コンテンツにスキップ
Sophos XG シリーズのハードウェアアプライアンスは、2025年 3月 31日にサポート終了 (EOL) となります。XG から XGS への移行に関しては、こちらをクリックしてください。

ページのパーマリンク

このページを参照する際は、常に以下のパーマリンクを使用してください。今後ヘルプが更新されても、パーマリンクは変更されません。

https://docs.sophos.com/nsg/sophos-firewall/21.5/Help/ja-jp/webhelp/onlinehelp/index.html?contextId=HA-how-to-active-passive

アクティブ-パッシブ HA:設定例

QuickHA と対話型構成モードをを使用して、アクティブ-パッシブ HA クラスタで 2 台の Sophos Firewall デバイスを構成できます。

このページでは構成の例を示します。詳細については、アクティブ-パッシブ HA の構成を参照してください。

必要条件

プライマリデバイスと補助デバイスが次の要件を満たしていることを確認してください。

  1. 同じファイアウォールのモデルである。
  2. ビルド番号も含め、ファームウェアのバージョンが同じである。これらの情報は、右上の Control Center で確認できます。
  3. プライマリデバイスにはすべてのライセンスがあり、補助デバイスにはライセンスがない。
  4. デバイスが Sophos Central に登録されている。ファイアウォール管理を参照してください。

詳細は、ハードウェアとソフトウェアの要件を参照してください。

展開とインターフェイス

  1. HA インターフェースを計画します。以下に例を示します。

    プライマリ 補助 説明

    専用 HA リンク

    Port2

    DMZ

    		 10.10.10.1 10.10.10.10

    同じサブネット

    異なる IP アドレス

    監視対象ポート

    LAN または WAN

    Port3

    		 192.168.10.1 192.168.10.2

    管理ポート

    WAN

    Port1

    		 172.16.16.16 172.16.16.17

    同じサブネット

    異なる IP アドレス

  2. プライマリデバイスと補助デバイスの専用 HA リンクを相互に接続します。

  3. すべての監視対象ポートをネットワークデバイスに接続します。
  4. ネットワーク」>「セルラー WAN」に移動し、両方のデバイスでオフにします。
  5. ネットワーク」 > 「インターフェース」に移動し、計画した構成で 3 つの必要な HA インターフェースを構成します。

詳細は、必要な HA インターフェースの展開を参照してください。

冗長構成 (HA) を設定する手順

QuickHA または対話型モードで HA を構成する方法を参照してください。

QuickHA では、基本設定を指定するだけで、ファイアウォールが HA を確立できます。その後に、詳細設定を指定できます。

プライマリデバイスでの HA の構成

  1. プライマリデバイスで、「システムサービス」>「高可用性」を選択します。
  2. 初期のデバイスのロール」に対し「プライマリ (アクティブ-パッシブ)」を選択します。
  3. HA 構成モード」を「QuickHA」に設定します。
  4. 任意: クラスタでデバイスを簡単に識別できるように、ノード名を変更します。

  5. ファイアウォールは自動的にパスフレーズを生成します。パスフレーズをテキストエディタにコピーします。後で、補助デバイスに入力する必要があります。

  6. 専用 HA リンク」で「新規項目の追加」をクリックし、Port2 を選択します。

    ファイアウォールは自動的に DMZ ゾーンとデフォルト IP アドレス 169.254.192.1 をインターフェースに割り当て、ゾーンの SSH をオンにします。

  7. HA の開始」をクリックします。

補助デバイスでの HA の構成

  1. 補助デバイスの Web 管理コンソールで、「システムサービス」>「高可用性」を選択します。
  2. 初期のデバイスのロール」を「補助」に設定します。
  3. HA 設定モード」を「QuickHA」に設定します。
  4. 任意: ノード名を入力します。
  5. プライマリデバイスで使用したものと同じパスフレーズを入力します。
  6. 「専用 HA リンク」の場合は、「新規項目の追加」をクリックし、プライマリデバイスで選択したのと同じインターフェイスを選択します。

  7. HA の開始」をクリックします。

    高可用性のステータス」で進捗状況を確認できます。詳細は、HA の管理を参照してください。

    補助デバイスの構成は、プライマリデバイスの構成と同期されます。

プライマリデバイスの詳細設定の構成

HA が確立されたら、プライマリデバイスで詳細設定を構成できます。

  1. 監視対象ポートの選択」で、このデバイスで監視する予定のポートを選択します。例:192.168.10.1.

  2. ピア管理設定」で、次のように補助デバイスの設定を指定します。

    1. インターフェイスPort1
    2. IPv4 アドレス172.16.16.17

  3. 優先プライマリデバイス」で Node1 を選択します。

  4. 仮想アプライアンスの場合は、「ホストまたはハイパーバイザーで割り当てられた MAC アドレスを使用」を選択します。

  5. HA の開始」をクリックします。

    プライマリデバイスが変更を補助デバイスに同期します。

警告

デバイスがピアを検出し、HA を確立しているときには、QuickHA の検出を停止できません。

対話型モードでは、監視対象のポートやピア管理設定など、すべての設定を指定します。

デバイスアクセス

両方のデバイスで DMZ の SSH をオンにします。

  1. 管理」>「デバイスアクセス」を選択します。
  2. SSH」の「DMZ」を選択します。
  3. Ping/Ping6」の「DMZ」を選択します。
  4. 適用」をクリックします。

補助デバイスでの HA の構成

  1. 補助デバイスにサインインして、「システムサービス」>「高可用性」を選択します。
  2. 初期のデバイスのロール」を「補助」に設定します。
  3. HA 設定モード」を「対話型モード」に設定します。
  4. クラスタ ID」でこの HA クラスタを識別する番号を入力します。
  5. パスフレーズをテキストエディタにコピーします。後でプライマリデバイスに入力する必要があります。
  6. 専用 HA リンク」で任意の DMZ インターフェイスを選択します。例:Port2
  7. 保存」をクリックします。

次のメッセージが表示されます。

Auxiliary device configuration has been applied successfully. You can now enable HA from primary device.

プライマリデバイスでの HA の構成

  1. プライマリデバイスにサインインして「システムサービス」>「高可用性」を選択します。
  2. 初期のデバイスのロール」に対し「プライマリ (アクティブ-パッシブ)」を選択します。
  3. HA 設定モード」を「対話型モード」に設定します。
  4. 補助デバイスからコピーしたパスフレーズを貼り付けます。
  5. 「専用 HA リンク」で Port2 を選択します。
  6. 専用ピア HA リンク IP アドレス」で、計画した補助デバイスの IP アドレスを入力します。例:10.10.10.10
  7. 監視対象ポートの選択」で、このデバイスで監視する予定のポートを選択します。例:192.168.10.1.

  8. ピア管理設定」で、次のように補助デバイスの設定を指定します。

    1. インターフェイスPort1
    2. IPv4 アドレス172.16.16.17

  9. 仮想アプライアンスの場合は、「ホストまたはハイパーバイザーで割り当てられた MAC アドレスを使用」を選択します。

  10. 優先プライマリデバイス」で Node1 を選択します。
  11. HA の開始」をクリックします。

メッセージ HA has been enabled successfully. が表示されます。

プライマリデバイスには、次の HA ステータスが表示されます。

アクティブ-パッシブ HA の対話型モードでのプライマリデバイスの状態。

デバイスの更新

  1. 数分後に補助デバイスの Web 管理コンソールを更新し、サインインします。

    更新後のアクティブ-パッシブ HA の補助デバイスの状態。

  2. プライマリデバイスの Web 管理コンソールを更新します。

    更新後のアクティブ-パッシブ HA の補助デバイスの状態。

その他のリソース