2.1.2.2. HA構成のインターフェース設定

2.1.2.2.1. Interface 初期値

初期状態は、未設定です。

Port 1は、本メニュー提供のために必要なポートとしてあらかじめ確保されており、非表示です。
Port 2, 3はHA構成のために必要なポートです。あらかじめ設定済の内容が表示され、お客さまによる変更はできません。
Port 4〜10は、お客さまで利用できるインターフェースです。

2.1.2.2.2. Interface 設定項目

Interfaceの設定項目は、以下の通りです。

項目 説明
Port Port[4-10] ポート番号を示します。編集できません。
Enable Port
チェックしてパラメーターを入力可能にします。
チェックを外すと入力されていた値は消えます。
MTU Size 100-1500 [byte]
インターフェースの MTU サイズ指定します。
初期値は1500バイトです。
Device Id UTM-XXXXXX
お客さまの、HAペアの各デバイスのデバイス名が表示されます。
編集できません。
IP Address [CIDR] XXX.XXX.XXX.XXX/24
ポートに付与するIPアドレスを入力します。
IPアドレスは、下で選択するNetwork IdとSubnet Idのアドレス帯から決めて、入力してください。
サブネット マスクはCIDR表記で入力します。

HA構成の場合、HAペアのデバイス毎にIPアドレスを付与します。
Network Id (リストから選択) お客さまネットワークのリストから、使用したいネットワークのIDを選択します。
Subnet Id (リストから選択) 選択したネットワークで使用可能なサブネットのリストから、使用したいサブネットのIDを選択します。
VRRP Group ID (リストから選択)
VRRPのグループIDを選択します。

グループIDは、すべてのインターフェイスで同じになるよう設定してください。
同じグループIDのインターフェイスは、Master-Slaveが揃うように動作します。例えばExternal側がフェイルオーバーしたとき、同じグループIDのInternal側もフェイルオーバーするようになります。
VRRP ID (リストから選択)
VRRPのIDを選択します。

インターフェース毎に、異なるVRRP IDを選択する必要があります。
また、お客さまが対向機器にVRRPを使用する場合、異なるVRRP IDを選択する必要があります。
VRRP IP XXX.XXX.XXX.XXX
VRRPのIPアドレスを入力します。
サブネットマスクは不要です。
Virtual MAC XX:XX:XX:XX:XX:XX
お客さまがManage Interfacesでの設定後、仮想のMACアドレスが自動的に付与されます。
編集できません。
Preempt
Preemptモードを使用するか使用しないかを選択できます。チェックするとPreemptモードを使用します。

Preemptモードを使用すると、デバイスがフェイルバックできる条件を判定したタイミングで自動的にフェイルバックします。
同じグループIDの場合、Preemptモードの使用有無を合わせる必要があります。
Comment (半角英数字)
コメントをつけることができます。
255文字以内で、日本語など2バイトの文字は使用できません。

注釈

  • VRRP利用時は、接続するロジカルネットワークのDHCP機能(アドレス設定機能)を「有効」としていただくようお願い致します。
    DHCP機能が「無効」の場合には、弊社ネットワークにおいてソースのアドレスが0.0.0.0でARPリクエストが実施されます。
    この場合、弊社提供のロードバランサー、Managed FW/UTM等にてARPリプライを返さないことが確認されており、VRRPによる冗長化に影響し、切替わり時に通信断が継続する可能性があります。

2.1.2.2.3. 使用禁止 IP address

次のIPアドレスは、インターフェース、ルーティング、アドレスオブジェクト、Destination NAT、Source NATに使用することができません。
これらのIPアドレスを使用すると、正常に動作しない場合があります。
  • 100.65.0.0/16
  • 100.66.0.0/15
  • 100.68.0.0/14
  • 100.72.0.0/14
  • 100.76.0.0/15
  • 100.78.0.0/16
  • 100.80.0.0/13
  • 100.88.0.0/15
  • 100.91.0.0/16
  • 100.92.0.0/14
  • 100.126.0.0/15

2.1.2.2.4. 使用禁止 VRRP ID

次の VRRP ID は、Managed Firewall/UTM および隣接する機器のVRRP ID に使用できません。
  • ID 11(仮想MACアドレス00:00:5e:00:01:0b)

2.1.2.2.5. 設定を準備する

  1. [ネットワーク管理]に表示されている[Cluster Port Management]をクリックすると、[ネットワーク管理]の詳細画面が開きます。
    HA構成の場合、[UTM Port Management]は使用しません。
    TOP

  1. 最新のお客さまネットワーク情報を参照可能にするため、設定対象のデバイスをクリックで選択して[Get Network Info]をクリックします。
    Port Management

  1. [タスク ステータス]が表示されます。Get Network Infoのタスクが「緑色」になれば正常終了です。[×]で閉じてください。
    Task Status

  1. 設定対象のHAペアをクリックで選択し、[Manage Interfaces]をクリックします。
    どのポート番号でクリックしても同じ画面が開きます。
    デバイス選択

  1. [Manage Interfaces]の画面が開きます。Port 2,3は[Manage Interfaces]の画面には表示されません。
    設定対象のポートをクリックで選択して、[編集]をクリックします。
    Manage Interfaces

  1. [Enable Port]をチェックすると設定値を入力できます。
    ポート設定

  1. 各デバイスを選択し、編集を押します。
    各デバイス選択

  1. 各デバイスに設定する実IPアドレスを入力し、[保存]をクリックします。
    各デバイスの実IP設定

注釈

IP Address[CIDR]]は、必ず次の例のように CIDR 表記で入力してください。
 例)
192.168.2.100/24
[IP Address]+[/]+[Subnet]

  1. 設定値を入力します。
    各デバイスのネットワークID等を入力

注釈

 設定値の入力の際には以下の点にご注意ください。
  • デバイスごとの実IPアドレスと仮想IPアドレス(VRRP IP)
    次の例のように、デバイスごとに実IPアドレスを付与し、その仮想IPアドレス(VRRP)を設定します。
    例:
    1つ目のデバイスに192.168.2.101/24
    2つ目のデバイスに192.168.2.102/24

    IP Address[CIDR]とある場合は、必ずCIDR表記で入力してください。
    CIDR表記の書式:IPアドレス/サブネット(プレフィックス長)
    VRRP IPアドレスはCIDR表記ではなく、単一のIPアドレスを入力してください。
  • VRRPグループID(VRRP Group ID)
    VRRPグループIDは、同じグループIDをもつすべてのインターフェイスでステータス(Master, Slave)を追跡します。
    同じデバイス内(HAペア内)のPort 4からPort 10のうち、VRRPを設定するインターフェイスは、同じグループIDを使用してください。異なるグループIDを使用すると、フェイルオーバーが発生したときなどに正常に動作できなくなる場合があります。
  • VRRP ID(VRRP ID)
    VRRP IDは仮想MACアドレスにかかわるIDです。各社共通でVRRP IDとそのIDに割り当てられる仮想MACは次のように決定しています。
    VRRP ID 仮想MACアドレス
    1 00:00:5e:00:01:01
    2 00:00:5e:00:01:02
    ... ...
    10 00:00:5e:00:01:0a
    ... ...
    20 00:00:5e:00:01:14
    ... ...
    70 00:00:5e:00:01:46
    Managed FirewallおよびManaged UTMの対向側の機器でVRRPを使用する場合、互いに異なるVRRP IDを設定する必要があります。同じVRRP IDを使用すると正常に通信できません。
  • ID 11(仮想MACアドレス00:00:5e:00:01:0b)はManaged Firewall/UTMおよび隣接する機器のVRRP ID に使用できません。

  1. 設定値を入力して、[保存]をクリックします。この画面で保存しただけではデバイスに適用されません。

    ポート設定保存

使用するポート設定が準備できたら、「設定を適用する」の手順で設定を適用します。


2.1.2.2.6. 設定を適用する

設定適用のプロセスは、シングル構成とHA構成で共通です。

  1. 使用するポート設定が準備できたら、Manage Interfaces画面で[今実行]をクリックします。
    ポート設定適用

  1. [タスク ステータス]が表示されます。
    ポート設定適用3

    タスク ステータスの説明です。
    タスクの色   タスクのステータス
    Gray
    (灰) 未実行のタスク
    Blue
    (青) 実行中のタスク
    Green
    (緑) 正常終了したタスク
    Red
    (赤) 問題が発生したタスク

  1. すべてのステータスが「緑色」になれば正常終了です。[×]で閉じてください。
    ポート設定適用4

2.1.2.2.7. タスク ステータスと問題発生(赤色)時の対応

注釈

インターフェースの設定適用時の問題発生(赤色ステータス)は、お客さま通信に影響が出ます。 問題が発生したタスクはそのままにせず、必ず内容を確認して修正し、すべてのタスクを完了してください。


問題が発生した場合、[タスクステータス]ではこのように表示されます。
実行ステータス

[タスク ステータス]を閉じていた場合、Port Managementの[ステータス]にエラーと表示され、問題が解決するまでGet Network InfoやManage Interfaceのボタンは無効になります。
ステータスエラー

[ステータス]や[メッセージ]が表示されている領域をクリックすると、履歴が表示されます。履歴ではエラーが発生したプロセスの ステータスが赤色になり、[詳細]欄に 問題の内容が一部表示されます。
問題を解決するために右端の[ステータス詳細表示]ボタンをクリックし、[タスク ステータス]を表示してください。
ポート設定適用4

問題が発生したタスクは、詳細の右側に[タスクを続行する]ボタンが表示されます。
実行ステータス

「タスクを続行する」ボタンをクリックすると、問題となった設定の画面が表示されるので、詳細のメッセージを参照して設定値を修正してください。

上記の例の場合、「Below IP Address / MTU inputs are Not OK. Please correct the values before running the Process again. IP Address XXX.XX.XX.XX is not in CIDR format.」とあるため、「タスクを続行する」ボタンをクリックして該当のIPアドレスを修正し、再度「今実行」します。

注釈

上記の例の場合、IP Address[CIDR]*が *CIDR 表記になっていなかったためにErrorとなっています。
IP Address[CIDR]]は、必ず次の例のように CIDR 表記で入力してください。
例)
192.168.2.100/24
[IP Address]+[/]+[Subnet]

修正後に再度[今実行]をクリックすると、進捗とステータスの画面に戻り、適用が再開します。
最後のタスクが正常終了するまでお待ちください。
実行ステータス3

タスクのステータス画面を[×]で閉じてください。
実行ステータス4

タスク ステータスについて説明します。ステータスが赤色になった時は次の表でタスク名(ステータス)とタスクの説明、問題発生時に必要な対応を確認し、再実行を実施してください 。

注釈

  • 問題発生状態のまま適用作業を中断すると、お客さまのManaged Firewall / UTMがシャットダウンした状態や疎通できない状態、設定更新されない状態が継続してしまいます。
  • 再実行しても問題が解消されない場合は、Enterprise Cloud 2.0 チケットシステムでお問合せください。

タスク名 タスクの説明 問題発生時(赤色になったとき)に必要な対応
Set Context for First UTM HA構成の場合、1台目のための環境を準備します。VerifyからAttach Portsまで、および、Start the UTMからUpdate UTM Proxy ARPまで、2台目にも同じタスクが実行されます。
赤色になると環境準備に問題が発生しています。10分程度時間をおいて、再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Set Context for Second UTM HA構成の場合、2台目のための環境を準備します。VerifyからAttach Portsまで、および、Start the UTMからUpdate UTM Proxy ARPまで、1台目と同じタスクが実行されます。
赤色になると環境準備に問題が発生しています。10分程度時間をおいて、再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Verify IP Address Inputs
設定するIPアドレス(CIDR)を検証します。 HA構成の場合は、接続されたネットワークでDHCPが有効であることも検証します。
IPアドレス(CIDR)検証の結果、問題が発生しています。 入力した値を確認し、修正して再度適用を実行してください。 HA構成の場合でこのタスクが赤色になり、「Logical Network connecting to Managed Firewall/UTM must be [DHCP ON].」というメッセージが表示された場合はお客さまのネットワーク環境を確認し、DHCPが無効である場合は有効に変更してから再度適用を実行してください。 また「Subnet xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx(ID番号) does not exist.」というメッセージが表示された場合は 最新のネットワーク情報が取得できていない可能性があります。Enterprise Cloud 2.0 チケットシステムでお問い合わせください。
Verify VRRP, MTU Inputs 設定するVRRPとMTUを検証します。 赤色になると検証の結果、問題が発生しています。入力した値を確認し、修正して再度適用を実行してください。
Import Ports HA構成の場合、プロセスの最初にポート情報を読み込みます。
赤色になるとポートの読み込みに問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Stop the UTM
設定適用プロセスの開始時は、一時的にお客さまのManaged Firewall / UTM をシャットダウンします。 (Start the UTMタスクが完了するまでシャットダウン状態が継続します。)
赤色になるとシャットダウンに問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Wait for UTM Ping Reachability from MSA お客さまのManaged Firewall / UTMに対して疎通を確認します。
赤色になると疎通確認に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Stop Ping Monitoring ポート設定の適用前にPing Monitoringを一時停止します。
赤色になるとPing Monitoringの一時停止に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Delete Ports 設定を適用するために、まずはポートをDelete(削除)します。
赤色になるとポートのDelete(削除)に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Create Ports 新しいポートを作成します。
赤色になるとポートの作成に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Attach Ports 作成したポートをAttach(取り付け)します。
赤色になるとポートのAttach(取り付け)に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Start the UTM お客さまのManaged Firewall / UTMを起動します。
赤色になると起動に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Wait for UTM Ping Reachability from MSA お客さまのManaged Firewall / UTMに対して疎通を確認します。
赤色になると疎通確認に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Verify License Validity ライセンスの有効性を確認します。
赤色になるとライセンスに問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Update UTM (Interfaces) お客さまのManaged Firewall / UTMのインターフェース設定を更新します。
赤色になると設定更新に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Update UTM Proxy ARP HA構成の場合、お客さまのManaged Firewall / UTMのProxy ARP設定を更新します。
赤色になると設定更新に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Device Backup 変更された設定をシステムへ保存します。
赤色になるとシステムに問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。
Start Ping Monitoring ポート設定の適用後にPing Monitoringを再開します。
赤色になるとPing Monitoringの一時停止に問題が発生しています。10分程度時間をおいて再度適用を実行してください。 問題が解消しない場合、 Enterprise Cloud 2.0 チケットシステムでお問合せください。

すべてのタスクが正常終了(緑色)になることを確認してください。