手動で FireCluster を構成する

FireCluster の構成方法としては、以下のオプションがあります。

• FireCluster Setup Wizard を実行する
• 手動で FireCluster を構成する

このトピックでは、FireCluster を手動で構成する方法について説明します。

FireCluster Setup Wizard を使用する方法の詳細については、次を参照してください： Setup Wizard を使用して FireCluster を構成する。

FireCluster の要件

FireCluster を有効にする前に、以下のことを確認します。

• FireCluster を構成するために必要なものを揃え、構成設定を計画するように確認します。
  詳細については、次を参照してください：FireCluster を構成する前に。
• FireCluster でサポートされていない機能 に説明されている FireCluster の制限事項を必ず理解してください。
• FireCluster ハードウェアを接続する の説明に従って、FireCluster メンバーを相互に接続して、ネットワークに接続します。
• Firebox M5600 および M4600 モデルで FireCluster を構成する方法を理解するようにしてください。
  詳細については、次を参照してください： モジュラー インターフェイスでの FireCluster について。
• FireboxV または XTMv デバイスでアクティブ/パッシブ FireCluster を設定する方法を理解するようにしてください。
  詳細については、次を参照してください：VMware ESXi 上で FireCluster を構成する。

FireCluster を有効にする

1. WatchGuard System Manager で、クラスタに使用したい構成がある Firebox に接続してください。FireCluster を有効にし、構成を最初に保存すると、このデバイスがクラスタ マスタになります。
2. をクリックします。
   または、ツール > Policy Manager の順に選択します。
   Policy Manager が表示されます。
   
3. FireCluster ＞ 構成 の順に選択します。
   FireCluster クラスタ構成ダイアログ ボックスが表示されます。

4. FireCluster を有効にする チェックボックスをオンにします。
   
5. 有効にするクラスタのタイプを選択します。

アクティブ/パッシブ クラスタを有効にする

負荷分散ではなく、高可用性のためにクラスタを有効にします。このオプションを選択すると、クラスタにはすべてのネットワーク トラフィックを扱うアクティブ メンバーと、他のメンバーのフェイルオーバーが発生した場合のみにトラフィックを扱うパッシブ メンバーができます。

アクティブ／アクティブ クラスタを有効にする

高可用性および負荷分散のためにクラスタを有効にします。このオプションを選択すると、クラスタは両方のクラスタ メンバー間でトラフィック負荷を分散します。

6. アクティブ/アクティブ クラスタを有効にする を選択した場合、負荷分散法 ドロップダウン リストから、アクティブ クラスタ メンバー間のトラフィック負荷を分散するために使用する方法を選択してください。

最少接続

このオプションを選択すると、それぞれの新しい接続が、オープン接続数が最も少ないアクティブ クラスタ メンバーに割り当てられます。

ラウンド ロビン

このオプションを選択すると、接続は、ラウンド ロビン順でアクティブ クラスタ メンバー間で分散されます。最初の接続は、1 つのクラスタ メンバーに割り当てられます。次の接続は他のクラスタ メンバーに割り当てられる、などとなります。

7. クラスタ ID ドロップダウン リストから、この FireCluster を識別する番号を選択してください。

同じレイヤー 2 ブロードキャスト ドメイン上で複数の FireCluster がアクティブになっている場合、クラスタ ID は指定した FireCluster を一意に識別します。1 つしかクラスタがなく、ネットワークに HSRP または VRRP デバイスがない場合は、既定値を使用することができます。

アクティブ/パッシブ クラスタの場合、クラスタ ID によって、クラスタ デバイスのインターフェイスが使用する仮想 MAC (VMAC) アドレスが決定されます。同一サブネットのアクティブ/パッシブ FireCluster を一つ以上構成する場合、仮想 MAC アドレス競合の可能性を防止するためにクラスタ ID の設定方法を理解する必要があります。

詳細については、アクティブ/パッシブ クラスタ ID および仮想 MAC アドレス を参照してください。

インターフェイス設定を構成する

FireCluster を有効にすると、クラスタ メンバー間の通信専用の少なくとも 1 つのインターフェイスが必要です。これは、クラスタ インターフェイス と呼ばれます。クラスタのハードウェアを設定するとき、各 Firebox のプライマリ クラスタ インターフェイスを相互に接続します。1 つまたは 2 つのクラスタ インターフェイスを構成できます。リダンダンシーのため、利用できるインターフェイスがある場合は、2 つのクラスタ インターフェイスを各メンバーで (1 つはプライマリ、もう 1 つはバックアップ) 構成することを推奨します。クラスタのメンバーは、負荷分散および透過性フェールオーバーに必要なすべての情報を継続同期するためにクラスタ インターフェイスを使用します。

直接のケーブル接続を推奨します：

• 各メンバー上のプライマリ クラスタ インターフェイスの間で 1 本のケーブル
• 各メンバー上のバックアップ クラスタ インターフェイスの間でもう 1 本のケーブル

プライマリおよびバックアップ クラスタ インターフェイスは異なるサブネットになければなりません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。

FireCluster の構成を Firebox に保存する前に、ネットワークに接続していないインターフェイスを無効にする必要があります。

1. 主要なクラスタ インターフェイスドロップダウン リストから、主要なインターフェイスとして使用するインターフェイスを選択してください。
   
2. 2 つ目のクラスタ インターフェイスを使用するには、バックアップクラスタ インターフェイスドロップダウン リストから、バックアップ インターフェイスとして使用するインターフェイスを選択してください。
3. 管理 IP アドレス用インターフェイス を選択します。これは、任意の WatchGuard 管理アプリケーションでクラスタ デバイスへ直接接続を行うために使用する Firebox のネットワーク インターフェイスです。管理 IP アドレス用インターフェイスとして、PPPoE を使用する外部インターフェイスを選択することはできません。管理コンピュータを通常接続するインターフェイスを選択することをお勧めします。
   詳細については、FireCluster 管理 IP アドレスについて を参照してください。
4. 監視対象のインターフェイスのリストを確認します。監視対象のインターフェイスのリストには、プライマリおよびバックアップ クラスタ インターフェイスとして構成したインターフェイスは含まれていません。既定では、 FireCluster は、有効なすべてのインターフェイスのリンク ステータスを監視します。クラスタ マスタが監視対象インターフェイス上でリンクの喪失を検出した場合、クラスタ マスタはフェールオーバーを開始します。
5. アクティブ/パッシブクラスタの場合、どのアクティブインターフェイスを監視するか選択することができます。フェールオーバーの基準として有効なインターフェイスのリンクの状態を監視しない場合、リンクの監視 列でそのインターフェイスのチェックボックスをクリアします。

有効なすべてのインターフェスのリンクの状態を監視するように FireCluster を構成することを推奨します。

アクティブ/アクティブ FireCluster は、有効なすべてのネットワーク インターフェイスのリンク ステータスを常に監視します。アクティブ/アクティブ FireCluster の場合、ネットワークスイッチに接続されていないインターフェイスを無効にする必要があります。

インターフェイスを無効にするには以下の手順を実行します。

1. Policy Manager で、ネットワーク > 構成 の順に選択します。
2. 無効にするインターフェイスをダブルクリックします。
3. インターフェイスの種類 を 無効 に設定します。

物理インターフェイスを有効にする、または FireCluster を有効にした後にリンクアグリゲーション インターフェイスを追加した場合、そのインターフェイスは FireCluster の構成で監視対象インターフェイスとして自動的に選択されます。

FireCluster メンバーの構成

1. メンバー タブを選択します。
   FireCluster メンバーの構成設定が表示されます。
   

この構成ファイルに機能キーを既にインポートしている場合、そのデバイスが Member 1 として自動的に構成されます。

この構成ファイルに機能キーがない場合、FireCluster メンバーはリストに表示されません。この場合、次の手順に従って、各デバイスをメンバーとして追加し、各デバイスの構成ファイルをインポートする必要があります。

2. メンバーを追加するには、追加 を選択します。
   メンバーの追加ダイアログが表示されます。

3. メンバー名テキスト ボックスに、名前を入力します。この名前は、メンバー リストでデバイスを識別します。
4. 機能キー タブを選択します。

5. インポート をクリックします。
   Firebox 機能キーのインポート ダイアログ ボックスが表示されます。
6. 機能キー ファイルを検索するには、参照 をクリックします。
   または、機能キーファイルのテキストをコピーし、貼り付け をクリックしてそのテキストをダイアログ ボックスに挿入します。詳細については、機能キーと FireCluster について を参照してください。
7. OK をクリックします。
8. 構成 タブを選択します。
   シリアル番号 フィールドに、機能キーからのシリアル番号が自動的に挿入されます。
9. インターフェイス IP アドレスセクションに、各クラスタ インターフェイスおよび管理 IP アドレス用インターフェイスに使用するアドレスを入力します。
   • プライマリ クラスタ テキスト ボックスに、主要なクラスタ インターフェイスに使用する IP アドレスを入力します。プライマリ クラスタ インターフェイスの IP アドレスは、各クラスタ メンバー用の同じサブネット上にある必要があります。両方のデバイスが同時に起動する場合、プライマリ クラスタ インターフェイスに割り当てる最大 IP アドレスを持つクラスタ メンバーがマスタになります。
   • バックアップ クラスタ テキスト ボックスに、バックアップクラスタ インターフェイスへ使用する IP アドレスを入力します。このオプションは、バックアップ クラスタ インターフェイスが構成されている場合のみ表示されます。バックアップ クラスタ インターフェイスの IP アドレスは、各クラスタ メンバー用の同じサブネット上にある必要があります。

   プライマリおよびバックアップ クラスタ インターフェイスは異なるサブネットになければなりません。クラスタ インターフェイスの各メンバー間でスイッチを使用する場合は、そのクラスタ インターフェイスは異なる VLAN でお互いに論理的に分離されている必要があります。

   • 管理 セクションの IPv4 テキスト ボックスに、メンテナンス処理用に個別のクラスタ メンバーに接続するために使用する IP アドレスを入力します。管理用インターフェイスは、専用インターフェイスではありません。このインターフェイスは他のネットワーク トラフィックのためにも使用されます。各クラスタ メンバーのために別の管理 IP アドレスを指定する必要があります。IPv4 の管理 IP アドレスは、未使用の IP アドレスでなければなりません。インターフェイスに割り当てられた IPv4 アドレスと同じサブネット上の IP アドレスを使用することを推奨します。また、IP アドレスは、FireCluster がログ メッセージを送信する送信先となる WatchGuard Log Server または syslog サーバーと同じサブネット上にある必要があります。
   • 管理 IP アドレス用インターフェイス として選択したインターフェイスで IPv6 が有効な場合、IPv6 の管理 IP アドレスを構成することもできます。管理 セクションの IPv6 テキスト ボックスに、メンテナンス処理のために個々のクラスタ メンバーを接続するのに使用する IP アドレスを入力してください。IPv6 の管理 IP アドレスは、未使用の IP アドレスでなければなりません。インターフェイスに割り当てられた IPv6 のIP アドレスと同じプレフィックスを持つ IPv6 アドレスを使用することを推奨します。
     詳細については、FireCluster 管理 IP アドレスについて を参照してください。

デバイス上にあるインターフェイスの既定 IP アドレスのいずれにも、プライマリまたはバックアップ クラスタの IP アドレスを設定しないでください。既定のインターフェイス IP アドレスは、10.0.0.1 〜 10.0.26.1 の範囲内である必要があります。リモート ブランチ オフィス ネットワークで使用される Mobile VPN または IP アドレスの仮想 IP アドレスなど、ネットワーク上の他のものにはプライマリおよびバックアップ クラスタの IP アドレスを使用しないでください。クラスタ フェールオーバーが発生すると、1 つのクラスタ メンバーによる引き継ぎが発生する前に、非常に短時間ですが、セーフ モードになります。工場出荷時の既定のインターフェイス IP アドレスのいずれかが使用されるようにクラスタ インターフェイスが構成されている場合は、この短時間の間に競合が発生し、フェールオーバーが失敗する可能性があります。

10. OK をクリックします。
    追加したデバイスは、メンバー タブでクラスタ メンバーとして表示されます。
11. 前の手順を繰り返してクラスタの構成に 2 つ目のデバイスを追加してください。

2 つ目のデバイスを自動的に検出してクラスタに追加したい場合、工場出荷時の既定設定で 2 つ目のデバイスを起動するまで、デバイスに構成を保存しないでください。

12. 工場出荷時の既定設定で 2 つのデバイスを起動します。

すべての Firebox モデルで、デバイスを工場出荷時の既定設定にリセットします

Firebox モデルのリセット方法の説明に従ってください。詳細については、Firebox をリセットする を参照してください。

LCD スクリーンが搭載されている XTM デバイスは、セーフ モードで起動してください。

セーフ モードで起動するには、デバイスの電源を入れる間、デバイスのフロント パネルにある下向き矢印ボタンを押し続けてください。セーフモード起動中... が LCD 画面に表示されるまで下矢印ボタンを押し続けてください。デバイスがセーフ モードで動作している場合、モデル番号に続けて safe という言葉が LCD ディスプレイに表示されます。

Command Line Interface (CLI) を使用する場合は、restore factory-default コマンドを使用して 2 つ目のデバイスを再起動する必要なく出荷時の既定設定にリセットできます。

13. クラスタ マスタに構成ファイルを保存します。
    クラスタが構築されます。クラスタ マスタは、クラスタの構成に追加した機能キーのシリアル番号と一致するシリアル番号を持つ他のデバイスを自動的に検出します

クラスタがアクティブな場合、Firebox System Manager の フロント パネル タブでクラスタ メンバーのステータスを監視できます。
詳細については、FireCluster メンバーを監視および制御する を参照してください。

2 番目のデバイスをセーフ モードで起動する前にクラスタ マスターに構成を保存した場合、クラスタ マスターは 2 番目のデバイスを自動で検出しません。2 つ目のデバイスが自動的に検出されない場合、次で説明されるように、Firebox System Manager を使用して手動でデバイスの検出をトリガすることができます： クラスタ メンバーを検出する。

関連情報：

FireCluster について

FireCluster 診断