HA構成のインターフェース設定¶
Interface 初期値¶
初期状態は、未設定です。
Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。
Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。
Port 4〜10は、お客さまで利用できるインターフェースです。
Interface 設定項目¶
Interfaceの設定項目は、以下の通りです。
| 項目 | 値 | 説明 |
|---|---|---|
| Port | Port[4-10] | ポート番号を示します。編集できません。 |
| Enable Port | ✔ | チェックしてパラメーターを入力可能にします。
チェックを外すと入力されていた値は消えます。
|
| MTU Size | 100-1500 [byte] | インターフェースの MTU サイズ指定します。
初期値は1500バイトです。
|
| Device Id | UTM-XXXXXX | お客さまの、HAペアの各デバイスのデバイス名が表示されます。
編集できません。
|
| IP Address [CIDR] | XXX.XXX.XXX.XXX/24 | ポートに付与するIPアドレスを入力します。
IPアドレスは、下で選択するNetwork IdとSubnet Idのアドレス帯から決めて、入力してください。
サブネット マスクはCIDR表記で入力します。
HA構成の場合、HAペアのデバイス毎にIPアドレスを付与します。
|
| Network Id | (リストから選択) | お客さまネットワークのリストから、使用したいネットワークのIDを選択します。 |
| Subnet Id | (リストから選択) | 選択したネットワークで使用可能なサブネットのリストから、使用したいサブネットのIDを選択します。 |
| VRRP Group ID | (リストから選択) | VRRPのグループIDを選択します。
グループIDは、すべてのインターフェイスで同じになるよう設定してください。
同じグループIDのインターフェイスは、Master-Slaveが揃うように動作します。例えばExternal側がフェイルオーバーしたとき、同じグループIDのInternal側もフェイルオーバーするようになります。
|
| VRRP ID | (リストから選択) | VRRPのIDを選択します。
インターフェース毎に、異なるVRRP IDを選択する必要があります。
また、お客さまが対向機器にVRRPを使用する場合、異なるVRRP IDを選択する必要があります。
|
| VRRP IP | XXX.XXX.XXX.XXX | VRRPのIPアドレスを入力します。
サブネットマスクは不要です。
|
| Virtual MAC | XX:XX:XX:XX:XX:XX | お客さまがManage Interfacesでの設定後、仮想のMACアドレスが自動的に付与されます。
編集できません。
|
| Preempt | ✔ | Preemptモードを使用するか使用しないかを選択できます。チェックを外すとPreemptモードをOFFに設定できます。
Preemptモードを使用時は、デバイスがフェイルバックできる条件を判定したタイミングで自動的にフェイルバックします。
同じグループIDの場合、Preemptモードの使用有無を合わせる必要があります。
PreemptモードのON/OFFについては下記の注釈を参照ください。
※ 2021年10月19日 Preemptのデフォルト値をOFFからONに変更しております。
既存のインタフェース設定への影響はありません。
|
| Comment | (半角英数字) | コメントをつけることができます。
255文字以内で、日本語など2バイトの文字は使用できません。
|
注釈
- VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としていただくようお願い致します。DHCP機能が「無効」の場合には、弊社ネットワークにおいてソースのアドレスが0.0.0.0でARPリクエストが実施されます。この場合、弊社提供のロードバランサー、Managed FW/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。
ロジカルネットワーク名を特定条件で作成した場合、作成したネットワークが表示されません。ロジカルネットワークの作成時に、あらかじめ こちら をご参照ください。
- Preempt設定について
- Preempt ONの場合マルチキャスト、ブロードキャスト、未学習ユニキャスト通信(BUM(Broadcast/Unknown Unicast/Multicast)通信が不安定な場合には一部ポートでデバイスに振られている番号の若番から老番、老番から若番に切り替わりが発生するので合計2度の切り替わりが発生しますが、通信は自動回復します。別の理由でVRRPでの切り替わりが発生した場合も同様に若番から老番、老番から若番に切り替わりが発生するので合計2度の切り替わりが発生します。
- Preempt OFFの場合BUM通信が不安定な場合にはデバイスに振られている番号の若番から老番に一部ポートが切り替わり、非対称通信が発生し、お客様で対応(再起動)しないと通信回復しません。別の理由でVRRPでの切り替わりが発生するとアクティブなデバイスからスタンバイしているデバイスに切り替わりが1度発生します。
使用禁止 IP address¶
次のIPアドレスは、インターフェース、ルーティング、アドレスオブジェクト、Destination NAT、Source NATに使用することができません。
これらのIPアドレスを使用すると、正常に動作しない場合があります。
- 100.65.0.0/16
- 100.66.0.0/15
- 100.68.0.0/14
- 100.72.0.0/14
- 100.76.0.0/15
- 100.78.0.0/16
- 100.80.0.0/13
- 100.88.0.0/15
- 100.91.0.0/16
- 100.92.0.0/14
- 100.126.0.0/15
使用禁止 VRRP ID¶
次の VRRP ID は、Managed Firewall/UTM および隣接する機器のVRRP ID に使用できません。
- ID 11(仮想MACアドレス00:00:5e:00:01:0b)
設定を準備する¶
- [ネットワーク管理]に表示されている[Cluster Port Management]をクリックすると、[ネットワーク管理]の詳細画面が開きます。HA構成の場合、[UTM Port Management]は使用しません。
- 最新のお客さまネットワーク情報を参照可能にするため、設定対象のデバイスをクリックで選択して[Get Network Info]をクリックします。
- [タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[×]で閉じてください。
- 設定対象のHAペアをクリックで選択し、[Manage Interfaces]をクリックします。
- [Manage Interfaces]の画面が開きます。Port 2,3は[Manage Interfaces]の画面には表示されません。設定対象のポートをクリックで選択して、[編集]をクリックします。
- [Enable Port]をチェックすると設定値を入力できます。
- 各デバイスを選択し、編集を押します。
- 各デバイスに設定する実IPアドレスを入力し、[保存]をクリックします。
注釈
[IP Address[CIDR]]は、必ず次の例のように CIDR 表記で入力してください。
例)
192.168.2.100/24
[IP Address]+[/]+[Subnet]
- 設定値を入力します。
注釈
設定値の入力の際には以下の点にご注意ください。
- デバイスごとの実IPアドレスと仮想IPアドレス(VRRP IP)次の例のように、デバイスごとに実IPアドレスを付与し、その仮想IPアドレス(VRRP)を設定します。例:1つ目のデバイスに192.168.2.101/242つ目のデバイスに192.168.2.102/24IP Address[CIDR]とある場合は、必ずCIDR表記で入力してください。CIDR表記の書式:IPアドレス/サブネット(プレフィックス長)VRRP IPアドレスはCIDR表記ではなく、単一のIPアドレスを入力してください。
- VRRPグループID(VRRP Group ID)VRRPグループIDは、同じグループIDをもつすべてのインターフェイスでステータス(Master, Slave)を追跡します。同じデバイス内(HAペア内)のPort 4からPort 10のうち、VRRPを設定するインターフェイスは、同じグループIDを使用してください。異なるグループIDを使用すると、フェイルオーバーが発生したときなどに正常に動作できなくなる場合があります。
- VRRP ID(VRRP ID)VRRP IDは仮想MACアドレスにかかわるIDです。各社共通でVRRP IDとそのIDに割り当てられる仮想MACは次のように決定しています。
VRRP ID 仮想MACアドレス 1 00:00:5e:00:01:01 2 00:00:5e:00:01:02 ... ... 10 00:00:5e:00:01:0a ... ... 20 00:00:5e:00:01:14 ... ... 70 00:00:5e:00:01:46 Managed FirewallおよびManaged UTMの対向側の機器でVRRPを使用する場合、互いに異なるVRRP IDを設定する必要があります。同じVRRP IDを使用すると正常に通信できません。 - ID 11(仮想MACアドレス00:00:5e:00:01:0b)はManaged Firewall/UTMおよび隣接する機器のVRRP ID に使用できません。
設定値を入力して、[保存]をクリックします。この画面で保存しただけではデバイスに適用されません。
使用するポート設定が準備できたら、「設定を適用する」の手順で設定を適用します。
設定を適用する¶
設定適用のプロセスは、シングル構成とHA構成で共通です。
- 使用するポート設定が準備できたら、Manage Interfaces画面で[今実行]をクリックします。
- [タスク ステータス]が表示されます。
タスク ステータスの説明です。タスクの色 タスクのステータス 
(灰) 未実行のタスク 
(青) 実行中のタスク 
(緑) 正常終了したタスク 
(赤) 問題が発生したタスク
- すべてのステータスが「緑色」になれば正常終了です。[×]で閉じてください。
タスク ステータスと問題発生(赤色)時の対応¶
注釈
インターフェースの設定適用時の問題発生(赤色ステータス)は、お客さま通信に影響が出ます。 問題が発生したタスクはそのままにせず、必ず内容を確認して修正し、すべてのタスクを完了してください。
問題が発生した場合、[タスクステータス]ではこのように表示されます。
[タスク ステータス]を閉じていた場合、Port Managementの[ステータス]にエラーと表示され、問題が解決するまでGet Network InfoやManage Interfaceのボタンは無効になります。
[ステータス]や[メッセージ]が表示されている領域をクリックすると、履歴が表示されます。履歴ではエラーが発生したプロセスの ステータスが赤色になり、[詳細]欄に 問題の内容が一部表示されます。
問題を解決するために右端の[ステータス詳細表示]ボタンをクリックし、[タスク ステータス]を表示してください。
問題が発生したタスクは、詳細の右側に[タスクを続行する]ボタンが表示されます。
「タスクを続行する」ボタンをクリックすると、問題となった設定の画面が表示されるので、詳細のメッセージを参照して設定値を修正してください。
上記の例の場合、「Below IP Address / MTU inputs are Not OK. Please correct the values before running the Process again. IP Address XXX.XX.XX.XX is not in CIDR format.」とあるため、「タスクを続行する」ボタンをクリックして該当のIPアドレスを修正し、再度「今実行」します。
注釈
上記の例の場合、IP Address[CIDR]*が *CIDR 表記になっていなかったためにErrorとなっています。
[IP Address[CIDR]]は、必ず次の例のように CIDR 表記で入力してください。
例)
192.168.2.100/24
[IP Address]+[/]+[Subnet]
修正後に再度[今実行]をクリックすると、進捗とステータスの画面に戻り、適用が再開します。
最後のタスクが正常終了するまでお待ちください。
タスクのステータス画面を[×]で閉じてください。
タスク ステータスについて説明します。ステータスが赤色になった時は次の表でタスク名(ステータス)とタスクの説明、問題発生時に必要な対応を確認し、再実行を実施してください 。
注釈
- 問題発生状態のまま適用作業を中断すると、お客さまのManaged Firewall / UTMがシャットダウンした状態や疎通できない状態、設定更新されない状態が継続してしまいます。
- 再実行しても問題が解消されない場合は、Smart Data Platform チケットシステムでお問合せください。
| タスク名 | タスクの説明 | 問題発生時(赤色になったとき)に必要な対応 |
|---|---|---|
| Set Context for First UTM | HA構成の場合、1台目のための環境を準備します。VerifyからAttach Portsまで、および、Start the UTMからUpdate UTM Proxy ARPまで、2台目にも同じタスクが実行されます。 | 赤色になると環境準備に問題が発生しています。10分程度時間をおいて、再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Set Context for Second UTM | HA構成の場合、2台目のための環境を準備します。VerifyからAttach Portsまで、および、Start the UTMからUpdate UTM Proxy ARPまで、1台目と同じタスクが実行されます。 | 赤色になると環境準備に問題が発生しています。10分程度時間をおいて、再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Verify IP Address Inputs | 設定するIPアドレス(CIDR)を検証します。
HA構成の場合は、接続されたネットワークでDHCPが有効であることも検証します。
|
IPアドレス(CIDR)検証の結果、問題が発生しています。
入力した値を確認し、修正して再度適用を実行してください。
HA構成の場合でこのタスクが赤色になり、「Logical Network connecting to Managed Firewall/UTM must be [DHCP ON].」というメッセージが表示された場合はお客さまのネットワーク環境を確認し、DHCPが無効である場合は有効に変更してから再度適用を実行してください。
また「Subnet xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx(ID番号) does not exist.」というメッセージが表示された場合は 最新のネットワーク情報が取得できていない可能性があります。Smart Data Platform チケットシステムでお問い合わせください。
|
| Verify VRRP, MTU Inputs | 設定するVRRPとMTUを検証します。 | 赤色になると検証の結果、問題が発生しています。入力した値を確認し、修正して再度適用を実行してください。 |
| Import Ports | HA構成の場合、プロセスの最初にポート情報を読み込みます。 | 赤色になるとポートの読み込みに問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Stop the UTM | 設定適用プロセスの開始時は、一時的にお客さまのManaged Firewall / UTM をシャットダウンします。
(Start the UTMタスクが完了するまでシャットダウン状態が継続します。)
|
赤色になるとシャットダウンに問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Wait for UTM Ping Reachability from MSA | お客さまのManaged Firewall / UTMに対して疎通を確認します。 | 赤色になると疎通確認に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Stop Ping Monitoring | ポート設定の適用前にPing Monitoringを一時停止します。 | 赤色になるとPing Monitoringの一時停止に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Delete Ports | 設定を適用するために、まずはポートをDelete(削除)します。 | 赤色になるとポートのDelete(削除)に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Create Ports | 新しいポートを作成します。 | 赤色になるとポートの作成に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Attach Ports | 作成したポートをAttach(取り付け)します。 | 赤色になるとポートのAttach(取り付け)に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Start the UTM | お客さまのManaged Firewall / UTMを起動します。 | 赤色になると起動に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Wait for UTM Ping Reachability from MSA | お客さまのManaged Firewall / UTMに対して疎通を確認します。 | 赤色になると疎通確認に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Verify License Validity | ライセンスの有効性を確認します。 | 赤色になるとライセンスに問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Update UTM (Interfaces) | お客さまのManaged Firewall / UTMのインターフェース設定を更新します。 | 赤色になると設定更新に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Update UTM Proxy ARP | HA構成の場合、お客さまのManaged Firewall / UTMのProxy ARP設定を更新します。 | 赤色になると設定更新に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Device Backup | 変更された設定をシステムへ保存します。 | 赤色になるとシステムに問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
| Start Ping Monitoring | ポート設定の適用後にPing Monitoringを再開します。 | 赤色になるとPing Monitoringの一時停止に問題が発生しています。10分程度時間をおいて再度適用を実行してください。
問題が解消しない場合、 Smart Data Platform チケットシステムでお問合せください。
|
すべてのタスクが正常終了(緑色)になることを確認してください。