Paloalto冗長化(HA)の設定方法

Paloalto

今回はPaloaltoを冗長化する方法についての内容です。

ちなみに、冗長化のことをHAといいまして、High Availability(高可用性)のことを示します。
以下、HAと呼びます。

 

PaloaltoのHAはActive-Active構成も可能なようですが、
Active-Standby構成のHAしかやったことありませんので、Active-Standby構成を前提として説明します。
Active-Standby構成の場合、特定のアクションにより、
フェールオーバー(Active-Standbyの切り替わり)が発生します。

 

設定方法の手順としては、

①Setupパラメータの作成
②HAリンクの作成
③プライオリティの設定
④Link Moniteringの設定
⑤Path Moniteringの設定
⑥Sync to peer

 

①Setupパラメータの作成

Device > High Availability > General > Setup より、

「Enable HA」にチェックを入れ、GroupIDとHAのpeerアドレスを入力します。
GroupIDは対向と合わせる必要があります。
「Enable Config Sync」

 

②HAリンクの作成

Device > High Availability > General > Control Link(HA1)より、
HA1のIPアドレスを入力します。また、HAポートがついていない機器については、HAポートを作成します。

Device > High Availability > General > Data Link(HA2)より、
「Enabled」にチェックを入れます。また、HAポートがついていない機器については、HAポートを作成します。
IPアドレスについてはなくてもOKです。

ちなみに、PA-3020よりも上位のPaloaltoに関してはHAポートが2ポートつきます。
PA-500よりも下位のPaloaltoに関してはHAポートがつきませんので、通常のインターフェースをHAポートに設定する必要があります。

 

③プライオリティの設定

Device > High Availability > General > Election Settingsより、
Priorityを変更します。高いPriorityを持つ機器がActiveになります。

㈬Link Moniteringの設定
Link Moniteringとは、Paloaltoがリンクをモニターして、
リンクダウンした場合に、フェールオーバーを発生させます。

Device > High Availability > Link Monitoring and Path Monitoring > Link Monitoringより、
「Enabled」にチェックを入れます。

Device > High Availability > Link Monitoring and Path Monitoring > Link Groupより、
モニターしたいポートを選択します。
リンクアグリゲーションなどを組んでいるとときに、Groupを分けたり、Failure Conditionを組み合わせて使用します。

 

④Path Moniteringの設定

Path Moniteringとは、ping監視のことです。
指定のIPアドレスにpingが届かなくなるとフェールオーバーが発生します。

Device > High Availability > Link Monitoring and Path Monitoring > Path Monitoring より、
「Enabled」にチェックを入れます。

Device > High Availability > Link Monitoring and Path Monitoring > Path Group より、
対象のIPアドレスの指定やグループの作成ができます。

Link MoniteringとPath Moniteringの項目に「Failure Condition」というものがありますが、

anyの場合、いずれかの問題によりアクションが発生します。
allの場合、すべての問題によりアクションが発生します。

 

最後に、DashBoard画面にてHAの状態が確認できます。

paloalto_ha

 

コメント

タイトルとURLをコピーしました