Firewall装置: 高可用性構成(HA構成)のよくある質問とその回答(FAQ)
Description
Firewall装置の高可用性構成(HA構成)時のよくある質問とその回答(FAQ)
Resolution
- 機器登録
- ライセンスの同期
- 高可用性構成時のファームウェアアップグレード方法
- 高可用性ペア間の死活監視
- アクティブ/スタンバイの切替り(フェールオーバ)判定条件
- SNMPトラップの送信元IP
- syslogの送信元IPとシリアル番号
- ポート冗長化を設定しているインターフェースのリンクがダウンした場合の切替り条件
- リンク統合が設定されているインターフェースのリンクがダウンした場合の切替り条件
- エラーメッセージ: Failed to synchronize license information with Licensing Server" が出力される場合
- 高可用性監視の論理/プローブ監視の前提条件
- WANがPPPoEの場合の切替り時の動作
機器登録
アクティブ機では、機器の管理GUIでライセンスの項目から、機器登録を実施します。
スタンバイ機では機器登録は行えません。高可用性構成を組む前に機器登録を完了することをお勧めします。機器登録を行わないまま高可用性構成を行なった場合は、スタンバイ機をアクティブに切り替えて機器登録を実施してください。この時アクティブに切り替えた際、機器登録が完了し、ライセンス情報の同期が行われるまで、ステートフル同期、セキュリティサービスは動作しませんので注意してください。
ライセンスの同期
ライセンス情報はアクティブ機からスタンバイ機へ同期されません。アクティブ機、スタンバイ機それぞれ個別にMySonicWallと同期を行います。
スタンバイ機がMySonicWallと同期を行うためには、WANゾーンのインターフェースもしくはX0インターフェースに監視IPアドレスが設定されている必要があります。監視IPの設定は、高可用性 > 監視 ページで設定します。WANに監視IPアドレスが設定されていない(X0にのみ監視IPアドレスが設定されている)場合、スタンバイ機は、自身のWANインタフェースからパケットを送出することができないため、アクティブ機のX0を経由してMySonicWall (LicenseManager)と通信を行います。
高可用性構成時のファームウェアアップグレード方法
こちらのKBを参照ください。
高可用性ペア間の死活監視
通常HA制御インターフェースで死活監視を行なっていますが、HA制御インターフェースに障害がある場合は、バックアップとして、X0、MGMTポートで死活監視を行います。
アクティブ/スタンバイの切替り(フェールオーバ)判定条件
(1) 死活監視が途切れた場合、スタンバイ機であれば、アクティブに切替ります。
(2) 物理/リンク監視、論理/プローブ IPv4 アドレスいずれか、もしくは両方有効なインターフェースで問題(Link Downやプローブ失敗)を検知した場合、切替り判定が行われます。切替りは、(Link Downやプローブ失敗のない)正常なインターフェースの数で優位(多いもしくは同じ)な方がアクティブとなります。
のよくある質問とその回答(FAQ)-kA1VN0000000CSc0AM-0EMVN00000EnX4i.gif)
ヒント: Link Upしていてプローブに失敗するインターフェースとLink Downしているインターフェースは同等に扱われます。
ヒント: プローブ(ping)は5回連続して失敗した場合、障害と判定されます。尚、アクティブ機でも、スタンバイ機でもプローブに失敗する(ターゲットに問題がある)場合、切替りは発生しません。
SNMPトラップの送信元IP
アクティブ機の場合インターフェースに設定されたIPアドレスが送信元になります。
スタンバイ機の場合は、監視IPアドレスが送信元になります。該当のインターフェースで監視IPアドレスが設定されていない場合、スタンバイ機はSNMPトラップを送信しません。
syslogの送信元IPとシリアル番号
アクティブ機は、インターフェースのIPアドレスでプライマリ機のシリアル番号を使用してsyslogを送信します。
スタンバイ機は、syslogを送信しません。
ポート冗長化を設定しているインターフェースのリンクがダウンした場合の切替り条件
例えばX5のポート冗長化としてX6を設定している場合、X5のリンクがダウンしても、X6のリンクがアップしていれば切り替わりが発生しません。X6のリンクがダウンしてもX5がリンクアップしていれば、同様の動作となります。X5、X6両方のリンクがダウンした場合のみ切り替わりが発生します。この場合、高可用性 > 監視でX5の物理リンク監視を有効に設定しておく必要があります(X6は表示されません)。
リンク統合が設定されているインターフェースのリンクがダウンした場合の切替り条件
例えばX5のリンク統合として、X6、X7が指定されている場合、X5、X6、X7のいずれかのリンクがダウンした場合、切り替わりが発生します。
ただし、高可用性 > 詳細 で、すべての統合リンクがダウンした場合のみアクティブ/スタンバイ フェイルオーバーする が有効の場合はX 5, X6, X7すべてのインターフェースのリンクがダウンした場合のみ切り替わりが発生します。この場合も高可用性 > 監視でX5の物理リンク監視を有効に設定しておく必要があります。
エラーメッセージ: Failed to synchronize license information with Licensing Server" が出力される場合
こちらを参照してください。
高可用性監視の論理/プローブ監視の前提条件
高可用性監視項目にある、論理/プローブ監視を設定する場合、プライマリおよびセカンダリIPアドレスの設定が必要条件となります。
WANがPPPoEの場合の切替り時の動作
HA構成でWANにPPPoEを使用している場合の、切替り時の動作は以下の通りです。
アクティブ機は、通常動作時にスタンバイ機にPPPoEセッションのIDとサーバー名を同期します。
切替えが発生すると、新しいアクティブ機は同期されているPPPoEセッションのIDとサーバー名を使用して再接続を行います。再接続の要求を受けたPPPoEサーバは元の接続を終了し新しい接続の再確立を行います。
この間、数秒、インターネットへの通信は途絶えます。