クイック スタート — FireCluster を設定する

同一モデルの 2 つの Firebox を FireCluster として構成できます。FireCluster には、アクティブ/パッシブとアクティブ/アクティブの 2 つの構成オプションがあります。リダンダンシーを追加するには、アクティブ/パッシブのクラスタを構成します。リダンダンシーと負荷分散の両方を追加するには、アクティブ/アクティブのクラスタを構成します。

このトピックは、FireCluster を計画し構成する方法を説明します。FireCluster に慣れていない場合は、最初にこのトピックを概要として読むことを推奨します。

クラスタに含めたい Firebox にモジュラー インターフェイスまたはモデル アップグレードがある場合は、次を参照してください:モジュラー インターフェイスでの FireCluster について

FireCluster を計画して成するには、以下の手順を実行します。

FireCluster を構成する前に、以下のコンポーネントがあることを確認します。

  • 同じモデル番号を持つ 2 つの有効な Firebox
  • 各 Firebox 上にインストールされた同じバージョンの Fireware
  • 各 Firebox (M4600 および M5600 のみ) にインストールされた同じインターフェイス モジュール
  • ローカル ファイルに保存された各 Firebox の機能キー詳細については、Firebox 機能キーを追加する を参照してください。
  • クラスタ インターフェイスごとのイーサネット ケーブル。ストレートまたはクロスオーバー ケーブルを使用できます。(バックアップ クラスタ インターフェイスを構成する場合、2 本のケーブルを使用する必要があります。)
  • 有効にされた、信頼済み、任意、カスタム、または外部インターフェイスの 1 つのネットワーク スイッチ
  • 両方のデバイスのインターフェイスをネットワーク スイッチに接続するためのイーサネット ケーブル

両方の Firebox が同一バージョンの Fireware OS を実行していることを確認するには、2 つ目の Firebox を基本構成を使って別に設定し、機能キーを追加して Fireware OS を 1 つ目の Firebox と同じバージョンにアップグレードしなければならない可能性があります。クラスタを作成する際には、2 つ目のデバイスを出荷時の既定設定にリセットします。リセット プロセスは、構成を出荷時の既定設定に戻し、機能キーを削除しますが、インストールされている Fireware OS のバージョンは変更しません。

FireCluster を有効にする前に、クラスタで使用するネットワークとポリシー設定で 1 つの Firebox を構成します。構成の設定が、有効化するFireCluster のタイプの要件を満たしていることを確認します。

  • Firebox には、専用のクラスタ インターフェイスとして使用する未使用のインターフェイスが少なくとも 1 つなければなりません。
  • Firebox を混合ルーティング モードまたはドロップイン モードに構成する必要があります。
  • 外部インターフェイスは静的 IP アドレスを持つか、PPPoE 用に構成されていなくてはなりません。Fireware v11.12 以降では、DHCP に対し外部インターフェイスが構成可能です。
  • すべての未使用のインターフェイスは無効にされます。
  • Firebox には、クラスタ インターフェイスとして使用する未使用のインターフェイスが少なくとも 1 つなければなりません。
  • Firebox を混合ルーティング モードに構成する必要があります。
  • 外部インターフェイスには静的 IP アドレスが必要です。
  • すべての未使用のインターフェイスは無効にされます。
  • Firebox でワイヤレスが無効にされている必要があります。(接続済の WatchGuard ワイヤレス AP デバイスを使用できます)
  • スイッチとルータはマルチキャスト Machine アドレスでトラフィックをルートするよう構成されている必要があります。詳細については、アクティブ/アクティブ FireCluster のスイッチおよびルーターの要件 を参照してください。
  • スイッチにより必要とされる場合は、レイヤ 3 ネットワーク スイッチごとに Firebox 構成に静的 ARP エントリを追加します。詳細については、アクティブ/アクティブ FireCluster 用の静的 ARP エントリを追加する を参照してください。
  • 両方のクラスタ メンバーで登録サービスが有効にされている必要があります。詳細については、機能キーと FireCluster について を参照してください。

FireCluster にはいくつかの構成の制限があります。FireCluster を有効にする前に、次を参照してください:FireCluster でサポートされていない機能

FireCluster 構成で使用するクラスタ ID、インターフェイスおよび IP アドレスを特定します。

  • クラスタ ID — 各 FireCluster に対しクラスタ ID を構成する必要があります。アクティブ/パッシブ FireCluster の場合は、そのインターフェイスの仮想 MAC (VMAC) アドレスを生成するためにクラスタ ID が使用されます。ネットワークに 複数の FireCluster がある場合、もしくは HSRP か VRRP を使用するデバイスがある場合は、MAC アドレスの競合を発生させないクラスタ ID を選択するようにしてください。詳細については、アクティブ/パッシブ クラスタ ID および仮想 MAC アドレス を参照してください。
  • クラスタ インターフェイス — プライマリおよびバックアップのクラスタ インターフェイスとしてどのインターフェイスを使用するかを特定します。各クラスタ インターフェイスは、クラスタ メンバー間の通信専用です。バックアップ クラスタ インターフェイスは任意です。各クラスタ インターフェイスに、 各クラスタ メンバー用の同じサブネット上にある IP アドレスを構成します。専用のプライベート サブネットで IP アドレスを割り当てるか、リンクローカル IP アドレスを使用することを推奨します。クラスタ インターフェイスをリンクローカル IP アドレスで次のように定義すると役立つ場合があります:169.254.<インターフェイス番号>.<メンバー番号>/24
  • クラスタ管理インターフェイス — 管理用に Firebox に接続するために通常使用するインターフェイスを特定します。通常これは信頼済みインターフェイスです。クラスタ メンバーごとに、そのインターフェイスの 管理 IP アドレスを構成する必要があります。インターフェイス IP アドレスと同じサブネットで IP アドレスを選択することを推奨します。

クラスタ管理インターフェイスは、クラスタを管理するためにクラスタ マスターが使用します。両方のクラスタ メンバーのクラスタ管理インターフェイスが、常時共通のスイッチに接続されているようにしてください。詳細については、FireCluster 管理 IP アドレスについて を参照してください。

計画した FireCluster 構成設定を例示すると、次のようになります。

計画した FireCluster の構成設定
クラスタ ID: 10 インターフェイス番号 メンバー 1 の IP アドレス メンバー 2 の IP アドレス
プライマリ クラスタ インターフェイス 5 169.254.5.1/24 169.254.5.2/24
バックアップ クラスタ インターフェイス 6 169.254.6.1/24 169.254.6.2/24
管理インターフェイス
(IP アドレス: 10.0.10.1)		 1 10.0.10.101/24 10.0.10.102/24

これらの設定の詳細については、次を参照してください:FireCluster を構成する前に

2 つ目のデバイスの電源が切られた状態で 2 つのデバイスを相互およびネットワーク スイッチに接続します。この図は、クラスタ インターフェイスが 1 つ、信頼済みインターフェイス 1 つ、および外部インターフェイスが 1 つある FireCluster の接続を示しています。

FireCluster の簡単なネットワーク構成図

FireCluster ハードウェアの接続方法:

  1. クラスタに追加する Firebox の電源を切ります。
  2. イーサネット ケーブル (ストレートまたはクロスオーバー) を使用して、1 つの Firebox 上のプライマリ クラスタ インターフェイスを、他の Firebox 上のプライマリ クラスタ インターフェイスに接続します。
  3. バックアップ クラスタ インターフェイスを有効にする予定の場合、別のイーサネット ケーブルを使用してバックアップ クラスタ インターフェイスを接続します。
  4. 各 Firebox の外部インターフェイスをネットワーク スイッチまたは VLAN に接続します。複数 WAN を使用する場合、各 Firebox の別の外部インターフェイスを他のネットワーク スイッチに接続します。
  5. 各 Firebox の信頼済みインターフェイスを VLAN の内部ネットワーク スイッチに接続します。
  6. 各 Firebox 上の他の有効化された信頼済みまたは任意ネットワーク インターフェイスを、ネットワーク スイッチまたは VLAN に接続します。
    有効化されたインターフェイスの各ペアを、別々のスイッチに接続する必要があります。
  7. コンピューターを信頼済みネットワークのスイッチに接続します。

インターフェイス 1 に既定の IP アドレス 10.0.1.1 がある場合は、クラスタが正常に形成されるまで、2 つ目のインターフェイスをスイッチに接続しないでください。これにより、工場出荷時の既定設定で 2 つ目のデバイスを起動したときに、一時 IP アドレスの競合を回避することができます。

FireCluster を有効化して計画した設定を構成するには、Policy Manager で FireCluster Setup Wizard を使用します。ウィザードを開始する前に、両方のデバイスにテキスト ファイルの機能キーがあることを確認します。

  1. WatchGuard System Manager で、1 つ目の FireCluster メンバーとして有効にする構成済みの Firebox に接続します。
  2. Policy Manager を起動します。
  3. FireCluster > 設定 の順に選択して FireCluster Setup Wizard を起動します。
  4. 有効にするクラスタのタイプを選択します (アクティブ/アクティブ または アクティブ/パッシブ)
  5. クラスタ ID を選択します。
  6. アクティブ/アクティブ を選択した場合は、負荷分散法 を選択します。
    • 最小接続 は、接続数が最も少ないメンバーに新しい接続を割り当てます。
    • ラウンド ロビン は、新しい接続を 2 つのメンバーに交互に割り当てます。
  7. プライマリ および バックアップ クラスタ インターフェイスとして使用するインターフェイスを選択します。
    これらはイーサネット ケーブルで直接されたインターフェイスです。
  8. 管理 IP アドレス用インターフェイス を選択します。
  9. 各 Firebox について、各メンバー固有のこれらのプロパティを構成します。
    • 機能キー — 1 つ目のメンバーでは、デバイス機能キーが自動的に含まれます。2 つ目のデバイスでは、機能キーのテキストをウィザードに貼り付けます。
    • メンバー名 — 各デバイスを特定します。既定の名称はメンバー 1 とメンバー 2 です
    • IP アドレス — 前に計画したクラスタ インターフェイスと管理 IP アドレスを使用します。
  1. 完了 をクリックします。
    FireCluster 構成 ダイアログ ボックスが表示されます。
  2. インターフェイス設定 セクションでは、監視対象のインターフェイスのリストを確認できます。
    有効なすべてのインターフェスのリンクの状態を監視することを推奨します。
  3. アクティブ/アクティブ FireCluster では、ネットワークに接続されていないインターフェイスを無効にします。

構成は、まだ Firebox に保存しないでください。

クラスタ マスターが 2 つ目の Firebox を検出できるようにするには、2 つ目の Firebox を出荷時の既定設定にリセットする必要があります。リセット プロセスは、構成をリセットして機能キーを削除しますが、インストールされている Fireware OS のバージョンは変更しません。

  1. Firebox の電源を切ります。
  2. Firebox の背面の リセット ボタンを長押しします。
  3. リセット ボタンを長押ししながら、Firebox の電源を入れます。
  4. Attn インジケータが点灯するまで、リセット ボタンを押し続けます。
  5. リセット ボタンをはなします。Firebox の電源を切らないでください。
  6. リセットが完了するまで待ちます。このプロセスは 70 秒かかる場合があります。リセットが完了すると、Attn インジケータが点灯しますが、点滅はしません。
  7. Firebox の電源を切ります。
  8. Firebox の電源を入れます。
    工場出荷時の既定設定で Firebox が再起動します。
  1. Firebox の電源を入れます。
  2. Arm インジケータ ( 盾シンボル ) が緑色になるまで待ちます。
  3. デバイスの前面にある リセット ボタンを長押しします。
    5 秒後、Arm インジケータが赤色になります。
  4. Arm インジケータが赤色に点灯している間か点灯していない間、リセット ボタンを押し続けます。
    40 秒後、Arm インジケータは緑色に点滅し始めます。
  5. リセット ボタンを押したままにすると、Arm インジケータが 1 秒に 1 回緑色に点滅し始めます。
  6. Arm インジケータが 1 秒に 2 回緑色に点滅した後、リセット ボタンを放します。
  7. Arm インジケータが赤色に点滅するまで待ちます。
  8. リセット ボタンを 5 秒間長押しして、デバイスを再起動します。
    工場出荷時の既定設定で Firebox が再起動します。

Firebox M5600 をリセットする前に、スロット A にインターフェイス モジュールがインストールされていることを確認してください。詳細については、次を参照してください:モジュラー インターフェイスについて

  1. Firebox の電源を切ります。
  2. デバイスの前面の左側にある リセット ボタンを長押ししながら、デバイスの前面にある 電源 ボタンを短く押して、電源を入れます。
    Arm インジケータが赤色になります。
  3. Arm インジケータ ( 盾シンボル ) が赤色になるまで、リセット ボタンを押し続けます。
    Arm インジケータは緑色に点滅し始めます。
  4. リセット ボタンを押したままにすると、Arm インジケータが 1 秒に 1 回緑色に点滅し始めます。
  5. Arm インジケータが 1 秒に 2 回緑色に点滅した後、リセット ボタンを放します。
  6. Arm インジケータが赤色に点滅するまで待ちます。
  7. 電源 ボタンを 5 秒間長押しして、デバイスの電源を切ります。
  8. デバイスの前面にある 電源 ボタンを短く押して、電源を入れます。
    工場出荷時の既定設定で Firebox が再起動します。
  1. Firebox の電源を切ります。
  2. デバイスの前面の左側にある リセット ボタンを長押ししながら、デバイスの前面にある 電源 ボタンを短く押して、電源を入れます。
  3. Attn インジケータが点滅し始めるまで、リセット ボタンを押し続けます。
  4. リセット ボタンをはなします。
  5. Attn インジケーターの点滅が停止して点灯するまで待ちます。
  6. 電源 ボタンを 3 秒間長押しして、デバイスの電源を切ります。
  7. デバイスの前面にある 電源 ボタンを短く押して、電源を入れます。
    工場出荷時の既定設定で Firebox が再起動します。
  1. XTM デバイスの電源を切断します。
  2. デバイス フロント パネルの 下向き矢印 (↑) を長押ししながら、デバイスの電源を入れます。
  3. LCD ディスプレイに セーフモード起動中 と表示されるまで、下矢印ボタンを押し続けます。

XTM デバイスがセーフ モードで起動すると、モデル番号の次に小文字の safe がディスプレイに表示されます。デバイスがセーフ モードで動作している場合:

  • デバイスが一時的に工場出荷時の既定のネットワーク設定およびセキュリティ設定を使用しています。セーフ モードでは、インターフェイス 1 の IP アドレスは 10.0.1.1 です。
  • 現在の機能キーは削除されていません。Quick Setup Wizard を実行して新しい構成を作成する場合、Wizard は以前にデバイスにインストールされている機能キーを使用します。
  • XTM デバイスに新しい構成ファイルを保存する場合のみ、既存の構成が削除されます。新しい構成を保存せずにデバイスを再起動すると、デバイスは既存の構成を使用します。

LCD 画面を持つ XTM デバイスでは、セーフ モードでデバイスを起動してください。

  1. デバイス フロント パネルの 下向き矢印 (↓) を長押ししながら、XTM デバイスの電源を入れます。
  2. セーフモード起動中... が LCD 画面に表示されるまで下矢印ボタンを押し続けてください。
    XTM デバイスがセーフ モードで動作している場合、モデル番号に続いて safe という単語が LCD ディスプレイに表示されます。

Policy Manager で、ファイル > 保存 > Firebox へ の順に選択します。

FireCluster が有効にされた状態で構成を Firebox に保存すると、この Firebox はクラスタ マスターになります。FireCluster が初めて有効化されると、クラスタ マスターはクラスタ インターフェイスを使って他のクラスタ メンバーを自動的に検出します。

クラスタ マスターが出荷時の既定設定で接続されたデバイスを検出すると、そのシリアル番号が FireCluster 構成のシリアル番号と一致することを確認し、続いてクラスタ構成を 2 つ目のデバイスに送信します。すると 2 番目のデバイスはそのクラスタに参加し、すべてのクラスタ ステータスをクラスタ マスターと同期させます。

FireCluster を有効化してから、Firebox System Manager を使ってクラスタ メンバーのステータスを確認します。必要な場合は、2 つ目のクラスタ マスターの検出を手動でトリガさせることが可能です。

  1. Firebox System Manager でクラスタに接続する
  2. フロント パネル タブでクラスタを展開し、クラスタ メンバーのステータスを表示します。詳細については、FireCluster メンバーを監視および制御する を参照してください。

2 つ目の Firebox がクラスタに自動的に追加されない場合は、次を実行します。

  1. 両方のデバイスのプライマリ クラスタ インターフェイスが接続されていることを確認してください。
  2. 2 つ目の Firebox が工場出荷時の既定設定で起動していることを確認します。
  3. ツール > クラスタ > メンバーの検出 の順に選択して、2 つ目のクラスタ メンバーの検出を手動でトリガさせます。詳細については、クラスタ メンバーを検出する を参照してください。

関連情報:

機能キーと FireCluster について

FireCluster 用にサポートされているモデル

FireCluster 診断