ラベル 冗長化/冗長性 の投稿を表示しています。 すべての投稿を表示
ラベル 冗長化/冗長性 の投稿を表示しています。 すべての投稿を表示

2013-08-29

HA 構成されている SonicWALL の切替ステータスの確認方法

SonicWALL で 高可用性(High Availability, 以下HA) の切替が発生した場合は、切替状況がログに記録されます。
しかし、事前に HA のログを取るように設定をしておかなければ、ログが記録されませんので注意が必要です。

以下に設定方法と確認のしかたを示します。


【HA ログの設定方法】

1. 主格機側で管理インタフェースにログインします。

2. 「ログ」→「種別」の順に選択し、ログ種別設定ページに移動します。



 チェックボックスの見出しが消えてしまっていますが、上図のように、High Availability の行のチェックボックスに左から「ログ」、「警告」、「Syslog」にチェックを付け、“適用”ボタンをクリックします。

 これにより、HA のステータスがログに記録されるようになります。




【HA ログの確認方法】

 HA ログを記録させるには、主格機の電源を落とすのが手っ取り早いので、この方法でやってみることにします。


1. 主格機の電源を落とします。

2. 20秒~30秒待ち、副格機に処理が移るのを確認してから、副格機の管理インタフェースにログインします。

3. 「ログ」→「表示」の順に選択してログ監視ページに移り、表示の[種別]のプルダウンリストから [High Availability] を選択して“フィルタの適用”ボタンをクリックします。



 上図のように、Backup firewall transitioned to active という表記がログに出力されていれば、副格機に回線の制御が移ったことを示しています。

 また、主格機が復旧するまで、Backup missed heartbeats from primary (主格機からのハートビートが検出されません)というログも記録されますので、併せてチェックしてください。


4. 主格機に電源を投入します。

5. 20秒~30秒待ち、副格機に処理が移るのを確認してから、主格機の管理インタフェースにログインします。

6. 「ログ」→「表示」の順に選択してログ監視ページに移り、表示の[種別]のプルダウンリストから [High Availability] を選択して“フィルタの適用”ボタンをクリックします。



 上図のように、Primary firewall transitioned to active という表記がログに出力されていれば、副格機に回線の制御が移ったことを示しています。

 また、副各機とのリンクが復旧するまで、Primary missed heartbeats from backup (副格機からのハートビートが検出されません)というログが記録されることがありますが、Discovered HA backup firewall (HA 副格ファイアウォールが検出されました)が記録されれば副格機が検出されたことを意味しますので、併せてチェックしてください。


また、ログを自動メール送信設定している場合は、副格機に処理が切り替わった時には Backup firewall transitioned to active、処理が主格機に切り替わった時には Primary firewall transitioned to active という内容のメールが送信されますので、チェックしてください。


注意点:

1. 主格機 - 副格機の切替が発生したときの状態を機器の外観から知る方法はないようです。

 バックアップ状態(テストランプがオレンジ色で点滅)していた副格機のテストランプが、暗い青色に変化しますので、一応それで確認することは可能ですが、ビープ音が鳴ったりすることはないので、見落としてしまう可能性は高いといえるでしょう。

2. ログメールも、HA 切替発生時のメールタイトルを設定できないため、通常のログメールに紛れて見落としてしまう可能性が高いので、注意が必要です。







HA 構成されている SonicWALL のファームウェアの更新方法

 HA 構成済の SonicWALL でファームウェアをアップグレードする場合は、主格機側でアップデート操作するだけで、副格機のファームウェアも自動的にアップデートされるようになります。


 HA 構成の概要と設定方法については、以下の記事をご参照ください。


 それでは、ファームウェアのアップデート手順をご紹介します。


【ファームウェアのダウンロード】

1. MySonicWall にログインします。

https://www.mysonicwall.com/

2. 「ダウンロード」→「ダウンロードセンター」の順に選択すると、ダウンロードセンターページに移ります。


 上図のように、[言語設定]に「Japanese」、[ソフトウェア種別]にお使いの SonicWALL のモデルと同じものを指定してから、利用可能なファームウェアをクリックすると、ダウンロードが始まりますので、任意の場所に保存してください。

3. MySonicWALL からログアウトします。


【ファームウェアのアップロードと起動】

 SonicWALL からダウンロードしたファームウェアを、SonicWALL 主格機にアップロードして起動することによって、新しいファームウェアが主格機、および副格機に同時に反映されます。

1. SonicWall 主格機の管理インタフェースにログインします。

2. 「システム」→「設定」の順に選択すると、設定ページが開きます。
 現在起動中のファームウェアのバージョンを確認し、必要に応じてメモを取っておきます。

3. 下図のように、“ファームウェアのアップロード”ボタンをクリックし、先ほどダウンロードしたファームウェアを指定して“アップロード”ボタンをクリックすると、確認メッセージが表示されます。



 主格機、副格機ともに正常に動作していることを確認してから“OK”ボタンをクリックすると、ファームウェアのアップロードが始まります。

4.  アップロードされたファームウェアがリストに表示されます。

 ページ下部に「ファームウェアが正常にアップロードされました。」という正常メッセージが表示されていることを確認してから、下図のように、新しいファームウェアの起動ボタンをクリックします。



5. この操作には 4 分ほど所要することと、主格機、副格機ともにファームウェアが反映されるため、社内でネットワーク利用のない時間帯に実行することを強くおすすめします。


 準備が整ったら、“OK” をクリックし、暫く待っていると主格機、副格機が再起動されます。


注意:
ファームウェアの更新に成功すると、古いファームウェアは起動リストには表示されなくなります。


以上です。





2013-08-26

SonicWALL で HA (高可用性)設定を行う

思ったより面倒だった SonicWALL の HA セットアップ

 SonicWALL の OS 5 では、比較的容易に冗長構成ができるようになっています。
 これは高可用性(High Availablity, 以降 HA)と呼ばれます。

 同モデルのメイン(主格)機とバックアップ(副格)機を用意して繋げておくことによって、主格機が電源障害やシステム障害などにより動作不能になった場合に、ネットワークの設定が自動的に副格機に移り、クライアントユーザはダウンタイムなしでネットワークを利用できるようになるといういうものです。

 意外に面倒なHA 構成、設定、確認方法をまとめてみました。





【用意するもの】

1. SonicWall  2 台

 OS 5 以上、同モデル機器、ファームウェアのバージョンが一致していることが条件です。
 当方は Sonic WALL TZ205W で操作を行いましたが、上位機でも、OS 5 であれば、ほとんどの操作で共通している部分も多いと思います。

2. クロスケーブル (カテゴリー6): 1 本

 SonicWALL 同士を繋ぎ、一定の間隔で稼働状態をチェックする(ハートビート)ために使います。

3. WAN スイッチ用のハブ: 1 台

 WAN 回線を分配するためのハブです。
 この他に、WAN ケーブル(ストレート) 1 本、LAN ケーブル(ストレート) 2本が必要になります。

4. LAN 用のハブ: 1 台

 二台の SonicWall、クライアント PC を繋ぐための LAN 用のハブです。
 台数分の LAN ケーブル(ストレート)が必要になります。




【設定用クライアントPCの準備】


 クライアント PC の NIC の設定で、IP 設定のゲートウェイを 192.168.168.168 (SonicWALL 管理インタフェースのデフォルト)にします。

 たとえば、以下のように設定します。





【副格機の設定】


 副格機側は、スイッチポートの設定のみを行います。


1. 副格機となる SonicWALL の LAN ポート (X0) と クライアント PC の Ethernet ポートをストレートケーブルで繋ぎ、SonicWALL に電源を投入します。



2. http://192.168.168.168/ にアクセスし、ユーザ名を admin、パスワードを password でログインします(製品出荷時のデフォルト)。

3. 管理インタフェースより、「高可用性」 → 「設定」の順に選択します。

 下図のように、「高可用性を有効にする」のチェックボックスのチェックが外れていること、そして、「バックアップ SonicWALL」 のシリアル番号が「000000000000」になっていることを確認します。



 上記のような状態になっていない場合は、工場出荷時の設定に戻し、最初からもう一度やり直してください。

 SonicWALL を工場出荷時の設定に戻す方法は、こちらをご覧ください。
 SonicWALL の初期化(工場出荷時設定)方法


4. PortShield グループより、X2~X4 ポートの設定を解除します。

 PortShield は、デフォルトでは、X2~X4 のスイッチポートにクライアント機器を接続してネットワーク利用できるようになっていますが、HA 構成をする場合は、X2~X4 ポートの PortShield 設定を解除(未定義)に変更する必要があります。

 管理インタフェースより、「ネットワーク」 → 「PortShield」 グループ の順に選択します。

 以下のように、 PortShield グループの設定ページが表示されますので、下図のように X2、 X3、X4 ポートをクリックして黄色に反転させ、選択状態にしてから、“設定”ボタンをクリックします。

注:
ポートを選択できない(黄色に反転しない)場合、「ネットワーク」→「インターフェイス」を選択し、目的のポートの「ゾーン」を「未定義」に指定します。


5. 複数のスイッチポートを編集するためのサブページが開きますので、その中から、「ポートシールド インタフェース」のプルダウンをクリックし、[未定義] を選択して“OK”をクリックします。



6. 元の PortShield グループ設定ページに戻りますので、ポートの X2、X3、X4 が黒抜きになっていることと、ポートシールドの状態が 「未定義」になっていることを確認してください。



7. 管理インタフェースからログアウトし、副格機の電源を落とします。


以上で副格機側の設定は終了です。




【主格機の設定】

1. 副格機に接続していた LAN ケーブルを、 主格機となる SonicWALL の LAN ポート (X0) に繋ぎ替え、アクティブな WAN ケーブルを WAN ポート (X1)に繋ぎ、電源を投入します。



2. 社内の WAN および LAN が正しく動作するように、ネットワーク設定を行います。
(ここではこの操作は省略)

3. PortShield グループより、X2~X4 ポートの設定を解除します。

 PortShield は、デフォルトでは、X2~X4 のスイッチポートにクライアント機器を接続してネットワーク利用できるようになっていますが、HA 構成をする場合は、X2~X4 ポートの PortShield 設定を解除(未定義)に変更する必要があります。

 この設定方法は、前述の副格機の設定と同様ですので、ここでは省略します。

4. 管理インタフェースより、「高可用性」 → 「設定」の順に選択します。

 下図のように、「高可用性を有効にする」のチェックボックスにチェックを入れ、「バックアップ SonicWALL」 に副格機のシリアル番号を入力してから“適用”ボタンをクリックします。


注:
“適用”クリックで「HAでのインターフェースへのIP割り当ては、「静的」である必要があります」とエラーがでる場合、WANに接続するか、「ネットワーク」→「インターフェース」で「ネットワークモード」を「静的IP」に設定します。


5. 管理インタフェースからログアウトし、主格機の電源を落とします。


以上で、主格機側の設定は終了です。




【MySonicWALLに HA 構成を登録する】


 主格機のライセンス構成を副格機に引き継ぐには、MySonicWALL で主格機/副格機の関連付けを行う必要があります。

1. https://www.mysonicwall.com/ にログインし、主格機および副格機の SonicWALL の製品登録を行います(クイック登録でシリアル番号を入力するだけなので、ここでは省略)。

2. 「製品管理」より、主格機として登録した SonicWALL のリンクをクリックし、サービス管理ページを表示させ、ページ下部の「関連済み製品」より、「HA Secondary」 をクリックします。



3. 関連付けが可能な SonicWALL のシリアル番号が表示されますので、副格機となる SonicWALL のシリアル番号を選択してから、“関連”ボタンをクリックします。



 以上でライセンスの関連付けは終了です。

 関連付けを確認する方法は、「製品管理」より、副格機として登録した SonicWALL のリンクをクリックし、サービス管理ページを表示させます。



 上記のように、「このセカンダリ装置はプライマリ装置により管理されています。いくつかのサービス有効化は、プライマリ装置にリダイレクトします。」という表記があれば、主格機と副格機でライセンスの共有がなされていることになります。

 また、「使用可能なサービス」欄で、目的のサービスが「購読済」になっていることも必ず確認してください。




【ケーブルを正しくつなぐ】


 主格機と副格機が正しく動作するように、ケーブルを繋ぎます。

 以下のような接続モデル図を考えた場合のケーブル接続をしてみます。




1. ハブを 2 台用意し、電源を投入します(WAN スイッチ用、LAN スイッチ用)。
 このとき、SonicWALL には電源をまだ入れないでください。

2. WAN スイッチ用のハブにケーブルを接続し、主格機および副格機の WAN ポート (X1) にそれぞれストレートケーブルを繋ぎます。

WAN スイッチ用ハブのイメージは以下の写真のとおりです。



3. LAN スイッチ用のハブにケーブルを接続し、主格機および副格機の LAN ポート (X0)にそれぞれストレートケーブルを繋ぎます。

LAN スイッチ用ハブのイメージは以下の写真のとおりです。



4. SonicWALL 主格機に電源を投入します。

5. 主格機と副格機の X4 ポートどうしをクロスケーブルを繋ぎます。
 SonicWALL では、 X4 ポートを HA 構成用に使います。

ここまで設定が終わると、SonicWALL のケーブル接続は次のようになります。



6. SonicWALL 副格機に電源を投入します。





【主格⇔副格の切替動作チェックを行う】

 主格、副格それぞれの SonicWALL にケーブルが正しく接続され、電源が投入されていることを確認したら、いよいよ切替動作チェックを行います。


1. 主格機 SonicWALL の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。

2. ログイン先が「プライマリ SonicWALL」 になっていることを確認し、続いて「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「待機」になっていることを確認します。

 このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色→オレンジ色に交互に点滅していれば、主格機と副格機の通信が正しく行われていることを示します。




 このとき、バックアップ状況が「なし」になっている場合は、ケーブル接続、または PortShield の設定に誤りがある可能性がありますので、本記事の当該項目をご覧になりながらもう一度お試しください。

3. 管理インタフェースからログアウトし、主格機 SonicWALL の電源ケーブルを抜きます。
10 秒 ~ 15 秒ほど待ってから、主格機用の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。

4. ログイン先が「バックアップ SonicWALL」になっていることを確認し、「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「動作」になっていることを確認します。

 このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色になっていれば、副格機が動作状態になっていることを示します。



5. 主格機 SonicWALL と同じネットワーク状態になっていることを確認し、LAN、WAN アクセスの動作状態を確認してから、管理インタフェースからログアウトします。

 そして、再び主格機 SonicWALL の電源を投入します。

7. 15秒~20 秒ほど待ってから、主格機用の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。

8. ログイン先が「プライマリ SonicWALL」 になっていることを確認し、続いて「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「待機」になっていることを確認します。

 つまり、制御が元の主格に戻ったということになりますね。

 このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色→オレンジ色に交互に点滅していれば、主格機と副格機の通信が正しく行われていることを示します。

注:
主格機の復旧時に自動的に主格機が稼働するようにするには、「高可用性」→「詳細」で、「先制(プリエンプト)モードを有効にする」ボックスをチェックします。ここをチェックすると、主格機がアクティブな場合、主格機が稼働します。ここがオフになっていると、主格機が復旧しても、主格機は「待機」のままとなります。





【HA構成が動作しているときに、副格機の状態を調べる方法】

 SonicWALL で HA 構成が確立されて、動作しはじめると、副格機の工場出荷時の設定は主格機の情報で上書きされてしまうため、http://192.168.168.168 で副格機の管理インタフェースに入ることはできなくなります。

この代わりに、主格機側で、管理インタフェース専用の仮想 IP を主格機および副格機に割り当てることによって、管理インタフェースにログインできるようになります。

 手順は以下のとおりです。


1. 主格機 SonicWALL の管理インタフェースにログインします。

2. 「高可用性」→「監視」の順に選択し、監視設定ページに移ります。
 ここで、下図のように X0 ポートの設定アイコンをクリックします。


3. インタフェース 'X0' の監視設定サブページが開きます。

 下図のように、[プライマリIPアドレス](主格機に割当)、[バックアップIPアドレス](副格機に割当)に同ネットワーク上で利用可能な IP アドレスを入力してから、[プライマリ/バックアップIP アドレスでの管理を許可する] チェックボックスにチェックを付け、“OK”ボタンをクリックします。




 上記の例では、http://192.168.1.101 で副格機の管理インタフェースにアクセスできるようになります。



以上です。


2008-10-10

拠点間VPNネットワークの構築 (2) --- 回線の冗長化

近年、インターネット回線やルータなどのネットワーク機器はかなり安定してきているようですが、回線かルータのいずれかが落ちると拠点間の通信は一切できなくなるので、冗長化する --- 回線とルータを複数用意する--- ことが重要です。 

【回線とルータの冗長化イメージ図】
画像を追加
上図のように、重要な拠点間の回線とルータは二重化または多重化しておきます。 回線は異なるキャリアのものを使用し、一つのキャリアの回線(例:NTT Bflets)が落ちても、生きている他のキャリア(KDDI)に切り替えて運用を継続します。 回線の切替は自動的に実行される(SonicWALLによる冗長化の例)が理想ですが、そのようなネットワーク構成は通常、高額になります。 よって、規模の大きくない拠点においては、障害発生時は手動によりTCP/IPプロパティのデフォルトゲートウェイを切り替えれば良いでしょう。 また、回線にかかる負荷を分散させるために、拠点にあるPCの何台かを1つの回線へ、残りのPCをもう一つの回線へと、通信をゲートウェイの指定により割り振るのも良いと思います。


デフォルト ゲートウェイの冗長化に関するメモ
TCP/IPプロパティのデフォルトゲートウェイに複数のルータのIPアドレスを指定して冗長化すれば、ルータの障害発生時に自動的にゲートウェイを切り替えてくれる筈だが、冗長設定を行うと、通信が不安定になる(断続的に切断される)ので要注意。


回線メモ
◇KDDI
インターネットゲートウェイ 
イーサシェア 光ファイバー、100Mベストエフォート型、¥184,800/月~(関東) *1
Business-ADSL 下り最大12Mbps/上り最大1Mbps、ベストエフォート型、¥27,000/月~ *2
  1. 田舎は使用できないところが多そう。
  2. 微妙に(一部)NTTの電話網を使っているようで、NTTが落ちた場合、影響を受ける可能性有。
◇Usen
光ビジネスアクセス  光ファイバー、100Mベストエフォート型、¥52,500/月~
  • 田舎では使用できない。