2 台のウェブ サーバの NAT 負荷分散ポリシーの作成

これは、1 対多 NAT 負荷分散ポリシーのより具体的な例です。この例で NAT 負荷分散を設定するには、次の作業を行います。

• ロギングのログと名前解決の有効化
• アドレス オブジェクトとアドレス グループの作成
• 受信 NAT 負荷分散ポリシーの作成
• 送信 NAT ポリシーの作成
• アクセス ルールの作成
• NAT 負荷分散設定の確認とトラブル シューティング

ロギングのログと名前解決の有効化

すべての種別のログの記録、およびログの名前解決を有効にすることを強くお勧めします。

ログを有効にするには、以下の手順に従います。

1. 「デバイス | ログ > 設定 | 属性の編集」ページに移動します。

   

2. 「Model Content Event Priority (モデル内容のイベント優先順位)」ドロップダウン メニューから「デバッグ」を選択します。

3. 「イベントをログ監視に表示」および他の適切な設定で「有効」を選択します。

   デバッグ レベルのログは初期の設定およびトラブルシューティングの目的に限って使用し、設定が完了した時点で、ログ レベルを実際のネットワーク環境に合った適切なレベルに設定し直すことをお勧めします。

4. 「更新」をクリックします。

5. 「デバイス | ログ > 設定」ページで「適用」をクリックすると、変更内容が保存されて有効になります。

ログの名前解決を有効にするには、以下の手順を実行します。

1. 「デバイス | ログ > 名前解決」ページに移動します。

2. 「名前解決方法」ドロップダウン メニューで「DNS の後に NetBIOS」を選択します。「DNS の設定」セクションが表示されます。

   

3. 「WAN ゾーンと同じ DNS サーバ設定にする」オプションを選択します。「ログ名前解決用 DNS サーバ」の各フィールドの値は自動的に設定され、変更できません。

4. 「適用」をクリックすると、変更内容が保存されて有効になります。

アドレス オブジェクトとアドレス グループの作成

アドレス オブジェクトとアドレス グループを作成するには、以下の手順に従います。

1. 「オブジェクト | 一致オブジェクト > アドレス」ページに移動します。

2. 両方の内部ウェブ サーバ用のアドレス オブジェクトと、外部ユーザがサーバへのアクセスに使用する仮想 IP を作成します。例:

   

   

   

3. 「アドレス グループ」ビューをクリックします。「+ 追加」をクリックします。

4. www_group という名前のアドレス グループを作成し、先ほど作成した 2 つの内部サーバ アドレス オブジェクトを追加します。例:

   

受信 NAT 負荷分散ポリシーの作成

受信 NAT 負荷分散ポリシーを設定するには、以下の手順に従います。

1. 「ポリシー | ルールとポリシー > NAT ルール」ページに移動します。

2. 「+ 名前」をクリックし、先ほど作成したアドレス グループに変換される仮想 IP にアクセスしようとするすべてのユーザを許可する、www_group の受信 NAT ポリシーを作成します。「一般」の設定を以下に示します。

   

   この段階では、まだ NAT ルールの保存は行わないでください。

3. 「詳細」を選択します。「NAT 方式」の「詳細」ビューで、「NAT 方式」として「スティッキー IP」を選択します。

4. 「高可用性」で、「プローブを有効にする」を選択します。

5. 「プローブ種別」で、ドロップダウン リストから「TCP」を選択し、「ポート」フィールドに 80 を入力します。

   これにより、SonicOS は TCP ポート 80 を監視してサーバが正常に動作、応答しているかを確認します (このポートはユーザのアクセス先です)。

6. 「更新」をクリックすると、変更内容が保存されて有効になります。

   次の作業に進む前に、ログと状況のページをチェックして、リソースが検出済みであること、およびリソースがオンライン状態であることを示すログが記録されていることを確認してください。正常ならば、「ネットワーク監視: ホスト 192.160.200.220 はオンラインです」(IP アドレスは実際に使用されている値になります) というメッセージが含まれている 2 件の警告がファイアウォール イベントとして表示されます。この 2 つのメッセージが表示されていない場合は、これまでの手順が適切に実行されているか確認してください。

7. 「閉じる」を選択します。

送信 NAT ポリシーの作成

対応する送信 NAT ポリシーを設定するには、以下の手順に従います。

1. 「ポリシー | ルールとポリシー > NAT ルール」ページに移動します。

2. 「+ 名前」をクリックし、WAN インターフェース (既定では X1 インターフェース) 経由でリソースにアクセスする際の内部サーバの仮想 IP への変換を許可する、www_group の発信 NAT ポリシーを作成します。「一般」設定を以下に示します。「詳細」設定は必要ありません。

   

アクセス ルールの作成

アクセス ルールを設定するには、以下の手順に従います。

1. 「ポリシー | ルールとポリシー > アクセス ルール」ページに移動します。

2. 「+ ルールの追加」をクリックして、ウィザードを起動し、外部からのトラフィックに仮想 IP 経由での内部ウェブ サーバへのアクセスを許可するアクセス ルールを作成します。

   

3. 「適用」をクリックしてアクセス ルールを作成し、「次へ」をクリックしてウィザードの処理を続行します。

4. 「閉じる」をクリックしてダイアログを閉じます。

NAT 負荷分散設定の確認とトラブル シューティング

WAN を経由しないコンピュータのブラウザを使用して、内部 ウェブ サーバの 1 つでホストされているウェブ ページに HTTP 経由で接続して作業をテストします。仮想 IP 経由で接続する必要があります。

1 つ以上の SonicWall SMA 装置の負荷を分散する場合は、許可されたサービスとして HTTP ではなく HTTPS を使用して、これらの手順を繰り返します。

ウェブ サーバに対するアクセスが正常に行われていないと思われる場合は、「ポリシー | ルールとポリシー > アクセス ルール」ページに移動し、問題のウェブ サーバの横にある展開用の矢印をクリックして、そのサーバのトラフィック統計を表示します。

ルールが正しく設定されていない場合には、受信バイトと送信バイトの統計情報はまったく表示されませんが、正常に機能している場合は、負荷分散対象リソースに対する外部からのアクセスが成功するたびに、これらのバイト数が増加するのを確認できます。

最後に、ログと状況のページをチェックして、オフラインのホストがあることを示すネットワーク監視からの (黄色の) 警告が表示されていないか確認する必要があります。正常にアクセスできない場合は、負荷分散用に設定されているすべてのリソースがファイアウォールから到達不能になっているおそれがあり、その場合には、それらのリソースがオフラインでサービス停止の状態にあることが監視メカニズムによって検出されている可能性があります。負荷分散用のリソース、およびそれらとファイアウォールの間のネットワーク接続の状態をチェックして、それらが正常に機能していることを確認してください。