今回はPaloaltoを冗長化する方法についての内容です。
ちなみに、冗長化のことをHAといいまして、High Availability(高可用性)のことを示します。
以下、HAと呼びます。
PaloaltoのHAはActive-Active構成も可能なようですが、
Active-Standby構成のHAしかやったことありませんので、Active-Standby構成を前提として説明します。
Active-Standby構成の場合、特定のアクションにより、
フェールオーバー(Active-Standbyの切り替わり)が発生します。
設定方法の手順としては、
①Setupパラメータの作成
②HAリンクの作成
③プライオリティの設定
④Link Moniteringの設定
⑤Path Moniteringの設定
⑥Sync to peer
①Setupパラメータの作成
Device > High Availability > General > Setup より、
「Enable HA」にチェックを入れ、GroupIDとHAのpeerアドレスを入力します。
GroupIDは対向と合わせる必要があります。
「Enable Config Sync」
②HAリンクの作成
Device > High Availability > General > Control Link(HA1)より、
HA1のIPアドレスを入力します。また、HAポートがついていない機器については、HAポートを作成します。
Device > High Availability > General > Data Link(HA2)より、
「Enabled」にチェックを入れます。また、HAポートがついていない機器については、HAポートを作成します。
IPアドレスについてはなくてもOKです。
ちなみに、PA-3020よりも上位のPaloaltoに関してはHAポートが2ポートつきます。
PA-500よりも下位のPaloaltoに関してはHAポートがつきませんので、通常のインターフェースをHAポートに設定する必要があります。
③プライオリティの設定
Device > High Availability > General > Election Settingsより、
Priorityを変更します。高いPriorityを持つ機器がActiveになります。
㈬Link Moniteringの設定
Link Moniteringとは、Paloaltoがリンクをモニターして、
リンクダウンした場合に、フェールオーバーを発生させます。
Device > High Availability > Link Monitoring and Path Monitoring > Link Monitoringより、
「Enabled」にチェックを入れます。
Device > High Availability > Link Monitoring and Path Monitoring > Link Groupより、
モニターしたいポートを選択します。
リンクアグリゲーションなどを組んでいるとときに、Groupを分けたり、Failure Conditionを組み合わせて使用します。
④Path Moniteringの設定
Path Moniteringとは、ping監視のことです。
指定のIPアドレスにpingが届かなくなるとフェールオーバーが発生します。
Device > High Availability > Link Monitoring and Path Monitoring > Path Monitoring より、
「Enabled」にチェックを入れます。
Device > High Availability > Link Monitoring and Path Monitoring > Path Group より、
対象のIPアドレスの指定やグループの作成ができます。
Link MoniteringとPath Moniteringの項目に「Failure Condition」というものがありますが、
anyの場合、いずれかの問題によりアクションが発生します。
allの場合、すべての問題によりアクションが発生します。
最後に、DashBoard画面にてHAの状態が確認できます。
コメント