コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=HA-ports

HA ポートの展開

専用 HA リンク、監視対象ポート、管理ポートなど、HA で使用されるポートがネットワーク内で接続され、構成要件を満たしていることを確認してください。

  • HA ポート

    • 専用 HA リンク:デバイスと接続のステータス、負荷分散情報を送信し、ファイアウォールの同期を実行します。
    • 監視対象のポート:デバイスはポートのステータスに基づいて可用性を決定します。
    • 管理ポート:Web 管理コンソールへのアクセスを許可します。

ファイアウォールのポートに接続されているスイッチの RSTP モードをオンにすることをお勧めします。

専用 HA リンク

専用 HA リンクは HA デバイスを接続し、次の暗号化通信に使用されます。

  • デバイス間でハートビートパケットを送信して、デバイスのステータスを通知する。
  • デバイス間で接続ステータスを共有する。
  • プライマリデバイスから補助デバイスに負荷分散情報を送信する。
  • デバイス間でファイアウォール設定を同期する。

専用 HA リンクはトラフィックを処理しません。

SSH トンネル

SSH トンネルは、HA 構成のパスフレーズを使用して、デバイスの専用 HA リンク間で確立されます。パスフレーズはトンネルが確立された後に削除されます。後で別のデバイスでセキュアなトンネルを確立するために使用することはできません。したがって、クラスタ内のファイアウォールを置き換える場合は、HA を無効化して再構成する必要があります。

SSH トンネルを確立するには、専用 HA リンクが DMZ ゾーン内にあり、そのゾーンで SSH が有効になっている必要があります。

必要な作業

  1. 計画プロセス中に、専用 HA リンクのインターフェイスを記録します。物理インターフェイス、ブリッジインターフェース、または LAG インターフェイスを指定できます。

  2. インターフェイスを接続する:次のいずれかのオプションを使用して、2 台のデバイスの専用 HA リンクインターフェイスを相互に接続します。

    • 2 台のデバイス間をイーサネットケーブルで直接接続することをお勧めします。これにより、ネットワークの問題によるハートビート送信の妨害が解消され、HA フェールオーバーが可能になります。詳細は、フェールオーバーを参照してください。
    • あるいは、スイッチや vSwitch などのネットワークデバイス経由で接続することもできます。

  3. ポート間マッピング:デバイス間にポート間マッピングがあることを確認してください。LAG インターフェイスを選択した場合、その親インターフェイスがは同じでなければなりません。

監視対象のポート

監視対象ポートは物理インターフェイスです。各 HA デバイスは、各自の監視対象ポートを監視して、可用性を判断します。監視対象のポートが 1 つでも利用不能になると、フェールオーバーが発生します。

ポート監視により、ネットワークに重要なインターフェイスに問題が発生した場合に、フェールオーバーが確実に実行されます。フェールオーバーが発生すると、補助デバイスが処理を引き継ぎ、トラフィックを処理することで、重要なトラフィックが引き続き送信されます。監視対象ポートを何も選択しない場合、HA は引き続き動作します。フェールオーバーは HA のハートビートの問題やデバイスまたは電源の故障など、他の理由でのみ発生します。

ヒント

これらのポートのいずれかが利用できなくなった場合にフェールオーバーを保証するため、ネットワークトラフィックに重要なポートを選択することをお勧めします。

一般的に、インターネットに接続する WAN ポートや、重要なサーバーに接続する DMZ ポートが監視対象ポートとして選択されます。そのため、インターネットがダウンしたり、インターフェイスが利用できなくなったりした場合にはフェールオーバーが発生し、継続的なトラフィックの流れが確保されます。

必要な作業

  1. 計画プロセス中に、監視対象のポートの物理インターフェイスを記録します。
  2. 両方のデバイスのすべての監視対象のポートをネットワークに接続します。

  3. ネットワーク」>「インターフェイス」に移動し、すべてのインターフェイスが「接続済み」ステータスになっていることを確認します。

    警告

    監視対象のポートが 1 つでもルーターやスイッチに接続されていない場合、HA を確立できません。HA を確立した後に、監視対象のポートが 1 つでも利用不可能になると、デバイスによって利用不可能であると判断され、フェールオーバーが発生します。

管理ポート

これらは、プライマリデバイスおよび補助デバイスの Web 管理コンソールにアクセスできる管理ポートです。

エンドポイントが同じサブネットに属している場合にのみ、補助デバイスの Web 管理コンソールにアクセスできます。