PAN-OSにおける高可用性の設定方法

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
How to Configure High Availability on PAN-OS
https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-High-Availability-on-PA...

訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。

 

概要

本ドキュメントでは、Palo Alto Networksファイア ウォールの高可用性設定手順を記載しています。

注: 本ドキュメントはPA-200デバイスの高可用性設定には該当しません。

 

手順

プライマリ機を設定します

  1. "Network" > "インターフェイス" へ移動します。

    ss1.png

    注:

    HAのリンクは以下のスクリーンショットのようになります。

    ss2.png

    1. 使用しようとしているHAリンクがアップしている状態であることを確認してください。
    2. インターフェイス タイプがどちらもHAになっていることを確認してください。
    • PA-3000, PA-4000 または PA-5000 Series のデバイスのペアを設定する場合は、上記の手順はスキップしてください。VM-Seriesを含むその他のファイアウォールでは、特定のポートをHAタイプとして設定する必要があります。
  2. "高可用性" > "全般" へ移動します。

    ss3.png

    注:

    1. セットアップ セクションで設定変更を行います。
    2. 右上の歯車(編集)ボタンを押してください。
    3. HAの有効化にチェックをいれます。
    4. HAの2台の機器で共通となるグループIDを入力します。
    5. ピアのIPアドレスを入力します。このアドレスは以降の手順で使用します。
    6. 設定の同期化の有効化にチェックを入れます。
    • グループIDはL3インスタンスの仮想MACを生成する際に使われます。もし1つ以上のクラスタが同一のL2ネットワークに存在する場合、IDはクラスタ毎に異なる必要があります。
    • ピアHA IPアドレスには、ネットワーク内で現在使われていない任意のIPアドレスを使用することができます。
    • もしポート数に十分な空きがあれば、"バックアップ側 ピア HA IP アドレス" の設定を推奨します。
  3. "全般" タブにある "コントロール リンク (HA1)" をクリックします。

    ss4.png

    注:

    1. コントロールリンクとして、一つ目のHAインターフェイスを選択します。
    2. 手順2で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。
    • コントロール リンクが対向の機器に直接繋がっていない場合、暗号化(AES-256)を使うことも可能です。
    • コントロール リンクが異なるブロードキャスト ドメインにある場合は、ゲートウェイの設定のみ必要です。
  4. "全般" タブにある "データ リンク (HA2)" をクリックします。

    ss5.png

    注:転送の設定

    1. データリンクで使用するために二つ目のHAインターフェイスを選択します。
    2. データリンク用のIP情報を設定します。
    3. 有効化のチェックボックスにチェックを入れます。
    • Ethernet: ファイアウォールが直接繋がっている場合、またはスイッチ(Ethertype 0x7261) 経由で繋がっている場合に使用します。
    • IP: レイヤー3転送が必要な場合に使用します。(IPプロトコル番号は99です)。
    • UDP: IPオプション(UDP port 29281)にてヘッダだけではなくパケット全体に対してチェックサムの計算をする場合、アドバンテージとして使うことが可能です。
  5. "全般" > "選択設定" にある歯車マークをクリックします。

    ss6.png

    1. どちらかのファイアウォールがアクティブになるように設定するにはプリエンプティブを両方のファイアウォールで有効にしデバイス優先度を設定します。

      デバイス優先度で設定された値が小さい方のデバイスがアクティブになります。

    2. その他の設定項目に関しては、右上の"?"ボタンを押してヘルプを参照してください。
    3. セッション同期が有効になっている場合、セッション テーブル、フォワーディング テーブル、ARPテーブル、VPN Security Associations (SA) はHA2を用いてアクティブ機からコピーされます。パッシブ機が引き継いだ際には、既存のセッションは継続します。
    4. プライマリとセカンダリ間で管理インターフェイスを用いた接続が可能であれば、管理インターフェイスでpingを行うハートビート バックアップを有効にすることを推奨します。
  6. 設定をコミットします。

    この時点で、全てのレイヤー3インターフェイスは新しい (共通) MACアドレスを取得します。それぞれのレイヤー3インターフェイスに接続されているスイッチに対し、新しいIPアドレスとMACアドレスの組み合わせをgratuitous ARPによって数回通知します。

    ss7.png

  7. プライマリ機がアクティブであることを確認します。

    以下のように、ローカルはアクティブと表示され、ピアはunknownと表示されます。

    ss8.png

    1. ダッシュボードへ移動します。
    2. 高可用性ウィジットを追加します。
    3. "ウィジット" > "システム" > "高可用性"
  8. セカンダリ機を設定します。

  9. 手順1を参照し、プライマリ機のHAリンクと通信するための二つのHAリンクを、セカンダリ機においても設定します。

    ss9.png

    1. セカンダリ機の "Device" > "高可用性" > "全般" へ移動し、HAの有効化にチェックを入れます。(手順2を参照)
    2. プライマリ機と同じグループIDを設定します。
    3. プライマリ機のコントロール リンクに設定したIPアドレスを入力します。
    4. 設定の同期化の有効化にチェックを入れます。
  10. "全般" タブにある "コントロール リンク (HA1)" をクリックします。

    ss10.png

    注:プライマリ機にて暗号化を有効にした場合は、ここでも暗号化を有効にします。

    1. セカンダリ機のコントロール リンクのために使用する一つ目のHAインターフェイスを選択します。
    2. 手順8で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。
  11. "全般" タブにある "データ リンク (HA2)"をクリックします。

    ss11.png

    1. データ リンクとして使用する二つ目のHAインターフェイスを選択します。
    2. データ リンク用にIP情報を設定します。
    3. 有効化のチェックボックスにチェックを入れます。
    4. 転送のドロップ ダウンの設定がプライマリ機の設定と同じことを確認してください。
  12. プリエンプティブの設定を除き、プライマリ機の選択設定と同じ設定を行います。

    ss12.png

    この設定では、プリエンプティブは無効になっています。

    1. プリエンプティブを有効にします。
    2. デバイス優先度を設定します。値が大きい程、優先度は低くなります。
  13. セカンダリ機において、変更をコミットします。

    ss13.png

  14. プライマリ機に移動します。

    ss14.png

    1. ローカルがアクティブで、ピアがパッシブであることを確認します。
    2. 全てのダイナミック更新が同期されていることを確認します。
    3. この例は、アンチウィルスとGlobalProtectが同期されていない状態を示しています。
  15. 必要に応じてアップデートを行います。全てがマッチすると以下のようになります。

    ss15.png

  16. 両方のデバイスにおいて全てがマッチしたら、アクティブ機のダッシュボードへ移動し、"ピアと同期" をクリックします。"synchronization in progress"と表示されます。

    ss16.png

  17. セカンダリ (パッシブ) 機のCLIにて、HAの同期プロセスを以下のコマンドで確認します。

    > show jobs all

    最初の二回のHAの同期は失敗しています。原因を特定し問題を解決します。

    ss17.png

  18. 失敗したジョブの詳細を確認するためには、以下のコマンドを実行してください。

    > show jobs id <id number of the HA-Sync job>

    最初の同期の失敗は、ID 13です。

    ss18.png

    パッシブ機において"Samir"という名前のセキュリティ ルールが存在し、それによってHAの同期プロセスが失敗しています。このルールは以前にPanoramaからプッシュされた共有ポリシーです。

    このルールを削除し、アクティブ機のダッシュボードより再度ピアへの同期を開始します。今回はジョブが正常に終了しました。

    ss19.png

    高可用性が設定されました。

  19. リンク モニタリングとパス モニタリングを設定します(任意):

    ss20.png

    1. "Device" > "高可用性" > "リンクおよびパスのモニタリング" タブへ移動します。
    2. この例では全てのリンクをモニターします。つまり、もしいずれかのリンクがアクティブ機でダウンした場合、フェイルオーバーが発生します。
    3. この例では、パス モニタリングは設定されていません。
    4. リンクおよびパスのモニタリングのヘルプを参照するためには、タブの右上にある"?"ボタンをクリックしてください。