コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.0/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=ha-startup-guide-connect-spare

アクティブ-パッシブ HA で新しい仮想補助デバイスを接続します。

アクティブ-パッシブ HA で、新しい仮想補助デバイスをセットアップすると、自動的に HA を確立できます。プライマリデバイスで HA を開始し、新しい仮想アプライアンスを HA 予備として接続する必要があります。

両方が既存のファイアウォールである場合、QuickHA または対話型モードを使用して HA を確立することができます。

アクティブ-アクティブ HA では、各デバイスで HA を構成します。

デバイスアクセス

  1. 管理」>「デバイスアクセス」を選択します。
  2. SSH」で「DMZ」を選択します。

  3. 適用」をクリックします。

    ファイアウォールは HA パスフレーズを使用し、HA デバイスの専用 HA リンク間で SSH トンネルを確立します。

プライマリで HA を構成する

  1. プライマリデバイスの Web 管理コンソールにサインインします。
  2. システムサービス > 冗長化 (HA)」に移動します。

  3. 初期デバイスの役割」で、以下のオプションのいずれかを選択します。

    • プライマリ (アクティブ-パッシブ)
    • プライマリ (アクティブ-アクティブ)

  4. HA 設定モード」を「対話型モード」に設定します。

  5. 任意: 「クラスタ ID」を入力します。

    ファイアウォールは、この ID をクラスタ内の両方のデバイスに自動的に割り当てます。ネットワークで複数の HA クラスタが構成されている場合は、仮想 MAC アドレスの競合を防ぐために、各クラスタに異なる ID を割り当てます。詳細は、HA モードとデバイスの役割を参照してください。

  6. 任意: ノード名を変更します。

  7. ファイアウォールは自動的にパスフレーズを生成します。補助デバイスからコピーしたパスフレーズを貼り付けます。
  8. 専用 HA リンク」で、DMZ に属する物理、VLAN、または LAG インターフェイスを選択します。

  9. 専用ピア HA リンク IPv4 アドレス」で、補助デバイスの専用 HA リンクアドレスを入力します。

    両方のデバイスの専用 HA リンク IP アドレスが同じサブネットに属していることを確認してください。

  10. 任意: 「監視対象のポートの選択」で、デバイスが利用可能かどうかを監視するために、次のオプションから 1 つまたは複数を選択できます。

    • 物理インターフェース
    • LAG インターフェイス
    • VLAN が構成されている場合は、バインドされていないインターフェイス。バインドされていないインターフェイスで VLAN が構成されていない場合は選択できません。

    監視対象ポートが停止した場合、そのデバイスは利用不可と認識され、フェールオーバーが発生します。

  11. 補助デバイスの Web 管理コンソールにアクセスするには、次のピア管理者設定を指定します。

    1. インターフェイス」を選択します。
    2. IPv4 アドレス」または「IPv6 アドレス」を入力します。

  12. 優先プライマリデバイス」で、いずれかの HA デバイスを選択します。

    このデバイスは、フェールオーバーから復帰した際に、自動的にプライマリデバイスになります。詳細は、プライマリデバイスへのフェールバックを参照してください。

    ヒント

    初期プライマリデバイスを選択することをお勧めします。アクティブ-パッシブ HA では、初期プライマリデバイスだけが、FastPath オフロードなどのサービスをサポートします。また、ライセンスも保有し、識別も容易です。

  13. キープアライブの要求間隔」をミリ秒単位で入力します。

    デバイスは、設定された間隔で専用リンクポートを介してピアデバイスにハートビートを送信します。ハートビートは、ピアデバイスが使用可能かどうかを判断するために使用されます。

    デフォルト: 250

  14. キープアライブの試行」回数を指定します。

    デフォルト: 16

    たとえば、キープアライブの要求間隔を 250 ms に設定し、キープアライブの試行回数を 8 に設定した場合、250 x 8 = 2 秒経過すると、ダウンしていると判断されます。

    スタンドアロン」または「障害」ステータスではデバイスには、キープアライブ間隔およびキープアライブ試行を設定できません。

  15. ホストまたはハイパーバイザーで割り当てられた MAC アドレスを使用」を選択して、ハイパーバイザーによって割り当てられた MAC アドレスを使用します。

    チェックボックスを選択すると、vSwitch で無差別モードをオンにする必要がなくなります。このチェックボックスを選択しない場合は、MAC アドレスの変更を許可するを参照してください。

  16. HA の開始」をクリックします。

メッセージ HA could not be enabled. が表示されます。

ホットスペアのセットアップ

新しい仮想アプライアンスを補助として接続し、HA を自動的に構成するには、次の手順を実行します。

  1. 既存のデバイスと同じファームウェアバージョンを使用して、ファイアウォールインスタンスをインストールします。
  2. ファイアウォールを起動します。セットアップアシスタントが表示されます。
  3. デフォルトの管理者の新しいパスワード」に、パスワードを入力し、再度入力してください。

  4. HA スペアとして接続する」をクリックします

    仮想ファイアウォールの登録。

  5. ポップアップウィンドウに次の詳細を入力します。

    1. ピアのシリアル番号:このデバイスを接続する既存の HA デバイスのシリアル番号を入力します。

      既存のデバイスの「Control Center」の左上に表示されます。

    2. パスフレーズ:既存のデバイスの HA 構成で入力したパスフレーズを入力します。

    3. 専用 HA リンク:既存のデバイスで使用されているのと同じインターフェイスを選択します。
    4. IP アドレス: 既存のデバイスの専用 HA リンクと同じサブネットに属する IP アドレスを入力します。

    5. サブネットマスク:既存のデバイスで使用されているのと同じサブネットマスクを選択します。

      仮想 HA における補助デバイスの設定。

  6. 適用」をクリックします。

  7. 続行」をクリックします。

  8. 概要を確認して、「完了」をクリックします。

    ファイアウォールは補助デバイスを作成し、シリアル番号を割り当て、専用 HA リンクと管理ポートのインターフェイスを設定します。

    補助デバイスにサインインすると、「Control Center」の左上にそのデバイスのシリアル番号が表示されます。 先頭が HAAUX です。例:HAAUXxxxxxxxxxx

    プライマリデバイスは「スタンドアロン」ステータスを示しています。

    アクティブ-パッシブ HA の対話型モードでのプライマリ仮想デバイスの状態。

  9. 数分後、補助デバイスの Web 管理コンソールを更新し、サインインします。

    HA が確立されていることがわかります。

    更新後のアクティブパッシブ HA の補助デバイスの状態。