今回は、Cisco ACSのログコレクタについてと、
レプリケーション(冗長化)の設定方法を説明します。
特に、レプリケーションの設定でうまくいっていない場合は是非参考にしてください。
ACS ログコレクタについて
ACS ログコレクタとは、言葉通りログを収集する機能のことを指します。
通常、ネットワーク機器は、自らでログの収集して保存するため、特に気にする必要はありません。
しかし、ACSは気にする場面があります。
どういうときにこの概念が必要になってくるかというと、
2台以上で冗長化しているときです。レプリケーションの機能を使い冗長構成をとっているときです。
ACS自らでログの収集をするのはその通りなのですが、
2台以上の冗長構成をとっている場合、ログコレクタを定義するのは、
一台のみで良いです。
ACSの冗長構成はActive-Standby構成であるため、
2台以上のACSが存在する場合でも実際に認証を行う機器は一台です。
ですが、ログの収集は別の一台で行うことが通常です。
ちなみに、認証を行うACSをプライマリサーバ
それ以外をセカンダリサーバと呼びます。
また、レプリケーションの仕様として、
設定変更はプライマリサーバでしかできませんので、
プライマリACSサーバで認証、設定変更を行い、
セカンダリACSサーバでログ管理を行います。
ciscoもこのように推奨しています。
では、どうしてログコレクタを分ける必要があるのかというと、
そもそも、ACS5.Xはログの管理をMonitoring and Report Viewerという機能で行っていますが、
この機能には、非常に多くのリソースを要します。
そのため、本来の機能である認証のパフォーマンスは50%も低下する可能性があります。
よって、2台以上でACSを構成するときは、
セカンダリ認証サーバ兼、ログコレクタ用に一台使用したほうが良いということです。
ちなみに、ログコレクタの設定は、レプリケーション後、「System Administration」 > 「Configuration」 > 「Log Configuration」 > 「Log Collector」から行います。
レプリケーションの設定方法について
レプリケーションとは2台以上のACSで冗長化することを指します。
初めて、レプリケーションの設定をしたとき、うまくいかなかったのでシェアしておきます。僕は、英語のサイトから問題がわかったのですが、うまくいかない場合、以下の方法を試してみてください。
レプリケーションの設定前に、「System Administration」 > 「Configuration」 > 「Global System Options」 > 「Trust Communication Settings」 から、「Enable Nodes Trust Communication」という項目のチェックを外します。
「Enable Nodes Trust Communication」は冗長構成をする際に証明書を使用するかというパラメータです。
その後、通常の設定です。
セカンダリサーバのブラウザにて、「System Administration」 > 「Operations」 > 「Local Operations」> 「Deployment Operations」から、プライマリサーバの情報を登録します。
【パラメータ】
・Primary Instance: プライマリACSサーバのIPアドレス
・Admin Username: プライマリACSサーバのWebログイン時のユーザ名
・Admin Password: プライマリACSサーバのWebログイン時のパスワード
以上、ありがとうございました。
コメント