こ のセ ク シ ョ ン では、SonicWall SuperMassive 装置の設定の概要 と 、 配備シナ リ オについて説明 し ます。
• 配備シナ リ オ詳細 (38 ページ)
• NAT モー ド ゲー ト ウ ェ イ を設定する (42 ページ)
• ス テー ト フル HA ペア を設定する (43 ページ)
• L2 ブ リ ッ ジ モー ド を設定する (50 ページ)
ヒ ン ト :SuperMassive の配備オプシ ョ ン と し ては他にワイヤモー ドがあ り ますが、 本書では詳し く 取り上げません。
詳細については、 『SonicOS 管理ガイ ド』 を参照し て く だ さ い。 ワイヤ モー ド には、 次の 4 つの設定があ り ます。
• バイパス モー ド — 検査を オ ン にする こ と な く 、 フ ァ イ アウ ォ ールは物理デー タ パスに挿入 さ れます。 バ イパスモー ド は、 後で検査モー ド または保護モー ド に簡単に再設定で き ます。
• 検査モード — パケ ッ ト はフ ァ イアウォールを通過する と と もに、SonicWall ReAssembly-Free Deep Packet Inspection™
(RF-DPI) エ ン ジ ンに も ミ ラ ー リ ング さ れ、 これによ っ てパ ッ シブな検査、 分類、 フ ロー報告が行われます。
• 保護モー ド — ネ ッ ト ワーク ト ラ フ ィ ッ ク に対 し 、RF-DPI のフル検査 と 制御が行われます。 保護モー ド は、
通常の NAT や L2 ブ リ ッ ジ モー ド の配備 と 同 じ レ ベルの可視性 と 強制を、L3/L4 変換な し で、 そ し て ARP やルーテ ィ ン グ動作の変更な し で提供 し ます。
• タ ッ プ モー ド — タ ッ プ モー ド に設定 さ れている フ ァ イ アウ ォ ール イ ン タ ー フ ェ ースは、 ミ ラ ー リ ング さ れたパケ ッ ト を隣接す る ス イ ッ チ ポー ト か ら 受信 し ます。 検査モー ド に似てい ますが、 ポー ト は
配備シナ リ オ詳細
お使いのネ ッ ト ワー ク 環境に最適な配備シナ リ オ を選択 し ます。 以下の表 と 以降のページに示す図を参考に、 シナ リ オ を選択 し て く だ さ い。
現在のゲー ト ウ ェ イ構成 新 し いゲー ト ウ ェ イ構成 使用する シナ リ オ ゲー ト ウ ェ イ装置な し 1 台の SuperMassive 装置を プ ラ イ マ リ
ゲー ト ウ ェ イ と し て使用 し ます。
シナ リ オ A:NAT モー ド ゲー ト ウ ェ イ (39 ページ)
ゲー ト ウ ェ イ装置な し 2 台の SuperMassive 装置に よ り 高可用 性を適用 し ます。
シナ リ オ B:ス テー ト フル HA ペア (40 ページ)
既存のイ ン タ ーネ ッ ト ゲー ト ウ ェ イ 装置
既存のゲー ト ウ ェ イ装置を
SuperMassive 装置に置き換え ます。
シナ リ オ A:NAT モー ド ゲー ト ウ ェ イ (39 ページ)
既存のイ ン タ ーネ ッ ト ゲー ト ウ ェ イ 装置
既存のゲー ト ウ ェ イ装置に SuperMassive 装置を追加 し ます。
シナ リ オ C:L2 ブ リ ッ ジ モー ド (41 ページ)
既存の SonicWall ゲー ト ウ ェ イ装置 既存の SonicWall ゲー ト ウ ェ イ装置に SuperMassive 装置を追加 し ます。
シナ リ オ B:ス テー ト フル HA ペア (40 ページ)
シナ リ オ A:NAT モー ド ゲー ト ウ ェ イ
ネ ッ ト ワー ク を新規に設置するか、SuperMassive 装置で既 存のネ ッ ト ワークゲー ト ウ ェ イ を置き換え る構成です。
こ のシ ナ リ オ では、SuperMassive 装置 を NAT モー ド に設 定 し て、 単一のネ ッ ト ワー ク ゲー ト ウ ェ イ と し て動作 さ せます。 負荷分散 と フ ェ イ ルオーバーの目的で、 複数の イ ン タ ーネ ッ ト 接続を SonicWall 装置を経由 し てルーテ ィ ン グする こ と がで き ます。1 台の SonicWall 装置 し か配備 し ないため、 ス テ ー ト フ ル同期ペ ア を用いた高可用性は 利用で き ません。
こ のシ ナ リ オ を セ ッ ト ア ッ プす る には、 以下の手順に従 います:
• NAT モー ド ゲー ト ウ ェ イ を設定する (42 ページ)
シナ リ オ B: ス テー ト フ ル HA ペア
2 台の SonicWall SuperMassive 装置を ス テ ー ト フ ル同期ペ ア と し て 設定 し て、 冗長性のあ る 高可用性 (HA) ネ ッ ト ワー ク を提供する ネ ッ ト ワー ク構成です。
このシナ リ オでは、1 台の SuperMassive がプ ラ イ マ リゲー ト ウ ェ イ装置と し て動作 し 、 も う 1 台の SuperMassive がス タ ンバ イ モー ド で動作 し ます。 すべてのネ ッ ト ワー ク 接 続情報が 2 台の機器間で同期 さ れ、 プ ラ イ マ リ 装置が接続 で き な く な っ た場合にセ カ ン ダ リ 装置がシーム レ スに ア ク テ ィ ブ モー ド に切 り 替わる ため、 接続が途絶え る こ と はあ り ません。
こ のシ ナ リ オ を セ ッ ト ア ッ プす る には、 以下の手順に従 います:
• ス テー ト フル HA ペア を設定する (43 ページ)
シナ リ オ C: L 2 ブ リ ッ ジ モー ド
SonicWall SuperMassive 装置が既存のネ ッ ト ワ ー ク ゲー ト ウ ェ イ と 直列に接続 さ れて動作す る ネ ッ ト ワー ク 構成 です。
こ のシ ナ リ オ では、 元のゲー ト ウ ェ イ が維持 さ れます。
SonicWall SuperMassive は既存のネ ッ ト ワー ク に シーム レ スに統合 さ れ、 精密パケ ッ ト 検査サー ビ ス と 総合セキ ュ リ テ ィ サー ビ スがすべてのネ ッ ト ワー ク ト ラ フ ィ ッ ク に提供 さ れます。
L2 ブ リ ッ ジモー ド では、 セキ ュ リ テ ィ で保護 さ れた学習 ブ リ ッ ジ手法が採用 さ れてい る ため、 他の多 く の透過的 な セキ ュ リ テ ィ 装置統合方式では処理で き ない種類の ト ラ フ ィ ッ ク を通過 さ せ、 検査する こ と がで き ます。 L2 ブ リ ッ ジ モ ー ド を 使 う と 、 既存 の イ ー サ ネ ッ ト ネ ッ ト ワー ク に影響を与えずに SonicWall セキ ュ リ テ ィ 装置を追 加 し て、 イ ン ラ イ ンの精密パケ ッ ト 検査機能を TCP お よ び UDP ト ラ フ ィ ッ ク に提供する こ と がで き ます。
こ のシ ナ リ オ を セ ッ ト ア ッ プす る には、 以下の手順に従 います:
メ モ :ワ イ ヤ モ ー ド で も こ の機能が提供 さ れ ま す。 ワイヤモー ド の詳細については、 『SonicOS 管理 ガ イ ド』 を参照 し て く だ さ い。
NAT モー ド ゲー ト ウ ェ イ を設 定する
こ のセ ク シ ョ ン では、 新規に設定 さ れる
SonicWall SuperMassive 装置の既定のモー ド であ る NAT モー ド で、 単一のネ ッ ト ワー ク ゲー ト ウ ェ イ と し て動作する SuperMassive 装置の概要を示 し ます。 こ のセ ク シ ョ ンは、
シナ リ オ A の配備を計画する管理者を対象と し ています。
NAT モー ド の概要
ネ ッ ト ワー クア ド レ ス変換 (NAT) は、 内部ネ ッ ト ワーク上 のプ ラ イ ベー ト IP ア ド レ ス を、SonicWall セキ ュ リ テ ィ 装 置の WAN イ ン タ ー フ ェ ース上の最低 1 つのパブ リ ッ ク IP ア ド レ ス に マ ッ プす る こ と を可能に し ます。 内部ネ ッ ト ワー クからの発信 ト ラ フ ィ ッ クは LAN、WAN、 およびその 他内部ネ ッ ト ワー ク に対 し て、 多対 1 NAT ア ド レ ス マ ッ ピ ングを使います。
SonicOS 内のすべての ト ラ フ ィ ッ ク は、NAT モー ド 構成の 基礎部分であ る ア ク セスルール と NAT ポ リ シーの両方を 満たす必要があ り ま す。NAT ポ リ シ ーは、 IP ア ド レ ス変
換が不要な ト ラ フ ィ ッ ク に も 適用 さ れ ま す。 例 えば、2 つの異なる LAN イ ン タ ーフ ェ ース間を移動する ト ラ フ ィ ッ ク 、 最 も 単純な種別の VPN 上の ト ラ フ ィ ッ ク 、 レ イ ヤ 2 ブ リ ッ ジ モー ド/ト ラ ン スペ ア レ ン ト モー ド の構成を通 過する ト ラ フ ィ ッ ク な ど です。
SonicWall SuperMassive は、 内部 DHCP サーバが LAN ポー ト 上で ア ク テ ィ ブ な設定で出荷 さ れます。 た だ し 、 あ な た の LAN 上 で DHCP サ ー バが す で に ア ク テ ィ ブ な 場合 は、SonicWall 装 置 は 競 合 を 避 け る た め に 自 身 の DHCP サーバを無効に し ます。
図に示 さ れる よ う に、 ポー ト X1 と X0 は、 それぞれ WAN と LAN に事前設定 さ れて い ま す。 残 り のポー ト (X2-X17) はネ ッ ト ワー ク の需要に合わせて設定で き ます。
図の例では、 い く つかの イ ン タ ー フ ェ ースが特定のゾー ン用に設定 さ れています:
メ モ :装置を多対 1 NAT モー ド で単一のネ ッ ト ワー ク ゲー ト ウ ェ イ と し て配備す る ために、 必要な追 加設定はあ り ません。
• X1 - WAN
• X0 - LAN
• X8 - 無線 LAN
• X16 - DMZ
NAT ポ リ シーによ り 、 送信元 IP ア ド レ ス、 送信先 IP ア ド レ ス、 および送信先サービ スの一致する組み合わせに基づい て、 ネ ッ ト ワー ク ア ド レ ス変換を柔軟に制御す る こ と が 可能です。NAT はポ リ シーに基づいて適用 さ れる ため、 異 なる種類の NAT を同時に配備する こ とがで き ます。
多対 1、1 対 1、1 対多の負荷分散 と い っ た異な る種別の NAT ポ リ シ ー に 関 す る 設 定 手 順 と 情 報 に つ い て は、
『SonicOS 管理ガ イ ド』 を参照 し て く だ さ い。
ス テー ト フ ル HA ペア を設定 する
こ のセ ク シ ョ ン では、SonicWall SuperMassive 装置のペ ア を ス テー ト フ ル高可用性 (HA) で設定する方法について説 明 し ます。 こ のセ ク シ ョ ンは、 シ ナ リ オ B の配備を計画 する管理者を対象 と し ています。
既定では、 ス テ ー ト フ ル HA ペ アはシ ナ リ オ A と 同様に NAT モー ド で稼働 し ま すが、 高可用性 と い う 追加利点が あ り ます。
以下のセ ク シ ョ ン を参照 し て く だ さ い。
• 高可用性の初期セ ッ ト ア ッ プ (44 ページ)
• 高可用性を設定する (44 ページ)
• 高可用性監視設定を構成する (45 ページ)
• 高可用性のオプ シ ョ ン設定を構成する (46 ページ)
• 高可用性の詳細設定を構成する (47 ページ)
• HA ラ イ セ ン スの設定概要 (48 ページ)
• HA ペアの関連付け を完了する (49 ページ)
• 高可用性セ ッ ト ア ッ プ を確認する (50 ページ) メ モ :高可用性ペ ア を 構成す る 2 つの装置は、 同 じ フ ァ ームウ ェ ア バージ ョ ン を 実行す る同 じ モ デ ルであ る必要があ り ます。
高可用性の初期セ ッ ト ア ッ プ
プ ラ イ マ リ SonicWall セキ ュ リ テ ィ 装置で高可用性の設定 を開始する前に、 以下の タ ス ク を実行 し ます:
• どのイ ン タ ー フ ェ ース を HA 制御 リ ン ク と HA デー タ リ ン ク と し て使用す る か決定 し ま す。 こ れ ら は各装 置で同 じ ポー ト にする必要があ り ます。
• セ カ ン ダ リ 装置 と し て実行す る 装置のシ リ アル番号 を メ モ し ま す。 シ リ ア ル 番 号 は、 装 置 の 底 面 か、
「シ ス テム > 状況」 ページ で確認で き ます。 こ の番号 を 「高可用性 > 設定 > 高可用性装置」 ページ で入力す る必要があ り ます。
• プ ラ イ マ リ 装置 と セ カ ン ダ リ 装置が MySonicWall で登 録済みで、 同 じ SonicOS バージ ョ ン を実行 し てい る こ
と を確認 し ます。
• プ ラ イ マ リ と セ カ ン ダ リ のセキ ュ リ テ ィ 装置の LAN、
WAN、 そ の 他 の イ ン タ ー フ ェ ー ス が フ ェ イ ル オ ー バー用に正 し く 接続 さ れている こ と を確認 し ます。
• プ ラ イ マ リ と セ カ ン ダ リ 装置の HA制御お よび デー タ リ ン ク を適切なケーブルで接続 し ます。
• 最初に プ ラ イ マ リ SonicWall 装置を起動 し ます。 その 後、 セ カ ン ダ リ SonicWall 装置を起動 し ます。
高可用性を設定する
初期セ ッ ト ア ッ プ (13 ペー ジ)を 完了 し た後、HA を 設定 する ための最初の作業は、 プ ラ イ マ リ SonicWall セキ ュ リ テ ィ 装置上で 「高可用性 > 設定」 ページ を設定す る こ と で す。 プ ラ イ マ リ 装置上で HA を 設定す る と 、 その設定 はセ カ ン ダ リ 装置に伝達 さ れます。