思ったより面倒だった SonicWALL の HA セットアップ
SonicWALL の OS 5 では、比較的容易に冗長構成ができるようになっています。
これは高可用性(High Availablity, 以降 HA)と呼ばれます。
同モデルのメイン(主格)機とバックアップ(副格)機を用意して繋げておくことによって、主格機が電源障害やシステム障害などにより動作不能になった場合に、ネットワークの設定が自動的に副格機に移り、クライアントユーザはダウンタイムなしでネットワークを利用できるようになるといういうものです。
意外に面倒なHA 構成、設定、確認方法をまとめてみました。
【用意するもの】
1. SonicWall 2 台
OS 5 以上、同モデル機器、ファームウェアのバージョンが一致していることが条件です。
当方は Sonic WALL TZ205W で操作を行いましたが、上位機でも、OS 5 であれば、ほとんどの操作で共通している部分も多いと思います。
2. クロスケーブル (カテゴリー6): 1 本
SonicWALL 同士を繋ぎ、一定の間隔で稼働状態をチェックする(ハートビート)ために使います。
3. WAN スイッチ用のハブ: 1 台
WAN 回線を分配するためのハブです。
この他に、WAN ケーブル(ストレート) 1 本、LAN ケーブル(ストレート) 2本が必要になります。
4. LAN 用のハブ: 1 台
二台の SonicWall、クライアント PC を繋ぐための LAN 用のハブです。
台数分の LAN ケーブル(ストレート)が必要になります。
【設定用クライアントPCの準備】
クライアント PC の NIC の設定で、IP 設定のゲートウェイを 192.168.168.168 (SonicWALL 管理インタフェースのデフォルト)にします。
たとえば、以下のように設定します。
【副格機の設定】
副格機側は、スイッチポートの設定のみを行います。
1. 副格機となる SonicWALL の LAN ポート (X0) と クライアント PC の Ethernet ポートをストレートケーブルで繋ぎ、SonicWALL に電源を投入します。
2. http://192.168.168.168/ にアクセスし、ユーザ名を admin、パスワードを password でログインします(製品出荷時のデフォルト)。
3. 管理インタフェースより、「高可用性」 → 「設定」の順に選択します。
下図のように、「高可用性を有効にする」のチェックボックスのチェックが外れていること、そして、「バックアップ SonicWALL」 のシリアル番号が「000000000000」になっていることを確認します。
上記のような状態になっていない場合は、工場出荷時の設定に戻し、最初からもう一度やり直してください。
SonicWALL を工場出荷時の設定に戻す方法は、こちらをご覧ください。
SonicWALL の初期化(工場出荷時設定)方法
4. PortShield グループより、X2~X4 ポートの設定を解除します。
PortShield は、デフォルトでは、X2~X4 のスイッチポートにクライアント機器を接続してネットワーク利用できるようになっていますが、HA 構成をする場合は、X2~X4 ポートの PortShield 設定を解除(未定義)に変更する必要があります。
管理インタフェースより、「ネットワーク」 → 「PortShield」 グループ の順に選択します。
以下のように、 PortShield グループの設定ページが表示されますので、下図のように X2、 X3、X4 ポートをクリックして黄色に反転させ、選択状態にしてから、“設定”ボタンをクリックします。
注:
ポートを選択できない(黄色に反転しない)場合、「ネットワーク」→「インターフェイス」を選択し、目的のポートの「ゾーン」を「未定義」に指定します。
5. 複数のスイッチポートを編集するためのサブページが開きますので、その中から、「ポートシールド インタフェース」のプルダウンをクリックし、[未定義] を選択して“OK”をクリックします。
6. 元の PortShield グループ設定ページに戻りますので、ポートの X2、X3、X4 が黒抜きになっていることと、ポートシールドの状態が 「未定義」になっていることを確認してください。
7. 管理インタフェースからログアウトし、副格機の電源を落とします。
以上で副格機側の設定は終了です。
【主格機の設定】
1. 副格機に接続していた LAN ケーブルを、 主格機となる SonicWALL の LAN ポート (X0) に繋ぎ替え、アクティブな WAN ケーブルを WAN ポート (X1)に繋ぎ、電源を投入します。
2. 社内の WAN および LAN が正しく動作するように、ネットワーク設定を行います。
(ここではこの操作は省略)
3. PortShield グループより、X2~X4 ポートの設定を解除します。
PortShield は、デフォルトでは、X2~X4 のスイッチポートにクライアント機器を接続してネットワーク利用できるようになっていますが、HA 構成をする場合は、X2~X4 ポートの PortShield 設定を解除(未定義)に変更する必要があります。
この設定方法は、前述の副格機の設定と同様ですので、ここでは省略します。
4. 管理インタフェースより、「高可用性」 → 「設定」の順に選択します。
下図のように、「高可用性を有効にする」のチェックボックスにチェックを入れ、「バックアップ SonicWALL」 に副格機のシリアル番号を入力してから“適用”ボタンをクリックします。
注:
“適用”クリックで「HAでのインターフェースへのIP割り当ては、「静的」である必要があります」とエラーがでる場合、WANに接続するか、「ネットワーク」→「インターフェース」で「ネットワークモード」を「静的IP」に設定します。
5. 管理インタフェースからログアウトし、主格機の電源を落とします。
以上で、主格機側の設定は終了です。
【MySonicWALLに HA 構成を登録する】
主格機のライセンス構成を副格機に引き継ぐには、MySonicWALL で主格機/副格機の関連付けを行う必要があります。
1.
https://www.mysonicwall.com/ にログインし、主格機および副格機の SonicWALL の製品登録を行います(クイック登録でシリアル番号を入力するだけなので、ここでは省略)。
2. 「製品管理」より、主格機として登録した SonicWALL のリンクをクリックし、サービス管理ページを表示させ、ページ下部の「関連済み製品」より、「HA Secondary」 をクリックします。
3. 関連付けが可能な SonicWALL のシリアル番号が表示されますので、副格機となる SonicWALL のシリアル番号を選択してから、“関連”ボタンをクリックします。
以上でライセンスの関連付けは終了です。
関連付けを確認する方法は、「製品管理」より、副格機として登録した SonicWALL のリンクをクリックし、サービス管理ページを表示させます。
上記のように、「このセカンダリ装置はプライマリ装置により管理されています。いくつかのサービス有効化は、プライマリ装置にリダイレクトします。」という表記があれば、主格機と副格機でライセンスの共有がなされていることになります。
また、「使用可能なサービス」欄で、目的のサービスが「購読済」になっていることも必ず確認してください。
【ケーブルを正しくつなぐ】
主格機と副格機が正しく動作するように、ケーブルを繋ぎます。
以下のような接続モデル図を考えた場合のケーブル接続をしてみます。
1. ハブを 2 台用意し、電源を投入します(WAN スイッチ用、LAN スイッチ用)。
このとき、SonicWALL には電源をまだ入れないでください。
2. WAN スイッチ用のハブにケーブルを接続し、主格機および副格機の WAN ポート (X1) にそれぞれストレートケーブルを繋ぎます。
WAN スイッチ用ハブのイメージは以下の写真のとおりです。
3. LAN スイッチ用のハブにケーブルを接続し、主格機および副格機の LAN ポート (X0)にそれぞれストレートケーブルを繋ぎます。
LAN スイッチ用ハブのイメージは以下の写真のとおりです。
4. SonicWALL 主格機に電源を投入します。
5. 主格機と副格機の X4 ポートどうしをクロスケーブルを繋ぎます。
SonicWALL では、 X4 ポートを HA 構成用に使います。
ここまで設定が終わると、SonicWALL のケーブル接続は次のようになります。
6. SonicWALL 副格機に電源を投入します。
【主格⇔副格の切替動作チェックを行う】
主格、副格それぞれの SonicWALL にケーブルが正しく接続され、電源が投入されていることを確認したら、いよいよ切替動作チェックを行います。
1. 主格機 SonicWALL の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。
2. ログイン先が「プライマリ SonicWALL」 になっていることを確認し、続いて「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「待機」になっていることを確認します。
このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色→オレンジ色に交互に点滅していれば、主格機と副格機の通信が正しく行われていることを示します。
このとき、バックアップ状況が「なし」になっている場合は、ケーブル接続、または PortShield の設定に誤りがある可能性がありますので、本記事の当該項目をご覧になりながらもう一度お試しください。
3. 管理インタフェースからログアウトし、主格機 SonicWALL の電源ケーブルを抜きます。
10 秒 ~ 15 秒ほど待ってから、主格機用の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。
4. ログイン先が「バックアップ SonicWALL」になっていることを確認し、「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「動作」になっていることを確認します。
このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色になっていれば、副格機が動作状態になっていることを示します。
5. 主格機 SonicWALL と同じネットワーク状態になっていることを確認し、LAN、WAN アクセスの動作状態を確認してから、管理インタフェースからログアウトします。
そして、再び主格機 SonicWALL の電源を投入します。
7. 15秒~20 秒ほど待ってから、主格機用の管理インタフェース(企業の設定によって異なるが、たとえば http://192.168.1.1/ )にログインします。
8. ログイン先が「プライマリ SonicWALL」 になっていることを確認し、続いて「高可用性」→「設定」の順に選択し、状況が、以下の赤囲みのように、バックアップ状況が「待機」になっていることを確認します。
つまり、制御が元の主格に戻ったということになりますね。
このとき、副格機 SonicWALL のテストランプ(工具マーク)が、青色→オレンジ色に交互に点滅していれば、主格機と副格機の通信が正しく行われていることを示します。
注:
主格機の復旧時に自動的に主格機が稼働するようにするには、「高可用性」→「詳細」で、「先制(プリエンプト)モードを有効にする」ボックスをチェックします。ここをチェックすると、主格機がアクティブな場合、主格機が稼働します。ここがオフになっていると、主格機が復旧しても、主格機は「待機」のままとなります。
【HA構成が動作しているときに、副格機の状態を調べる方法】
SonicWALL で HA 構成が確立されて、動作しはじめると、副格機の工場出荷時の設定は主格機の情報で上書きされてしまうため、http://192.168.168.168 で副格機の管理インタフェースに入ることはできなくなります。
この代わりに、主格機側で、管理インタフェース専用の仮想 IP を主格機および副格機に割り当てることによって、管理インタフェースにログインできるようになります。
手順は以下のとおりです。
1. 主格機 SonicWALL の管理インタフェースにログインします。
2. 「高可用性」→「監視」の順に選択し、監視設定ページに移ります。
ここで、下図のように X0 ポートの設定アイコンをクリックします。
3. インタフェース 'X0' の監視設定サブページが開きます。
下図のように、[プライマリIPアドレス](主格機に割当)、[バックアップIPアドレス](副格機に割当)に同ネットワーク上で利用可能な IP アドレスを入力してから、[プライマリ/バックアップIP アドレスでの管理を許可する] チェックボックスにチェックを付け、“OK”ボタンをクリックします。
上記の例では、http://192.168.1.101 で副格機の管理インタフェースにアクセスできるようになります。
以上です。