SonicWall UTMアプライアンス
ハードウェア・フェイルオーバー
-
Qハードウェア・フェイルオーバー構成時のオプション・ライセンスについて
-
A
- ■対象
- SonicWall TZシリーズ、NSAシリーズ(TZ180、TZ100、TZ100W、TZ105を除く)
- ■内容
-
【質問】
2台のSonicWallをハードウェア・フェイルオーバー(以下「HF」)構成で運用する場合、各種オプションはどのように購入・設定するのでしょうか?
【回答】
HF構成で運用する目的で2台のSonicWall UTMシリーズを導入されており、ご利用されるHF構成がActive/Standby構成の場合、1台分(プライマリ機用)のオプション・ライセンスをご購入いただくことで、バックアップ機となるSonicWallにも同内容のオプションを同時に適用することが可能です。
構成毎のライセンス数や設定方法、注意事項につきましては、以下をご参照ください。
- 対象オプション
-
HF構成を組むSonicWall間で、ライセンスを同期することが可能なオプションサービスは以下の通りです。
- 8×5ハードウェア年間保守
- 24×7ハードウェア年間保守(E-Class、NSA5600、NSA6600用)
- Gateway Anti-Virus/Anti-Spyware/IPS (GAV/AS/IPS)
- コンテンツフィルタリング・サービス (CFS)
- Networkアンチウイルス
- グローバルVPNクライアント
- SSL-VPN
- ViewPoint/Analyzer
- SonicWall ステートフルHA アップグレード※1
-
※1
ステートシンク機能はNSA4500、NSA4600、NSA5600、NSA6600、NSA E-Classシリーズをご利用の場合、標準で付属されています。
なお、SOHOW、TZ200、TZ205、TZ210、TZ215、TZ300W、TZ400Wでは本機能を利用することができません。
-
※2
24×7オンサイト年間保守につきましては、2台分購入する必要がございます。
- オプション・ライセンスの同期手順
-
2台のSonicWallをHF構成で運用する際のオプション・ライセンスの同期は、オンラインユーザー登録サイト
[MySonicWall]で行います。
- 登録済みの製品同士を同期する
-
オプション・ライセンスを同期するHF構成のSonicWallが、2台ともオンラインユーザー登録済みである場合には、以下の手順で同期を行ってください。
-
※
製品の新規登録直後の場合においても同様の手順となります。
-
MySonicWallへアクセスを行います。
-
[ユーザ名/E メール]欄に製品登録を行ったユーザーアカウントのEmailアドレスを、[パスワード]欄にパスワードを入力して[ログイン]ボタンをクリックします。
-
※
[Emailアドレス]を忘れた、または[パスワード]を紛失した場合は、こちらをご覧ください。
-
※
-
ログインが完了しますと、ホーム画面が表示されます。[Tenant products]をクリックし、製品保守を更新する機器のシリアル番号を選択してください。
-
製品の[プロダクト詳細]画面が表示されますので、画面を下へスクロールし[Associated Products]の[HA Secondary(0)]をクリックしてください。
-
ドロップダウンリストよりセカンダリ機としたい装置を選択し、[associate]をクリックしてください。
-
再度プライマリ機の[プロダクト詳細]画面を開き、[Associated Products]の項目より[HA Secondary(1)]となっていることを確認してください。
-
※
- オプション・ライセンス同期の解除手順
-
障害の発生に伴う機器の交換などによって、従来のHF構成を解消する場合には、以下の手順に従ってオプション・ライセンスの同期を解除してください。
-
オンラインユーザー登録サイトにログインし、バックアップ機として運用していた機器を選択します。
-
[サービス管理]ページの[親製品]項目にあるプライマリ機(HF Primary)の[削除]リンクをクリックします。
-
同期解除の確認画面が[親製品]項目に表示されますので、[削除]をクリックします。
-
-
Qハードウェア・フェイルオーバー設定例
-
A
- ■対象
-
SonicWall TZ200・TZ205・TZ210・TZ215
SonicWall NSA220W・NSA240・NSA250M・NSA2400・NSA3500・NSA4500
- ■内容
-
ハードウェア・フェイルオーバー(以下「HF」)の設定手順についてご案内します。
【要件事項】
HFを構成する前に、必ず以下の要件を確認してください。<利用する機器について>
- HFを構成する2台の機器につきましては、「モデル」および「搭載するSonicOSのバージョン」を同一にする必要があります。
- HF機能として、アクティブ/スタンバイ(パッシブ)構成のみサポートしています。
-
セキュリティサービスの各ライセンスは、プライマリ機分のみのご購入でバックアップ機にも同内容のライセンスを適用することが可能です。
各機器ごとにご購入いただく必要があるサービスは、追加保守メニュー(オプション)である[24×7 オンサイト保守]のみとなります。
-
HFを行うにあたり、予めMySonicWall上で登録した製品の関連付けを行う必要があります。
-
HFを構成する場合、PortShield機能を無効化する必要があります。
-
※
SOHOW、TZシリーズ/NSA240・NSA220W・NSA250Mの場合。
ハードウェア・フェイルオーバー時のオプション・ライセンス、MySonicWall上での製品関連付けの詳細に関しては、こちらをご参照ください。
<IPアドレスの設定について>
-
HF構成を採る場合には、SonicWall群のLAN IPアドレスとして3つ
(代表IPアドレス、プライマリ機IPアドレス、バックアップ機IPアドレス)用意する必要があります。
- HF構成を採るSonicWall群のWAN IPアドレスとして、有効なスタティックIPアドレスが少なくとも1つ必要です。
-
HFでは、WANポートのネットワークモードとして「スタティックIP」のみ利用可能です。
このため、ISPからの動的IPアドレスの割当てには対応していません。
- プライマリ機とバックアップ機の各ポート(LAN、WAN、それ以外にゾーンを定義した場合も同様)は、それぞれ同一セグメント上のHUBやスイッチに接続している必要があります。
【構成】
<IPアドレス体系>
代表アドレス プライマリ機 バックアップ機 X0ポート 192.168.1.250 ※1 192.168.1.1 192.168.1.2 X1ポート 210.0.0.2 210.0.0.3 ※2 210.0.0.4 ※2 X5ポート ※3 ハートビート専用 -
※1
X0ポート(LAN)に接続されたクライアント端末のデフォルトゲートウェイとなります。
-
※2
WAN側からプライマリ機とバックアップ機を個別に管理しない場合は不要です。
-
※3
TZシリーズ/NSAシリーズでは最終ポートが該当します。
NSA E-ClassシリーズではHA専用ポートが該当します。
【設定手順】
-
プライマリ機とバックアップ機の各インターフェースにそれぞれネットワークケーブルを接続し、プライマリ機に対してHF以外の設定・ライセンスの同期を行います。
この間はバックアップ機の電源を切っておきます。
また、バックアップ機のシリアル番号を控えてください。
-
プライマリ機で通信(インターネット側へのアクセスなど)が可能であることを確認後、バックアップ機の電源を入れます。
-
プライマリ機の管理画面へログインし、[高可用性]-[監視]において、「X0」と「X1」のモニタリング設定を以下のように行います。
X0ポート
物理リンク監視を有効にする チェック プライマリIPアドレス 192.168.1.1 バックアップIPアドレス 192.168.1.2 論理精査IPアドレス 0.0.0.0 X1ポート ※
物理リンク監視を有効にする チェック プライマリIPアドレス 210.0.0.3 バックアップIPアドレス 210.0.0.4 論理精査IPアドレス 0.0.0.0 -
※
WAN側からプライマリ機とバックアップ機を個別に管理しない場合、上記設定は不要です。
-
※
-
プライマリ機の管理画面[高可用性] - [設定]を表示し、「高可用性を有効にする」にチェックを入れます。
-
[バックアップSonicWall シリアル番号]に、手順1.で控えていたバックアップ機のシリアル番号を入力し、適用ボタンをクリックします。
-
プライマリ機からバックアップ機へ設定の同期が行なわれ、同期終了後にバックアップ機が再起動します。
-
バックアップ機の管理画面[システム]-[ライセンス]項目の「サービスの購読、アップグレード、及び更新はここを選択してください。]よりライセンスの同期を行ってください。
-
バックアップ機でのライセンス同期が完了後、プライマリ機に再度ログインし、管理画面[高可用性]-[詳細]項目から任意の設定を行ってください。
設定後、適用ボタンをクリックしてください。
-
高可用性の設定が完了しました。
【詳細設定で行える設定項目】
-
[Stateful Synchronization を有効にする]
障害発生による機器の切り替えが行われた際もクライアントPC側ではセッションを張り直すことなく、ダウンロードなどの作業を継続することができます。
-
※
本機能はNSAシリーズ/NSA E-Classシリーズが対象です。
NSA4500、NSA E-Classシリーズでは標準機能、その他の対象機種ではオプション機能となります。
-
※
-
[先制モードを有効にする(復旧時の自動回復を有効にする)]
バックアップ機に運用が切り替わっている状態でプライマリ機が復旧した場合、バックアップ機から自動でプライマリ機に切り替わります。
未チェックの場合は、プライマリ機復旧後もバックアップ機が運用を継続し、プライマリ機への自動切り替えは行なわれません。
-
[ファームウェアの更新時にファームウェアと設定のバックアップを生成/上書きする]
プライマリ機でファームウェアをアップデートした際に、自動でファームウェアとその他の設定をバックアップします。
-
[仮想MACを有効にする]
プライマリ機とセカンダリ機の間で同じMACアドレスを共有できるようにします。
-
[ハートビート間隔]
SonicWallが障害を検出してフェイルオーバーを行うまでの時間となります。
-
[フェイルオーバートリガレベル]
バックアップ機が連続してこの回数分プライマリ機からの応答がないと検出した場合に、プライマリ機からバックアップ機への切り替わりが発生します。
-
※
この項目は「ハートビート間隔」とリンクしています。
例えば、「ハートビート間隔」を10秒に設定し、「フェイルオーバートリガレベル」を5回に設定した場合、バックアップ機はプライマリ機で障害発生後、50秒後に切り替わります。
-
※
-
[ブローブ間隔・数]
SonicWallがネットワーク上でアクティブなSonicWallを検出する秒数・回数を入力します。
-
[選択遅延時間]
SonicWallがインターフェースを正常と判断するまでの待ち時間を設定できます。
-
※