FireCluster を構成する前に

FireCluster を構成する前に、要件および制限をよく理解しておくことが重要です。

FireCluster でサポートされていない機能については、次を参照してください: FireCluster でサポートされていない機能

要件を確認する

一般的な要件

クラスタ メンバー間のネットワーク レイテンシーは 100 ミリ秒未満である必要があります。

ネットワーク モードの要件

  • アクティブ/パッシブ クラスタを構成するには、ネットワーク インターフェイスは混合ルーティング、またはドロップイン モードで構成されている必要があります。
  • アクティブ/アクティブ クラスタを構成するには、ネットワーク インターフェイスは混合ルーティング モードで構成されている必要があります。FireCluster では、ネットワークのブリッジ モードをサポートしません。

ネットワーク モードについての詳細は、次を参照してください: ネットワーク モードおよびインターフェイスについて

Fireware、機能キー、およびライセンスの要件

  • 各 Firebox に、同じバージョンの Fireware がインストールされていることを確認します。
  • 各 Firebox の機能キーがローカル ファイルに保存されていることを確認します。詳細については、Firebox 機能キーを追加する を参照してください。
  • アクティブ/アクティブ クラスタの場合は、すべての Firebox は WebBlocker または Gateway AntiVirus などの同じ任意登録サービスのアクティブなライセンスがあることをお勧めします。

詳細については、機能キーと FireCluster について を参照してください。

ハードウェアおよびケーブルの要件

以下の条件を確認してください。

  • 同じモデル番号を持つ 2 つの有効な Firebox。Firebox モデルは、FireCluster 用にサポートされているモデル のいずれかである必要があります。
  • 各 Firebox (M4600 および M5600 のみ) にインストールされた同じインターフェイス モジュール。
  • クラスタ インターフェイスごとのイーサネット ケーブル。ストレートまたはクロスオーバー ケーブルを使用できます。バックアップ クラスタ インターフェイスを構成する場合、2 本のケーブルを使用する必要があります。
  • 有効にされた、信頼済み、任意、カスタム、または外部インターフェイスの 1 つのネットワーク スイッチ。
  • 両方のデバイスのインターフェイスをネットワーク スイッチに接続するためのイーサネット ケーブル。

クラスタを作成したい Firebox にモジュラー インターフェイスまたはモデル アップグレードがある場合は、次を参照してください:モジュラー インターフェイスでの FireCluster について

ワイヤレスの要件

ワイヤレス デバイスの要件と制限については、次を参照してください: ワイヤレス モデルでの FireCluster について

仮想マシン (VM) の要件

VMware 環境の FireCluster は、すべての要件が満たされていないと想定通りに機能しません。詳細については、次を参照してください:VMware ESXi 上で FireCluster を構成する

FireCluster は Hyper-V ではサポートされていません。

クラスタによって保護されているすべてのクライアントは、両方のクラスタ メンバーと通信できる必要があります。VMware は、クラスタ メンバーと同じ ESXi ホスト上のクライアントからのトラフィックを、異なる ESXi ホスト上の別のクラスタ メンバーに送信することはありません。詳細については、VMware ESXi 上で FireCluster を構成する を参照してください。

外部インターフェイスの構成を確認する

FireCluster を構成する前に、外部インターフェイスの構成が使用したい FireCluster の種類と互換性があることを確認する必要があります。

  • アクティブ/アクティブ FireCluster — 外部インターフェイスはそれぞれ静的 IP アドレスを持つ必要があります。外部インターフェイスが DHCP または PPPoE を使用するように構成されている場合、アクティブ/アクティブ FireCluster を有効にすることはできません。
  • アクティブ/パッシブ FireCluster — 外部インターフェイスにはそれぞれ静的 IP アドレスが設定されているか、PPPoE または DHCP で構成されている必要があります。

外部インターフェイスを構成する方法の詳細については、次を参照してください: 外部インターフェイスを構成する

ネットワーク ルーターとスイッチの構成を確認する

アクティブ/アクティブ FireCluster 構成では、クラスタのネットワーク インターフェイスによってマルチキャスト MAC アドレスが使用されます。アクティブ/アクティブ FireCluster を有効にする前に、ネットワークルータと他のデバイスが、マルチキャスト MAC アドレスから適切にトラフィックをルーティングするように構成されていることを確認してください。

アクティブな各トラフィック インターフェイスの場合、1 つのネットワーク スイッチまたは VLAN を持つ必要があります。

プライマリおよびバックアップ クラスタ インターフェイスは異なるサブネットになければなりません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。

アクティブ/アクティブクラスタの場合、アクティブ/アクティブ FireCluster ブロードキャストドメイン内のすべてのスイッチおよびルータが、次で指定された要件を満たす必要があります: アクティブ/アクティブ FireCluster のスイッチおよびルーターの要件

アクティブ/アクティブ クラスタの場合、クラスタに接続された各レイヤ 3 スイッチの IP アドレスおよび MAC アドレスの情報を知っている必要があります。このアドレスを知っている場合、FireCluster 構成にこれらのネットワーク デバイス用の静的 ARP エントリを追加できます。詳細については、アクティブ/アクティブ FireCluster 用の静的 ARP エントリを追加する を参照してください。

アクティブ/パッシブ クラスタはマルチキャスト MAC アドレスを使用しないため、この手順は、アクティブ/パッシブ クラスタでは必要はありません。

クラスタ インターフェイスの IP アドレスを選択します。

クラスタ インターフェイスと管理 IP アドレス用インターフェイスで使用するネットワーク アドレスの表を作成することをお勧めします。ルーティング可能な IP アドレスとの競合を回避するため、専用のプライベート サブネットを各クラスタ インターフェイスに割り当てるか、169.254 で始まるリンクローカル アドレスを使用することを推奨します。リンクローカル IP アドレスを使用する場合は、クラスタ インターフェイス IP アドレスを次のように定義すると役立つことがあります:

169.254.<インターフェイス番号>.<メンバー番号>/24

FireCluster Setup Wizard は、各クラスタ メンバーごとに個別にこれらの設定を構成するよう求めます。インターフェイスおよび IP アドレスを事前に計画している場合、ウィザードでこれらのインターフェイスを構成するほうが簡単です。例えば、次のように表示されることがあります。

FireCluster のインターフェイス番号および IP アドレス
  インターフェイス番号 メンバー 1 の IP アドレス メンバー 2 の IP アドレス
プライマリ クラスタ インターフェイス 5 169.254.5.1/24 169.254.5.2/24
バックアップ クラスタ インターフェイス 6 169.254.6.1/24 169.254.6.2/24
管理インターフェイス 1 10.0.10.100/24 10.0.10.102/24

プライマリ クラスタ インターフェイス

これは、クラスタ メンバー間の通信専用のインターフェイスです。このインターフェイスは、通常のネットワーク トラフィックには使用されません。VLAN 専用に使用されるインターフェイスをクラスタ専用のインターフェイスとして選択しないでください。

両方のクラスタ メンバーのプライマリ インターフェイス IP アドレスは、同じサブネットにある必要があります。

Firebox M5600 FireCluster の場合は、インターフェイス 32 をプライマリ クラスタ インターフェイスとして選択することを推奨します。詳細については、モジュラー インターフェイスでの FireCluster について を参照してください。

バックアップ クラスタ インターフェイス (任意ですが、推奨されています。)

これは、クラスタ メンバー間の通信専用の 2 つ目のインターフェイスです。プライマリ クラスタ インターフェイスが利用できない場合、クラスタ メンバーはバックアップ クラスタ インターフェイスを使用して通信します。リダンダンシーのため、2 つのクラスタ インターフェイスを使用することをお勧めします。

両方のクラスタ メンバーのバックアップ インターフェイス IP アドレスは、同じサブネットにある必要があります。

デバイス上にあるインターフェイスの既定 IP アドレスのいずれにも、プライマリまたはバックアップ クラスタの IP アドレスを設定しないでください。既定のインターフェイス IP アドレスは、10.0.0.1 〜 10.0.26.1 の範囲内である必要があります。リモート ブランチ オフィス ネットワークで使用される Mobile VPN または IP アドレスの仮想 IP アドレスなど、ネットワーク上の他のものにはプライマリおよびバックアップ クラスタの IP アドレスを使用しないでください。クラスタ フェールオーバーが発生すると、1 つのクラスタ メンバーによる引き継ぎが発生する前に、非常に短時間ですが、セーフ モードになります。工場出荷時の既定のインターフェイス IP アドレスのいずれかが使用されるようにクラスタ インターフェイスが構成されている場合は、この短時間の間に競合が発生し、フェールオーバーが失敗する可能性があります。

管理 IP アドレス用インターフェイス

これは、WatchGuard 管理アプリケーションからクラスタのデバイスに直接接続を行うために使用するインターフェイスです。これは Firebox がログ メッセージを送信する送信先のサーバーと同一のサブネット上にある必要があります。

各クラスタ メンバー用の管理 IP アドレスは、管理 IP アドレス用のインターフェイス として構成したインターフェイスに割り当てられたアドレスと同じサブネット上の未使用の IP アドレスでなければなりません。

管理 IP アドレス用インターフェイスで IPv6 が有効になっている場合、各クラスタ メンバーに IPv6 の管理 IP アドレスを構成することもできます。

詳細については、FireCluster 管理 IP アドレスについて を参照してください。

ワイヤレス デバイスでは、プライマリ クラスタ インターフェイス、バックアップ クラスタ インターフェイス、管理 IP アドレスのインターフェイスのすべてを、ワイヤレス ネットワークにブリッジされたインターフェイスとすることができません。詳細については、ワイヤレス モデルでの FireCluster について を参照してください。

すべての要件を確認したら、次を行うことができます:FireCluster を構成する

関連情報:

FireCluster について

Setup Wizard を使用して FireCluster を構成する

手動で FireCluster を構成する

FireCluster 診断