルトの「MTU」と「MSS」オプションを使用します。

    QuickHA モードで専用 HA リンクにバインドされていないインターフェイスを選択した場合は、HA を構成した後に詳細設定を確認してください。ファイアウォールはこれらのインターフェイスを DMZ に割り当て、詳細設定をリセットします。

    詳細は、物理インターフェースの設定を参照してください。

監視対象のポート

  1. 専用 HA リンクポートと異なる監視ポートを特定します。
  2. これらのインターフェイスには静的 IP アドレスのみを使用してください。

管理ポート

管理ポートは、プライマリおよび補助の Web 管理コンソールにアクセスするための管理または管理インターフェイスです。

小規模アプライアンスで使用される標準ポートと、大規模アプライアンスで使用される管理ポートでは、Web 管理コンソールのデフォルト IP アドレスが異なります。デフォルトのアドレスは次のとおりです。

  • その他のポート:172.16.16.16
  • 管理ポート (PortMGMT):10.0.1.1

プライマリデバイスの管理 IP アドレスを使用して、補助デバイスの Web 管理コンソールにアクセスすることはできません。その場合は、次の手順を実行します。

  1. 両方のデバイスの管理または管理ポートで使用するサブネットを特定します。

  2. 各デバイスの管理ポートについて、このサブネット内の異なる IP アドレスを特定します。

    両方のデバイスで同じ IP アドレスを使用している場合、補助デバイスの Web 管理コンソールにアクセスできません。

  3. これらのインターフェイスには静的 IP アドレスのみを使用してください。

管理」>「デバイスアクセス」でゾーンから HTTPS へのアクセスを許可している場合、どのゾーンからでもプライマリデバイスの Web 管理コンソールにアクセスできます。

補助デバイスの Web 管理コンソールにアクセスするには、エンドポイントが補助デバイスと同じサブネット内に存在する必要があります。