ナレッジドキュメント

※この記事は以下の記事の日本語訳です。 How to Configure a High Availability Replacement Device https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-a-High-Availability-Replacement-Device/ta-p/60397     概要 この文書は、高可用性 (HA) システム中のデバイスをRMAする場合の、交換デバイスの設定方法について記載します。   手順 設定のバックアップを収集 故障したデバイスの設定のバックアップを取得する: [ Device ] > [セットアップ ] > [ 操作 ] > [ 設定の管理 ] > [ デバイス状態のエクスポート ] をクリックします。 デバイス状態には、デバイスの設定が含みます。 注: Panoramaからデバイスのバックアップを取得するには、[ Panorama ] > [ 管理対象デバイス ] を開き、適切なデバイスのバックアップ欄の中の「Manage...」をクリックします。あるいは、CLIからSCPやTFTPを使用してコンピュータにデバイス状態をエクスポートできます。 > scp export device-state device to username@serverip:/path/ 以下のコマンドを使用して、故障した機器をシャットダウンします: > request shutdown system 新しい機器をラックに載せ、機器の管理インターフェイスに接続します。   新しいデバイス上で、基本的な設定を実施 ライセンスを転送します。参照:How to Transfer Licenses to a Spare Device (任意) 古いファイアウォールの操作モードに合わせるために、新しいファイアウォールのモードを設定します。この作業にはシリアルポートでの接続が必要です。 以下のCLIコマンドを入力して、ファイアウォールのメンテナンスモードに入ります: > debug system maintenance-mode メンテナンス パーティションに入ってブートするために、ブート シーケンス中に"maint"と入力します。 メイン メニューから、操作モードとして"Set FIPS Mode"または"Set CCEAL 4 Mode"を選択します。 交換したデバイスへの管理アクセスを設定します。 コンソールに接続し、初期の資格情報を使用してログインします: ユーザー名:admin パスワード:admin 以下のCLIコマンドを使用して管理IPアドレス、ネットマスク、ゲートウェイ、DNS、そして更新サーバーを設定します: > configure # set deviceconfig system ip-address <value> netmask <value> default-gateway <value> # set deviceconfig system dns-setting servers primary 4.2.2.2 # set deviceconfig system update-server updates.paloaltonetworks.com # commit # exit テストとしてドメインに対してPingをします。例:(訳注1) > ping host paloaltonetworks.com ライセンス サーバーからライセンスを取得します。 [ Device ] > [ ライセンス ] を開きます。 「ライセンス サーバーからライセンス キーを取得」をクリックします。 URLフィルタリングのライセンスを所有していることを確認し、URLフィルタリングが有効化されていることと、そのデータベースのダウンロードに成功していることを確認します。 注:「今すぐダウンロード」というリンクが表示されている場合、データベースはダウンロードされていません。 交換したデバイスに、既存の対となるHAデバイスと同じGlobalProtectクライアントと、同じバージョンのPAN-OSをインストールします。 GlobalProtectクライアントのインストール [ Device ] > [ GlobalProtectクライアント ] を開きます。 適切なバージョンのクライアントをダウンロードして有効にします。 PAN-OSのインストール [ Device ] > [ ソフトウェア ] を開きます。 適切なイメージをダウンロードしてインストールします。 再起動します。 ダイナミック更新が、対となるHAとして同じバージョンを保持していることを確認します。同じバージョンではない場合、適切なバージョンをダウンロードしてインストールします: [ Device ] > [ ダイナミック更新 ] > [ ダウンロード ] > [ インストール ] デバイスがPanoramaから管理されている場合、古いシリアルナンバーを新しいシリアルナンバーと置き換えます: > replace device old <Old Serial #> new <New Serial #>   設定の復元 [ Dev ice ] > [ セットアップ ] > [ 操作 ] を開きます。 「デバイス状態のインポート」をクリックして、故障したデバイスから、以前バックアップしておいた設定をインポートします。 コミットをクリックし、デバイス状態のインポートを完了させます。 (任意) 新しいファイアウォールの操作状態を古いファイアウォールに合わせます。例えば、マルチ仮想システム (multi-vsys) 機能 を有効にしていたファイアウォールのために multi-vsys機能 を有効に します。 > set system setting multi-vsys on > set system setting jumbo-frame on 新しいデバイスが、アクティブなデバイスに設定をプッシュしないように、確実にパッシブ状態にしておきます。 新しい機器を一時停止させるために、CLIにて以下のコマンドを実行します: > request high-availability state suspend あるいは GUIから、[ Device ] > [ 高可用性 ] > [ 操作コマンド ] > [ ローカル デバイスの一時停止(訳注2)] あるいは 設定変更を実施: [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] を開き、"設定の同期化の有効化"オプションのチェックボックスのチェックを外す。 [ 選択設定 ] 内のプリエンプティブを無効にする。 もっとも大きいデバイスのプライオリティ値 (255) でデバイスを設定する。 コミットを実行する。 注:デバイスは、この設定ではアクティブにはなりません。参照:High Availability Synchronization 交換したデバイスが、アクティブなデバイスと同じ設定を保持していることを確認します。 [ Dashboard ] タブを開き、高可用性ウィジェットを確認します。 注:高可用性ウィジェットが表示されていない場合、[ ウィジェット ] > [ システム ] > [ 高可用性 ] をクリックします。 設定が同じでない場合、[ Device ] > [ 高可用性 ] を開き、アクティブなデバイスから"Push configuration to peer"をクリックします。    アクティブな機器にログインします。[ Device ] > [ 設定監査 ] を開き、"Running Config"と "Peers Running Config"間で設定監査を行います。両方の設定が同じであることを確認します。相違が見られる場合、パッシブな機器を手動にて設定を試みます。 故障したデバイスの設定のバックアップが取得されていなかった場合、設定に相違が起きる可能性があり、新しいデバイスはアクティブな機器と同じ設定を持たないことになります。このような場合、手動による設定が必要となります。 交換したデバイスにて、設定の同期を有効にし ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ セットアップ ] )、プリエンプティブを有効にします ( [ Device ] > [ 高可用性 ] > [ 全般 ] > [ 選択設定 ] )。 コミットをクリックして、変更を反映します。   コミット後、残りのケーブルを新しいデバイスに接続します。     訳注1:2016/10/31現在、paloaltonetworks.comや更新サーバーはPingに対して応答を返さなくなっています。更新サーバーへの接続確認は、WebUIでは、[Device] > [ソフトウェア]から[今すぐチェック]をクリックし接続エラー出ないことを確認するなどの方法で行ってください。 訳注2:[Suspend local デバイス]の表記となっている場合もあります。   著者:hshah
記事全体を表示
hshirai ‎11-10-2016 12:15 AM
4,759件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 Information Synchronized in an HA Pair https://live.paloaltonetworks.com/t5/Learning-Articles/Information-Synchronized-in-an-HA-Pair/ta-p/57292     概要 この資料は、高可用性 (HA) ペア メンバー間で同期される情報について説明しており、アクティブ-パッシブやアクティブ-アクティブでの構成に対応しています。   詳細 HA1リンクにおけるコントール プレーンの同期 設定:アクティブ、あるいはパッシブなユニットが、対となるデバイスに対して同期される設定の変更 同期されるタブ:[ Policies ]、[ Objects ]、[ Network ] Web証明書を除く、すべての証明書   HA2リンクにおけるデータ プレーンの同期 セッションの状態 IPSec SA MAC テーブル Neighbor Discoveryテーブル MACを返すIPv(4/6) HA2モニタ メッセージ ARPテーブル   以下のコマンドを使用して、HA2リンクにおいて何が同期されるのかを確認します: > show high-availability state-synchronization   同期されないオブジェクト ネットワーク内における、インターフェイスの特定のパラメータ (例:リンク速度やリンク デュプレックス) アプリケーション コマンド センター (ACC) とログのデータ Web証明書 HA間のログ リンクの設定 (参照:How Does the Log Link Feature Work?)   注:[ Device ] タブ内にある各オブジェクトは、すべてが同期されるというわけではありません。同期される全オブジェクトの一覧については、こちらをご覧ください:High Availability Synchronization   同期を手動で行うためのCLIコマンド 現在実行中の設定を同期するコマンド。 >request high-availability sync-to-remote running-config システム設定の一部として保存されていないオブジェクト、例えばカスタム ブロック ページやログオン ページを強制的に同期するコマンド。このプロセスは、HAコントロール リンク上で動作します。 >request high-availability sync-to-remote disk-state 手動でランタイム セッションの状況を同期するコマンド。これは、通常は自動的に行われますが、必要に応じて、以下のコマンドを実行することで、セッション テーブルを強制的に同期することができます。 >request high-availability sync-to-remote runtime-state   参照 High Availability Synchronization.     著者:akawimandan
記事全体を表示
hshirai ‎08-23-2016 06:19 PM
4,828件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Display Interface MAC Addresses https://live.paloaltonetworks.com/t5/Management-Articles/How-to-Display-Interface-MAC-Addresses/ta-p/61225   概要 このドキュメントではインターフェイスの MAC アドレスを表示する方法ついて記述しています。   詳細 以下のコマンドを実行することで HA クラスターを含むファイアウォール上のインターフェイスのMACアドレスを表示できます。 例えばファイアウォール上の全てのインターフェイスの MAC アドレスを表示する場合、次のコマンドを実行します: > show interface all total configured hardware interfaces: 15 name                    id    speed/duplex/state        mac address -------------------------------------------------- ----------------------------- ethernet1/1             16    1000/full/up              00:1b:17:05:2c:10 ethernet1/2             17    1000/full/up              00:1b:17:05:2c:11 ethernet1/3             18    unknown/unknown/down      00:1b:17:00:0b:12 ethernet1/4             19    unknown/unknown/down      00:1b:17:00:0b:13 ethernet1/5             20    1000/full/up              00:1b:17:00:0b:14 ethernet1/6             21    1000/full/up              00:1b:17:00:0b:15 ethernet1/7             22    unknown/unknown/down      00:1b:17:00:0b:16 ethernet1/8             23    100/full/up               00:1b:17:00:0b:17 ethernet1/9             24    100/full/up               00:1b:17:00:0b:18 ethernet1/10            25    100/full/up               00:1b:17:00:0b:19 ethernet1/11            26    unknown/unknown/down      00:1b:17:00:0b:1a ethernet1/12            27    unknown/unknown/down      00:1b:17:00:0b:1b vlan                    1     [n/a]/[n/a]/up            00:1b:17:00:0b:01 loopback                3     [n/a]/[n/a]/up            00:1b:17:00:0b:03 tunnel                  4     [n/a]/[n/a]/up            00:1b:17:00:0b:04   total configured logical interfaces: 21   特定のインターフェイスを表示する場合、次のコマンドを実行します: > show interface ethernet1/1   例: > show interface ethernet1/1 -------------------------------------------------- ----------------------------- Name: ethernet1/1, ID: 16 Link status:   Runtime link speed/duplex/state: 1000/full/up   Configured link speed/duplex/state: auto/auto/up MAC address:   Port MAC address 00:1b:17:05:2c:10 Operation mode: ha -------------------------------------------------- ----------------------------- Name: ethernet1/1, ID: 16 Operation mode: ha Interface IP address: 2.2.2.2/24 Interface management profile: N/A Service configured: Zone: N/A, virtual system: N/A -------------------------------------------------- ----------------------------- Physical port counters read from MAC: -------------------------------------------------- ----------------------------- rx-broadcast                  0   HA クラスターの MAC アドレスを表示する場合、次のコマンドを実行します: > show high-availability state   For example: > show high-availability state Group 1:   Local Information:     Version: 1     State: active     Priority: 200     Preemptive: False     Platform Model: PA-4050     Version information:       Build Release: 3.0.5       URL Database: 3233       Application Content: 160-463       Threat Content: 160-463       VPN Client Software: 1.0.2     Passive Hold Interval: 10 ms     Passive Link State: auto     Hello Message Interval: 1000 ms     Management IP Address: 10.30.14.7; netmask: 255.255.255.0     HA1 IP Address: 1.1.1.2; netmask: 255.255.255.0     HA1 MAC Address: 00:30:48:5d:45:f7     HA1 encryption enabled: False     HA2 MAC Address: 00:1b:17:01:18:06     Running Configuration: synchronized     State Synchronization: synchronized     Application Content Compatibility: Match     Threat Content Compatibility: Match     VPN Client Software Compatibility: Match   Peer Information:     Connection status: up     Version: 1     State: passive     Priority: 1     Preemptive: False     Platform Model: PA-4050     Version information:       Build Release: 3.0.5       URL Database: 3233       Application Content: 160-463       Threat Content: 160-463       VPN Client Software: 1.0.2     Management IP Address: 10.30.14.6     HA1 IP Address: 1.1.1.1     HA1 MAC Address: 00:30:48:5d:0c:c1     HA2 MAC Address: 00:1b:17:01:14:06   HA クラスターの L3 インターフェイスの場合、show interface all コマンドで表示される MAC アドレスは仮想 MAC になります。 仮想 MAC のフォーマットは次の様になります:00-1B-17-00-xx-yy 00-1B-17: ベンダーID 00: 固定 xx: HAグループ ID yy: インターフェイス ID   次のコマンドは Active-Active の HA クラスターの仮想 MAC と仮想 IP を表示します: > show high-availability virtual-address   例: > show high-availability virtual-address Total interfaces with virtual address configured:   2 Total virtual addresses configured:                 2 -------------------------------------------------- ------------------------------ Interface: ethernet1/1   Virtual MAC:               00:1b:17:00:05:10   Virtual MAC from the peer: 00:1b:17:00:85:10   107.204.232.53                          Active:yes    Type:floating -------------------------------------------------- ------------------------------ Interface: ethernet1/6   Virtual MAC:               00:1b:17:00:05:15   Virtual MAC from the peer: 00:1b:17:00:85:15   192.168.90.1                            Active:yes    Type:floating -------------------------------------------------- ------------------------------   次のコマンドは Active-Passive の HA クラスターの仮想 MAC を表示します: > show interface all ethernet1/5             20    1000/full/up              00:1b:17:00:0b:14   上記の例では HA グループ ID = 0b (16進数) = 11 (10進数)、インターフェイス ID = 14 (16進数) = 20 (10進数) となります。     著者:gcapuno
記事全体を表示
oconnellm ‎08-03-2016 02:06 AM
5,591件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to upgrade a High Availability (HA) pair https://live.paloaltonetworks.com/t5/Management-Articles/How-to-upgrade-a-High-Availability-HA-pair/ta-p/57081   概要   HAペアのPAN-OSをアップグレードするにあたって、この記事に書かれている手順を実行することを推奨します: アップグレード前にHA機能が正常に動作している事を確認できます。 2番目の機体をアップグレードする前に一つ目の機体が正常にアップグレードされた事を確認できます。 手順のどの時点で、なんらかの事象が発生した場合、ダウンタイム無しでバージョンを元に戻す事ができます。 (OSPFやBGPなどのルーティングプロトコルを使用していない場合)。 HAペアのアップグレード完了した時点で必要最小限のfailover(二回)で元のアップグレード前のactive/passive状態に戻す事ができます。   アップグレードの準備:   Configurationのバックアップと Tech Supportファイルを HA Pair両方からダウンロードします。 個々のファイルに適切なファイル名をつけます。 Device > Setup > Operations > Save Named Configuration Snapshotをクリックしconfiguration snapshotの名前を設定し、保存します。 Device > Setup > Operations > Export Named configuration Snapshotをクリックし前のステップで設定したconfiguration snapshotをダウンロードします。 (HAペアがPanoramaで管理されている場合) Device > Setup > Operations > Export Device State をクリックし、Device stateをダウンロードします。 Device > Support > Generate Tech Support Fileをクリックし、生成された後ダウンロードします。 (アップグレード中なんらかの事象が発生した場合に必要になります) (オプショナルですが推奨): アップグレード中、不必要なfailoverを避けるためHigh Availability 設定でPreemptionを無効にします。Preemption無効の設定はHA Pair 両方にcommitしてください. アップグレードの完了後、また両方に有効にします。 preemptionを無効にするには, Device > High Availability > Election Settings で Preemptiveのチェックを外し、 commitします。     メジャーバージョン間のアップグレードの場合(6.0 -> 6.1 または 6.1-> 7.0), HA Pair間でセッションがsyncしてなくともfailoverする様にTCP-Reject-Non-SYNを無効にすることを推奨します。 # set deviceconfig setting session tcp-reject-non-syn no # commit (オプショナルですが推奨)予想外の事象でSSHやWebUIでログインできなくなることを想定し、FirewallへOut-of-Band アクセス (コンソールアクセス) が出来るのを確認します。   ステップ:   先にactive機(firewall A)を CLIでsuspendします。以下のコマンドを実行します: > request high-availability state suspend または WebUIで Device > High Availability > Operations > Suspend local deviceをクリックします。  注意: このステップでpassive機(firewall B)へのHA failoverが発生します.  これをする事によってアップグレードを実行する前にHA機能が正常に動作していることを確認できます。 前Active機(firewall A)がsuspended状態で現在のActive機(firewall B)の動作が安定していることを確認します。 suspended機(firewall A)上で新しいPAN-OSをインストールし、再起動してインストールを完了します。  How to Upgrade PAN-OS and Panorama アップグレードされた機体(firewall A)が再起動した後、 CLI プロンプトでは passive (メジャーバージョン間のアップグレードの場合はnon-operational)と表示され、 PAN-OS versionも新しくインストールされたバージョンが反映されます。 Passive機(firewall A)のCLI で以下のコマンドを使い , auto commit が成功したことを確認します(FIN OK)。  > show jobs all   注意:  Passive機(firewall A)がnon-functional状態の場合, 以下のコマンドを実行して実行(functional)状態に戻します:  > request high-availability state functional Active機(firewall B)をsuspendします。Suspendedを実行した後, 既にアップグレードされている機体(firewall A)がまたActiveに戻ります。 注意: OSPFやBGPの様なルーティングプロトコルを使用しているHAペアのActive機をsuspendするに当たり、ネットワーク構成によって短時間の通信遮断を起こす事があります。 これは ルーターとsuspendされた ファイアウォール 間の隣接関係が切断され、 新しくActiveになった機体と確立するためです。 ダウンタイムを短縮するためには, Firewallと隣接関係のルーター間でGraceful restartを有効にしてください。Graceful Restart機能はPAN-OS 6.0以降でサポートされてます。 Suspend 状態の機体 (Firewall B) 上で新しい PAN-OSをインストールし、 リブートします。 リブートが終わった後, Passive機として起動します。Passive機(firewall B)のCLI で以下のコマンドを使い、 auto commit が成功したことを確認します(FIN OK)。 > show jobs all 注意:  Active-ActiveのHAペアの場合, Active-Passiveと同じ様にステップを実行してください。アップグレード全体は30分程かかると思われます。   ダウングレードの方法 新しいバージョンでなんらかの事象が発生してダウングレードが必要になった場合: 前のPAN-OSのバージョンに戻すには, 以下のCLIコマンドを実行します: > debug swm revert   このコマンドによってアップグレード前に使用していたパーティション(前のPAN-OSバージョン)からブートされます。 何もアンインストールされず、設定変更もありません。
記事全体を表示
oconnellm ‎04-19-2016 11:29 PM
8,818件の閲覧回数
0 Replies
※この記事は以下の記事の日本語訳です。 How to Configure High Availability on PAN-OS https://live.paloaltonetworks.com/t5/Configuration-Articles/How-to-Configure-High-Availability-on-PAN-OS/ta-p/54086 訳注: 一部の説明、スクリーンショットの記述が最新のPAN-OSでは若干異なっている場合があります。   概要 本ドキュメントでは、Palo Alto Networksファイア ウォールの高可用性設定手順を記載しています。 注:  本ドキュメントはPA-200デバイスの高可用性設定には該当しません。   手順 プライマリ機を設定します "Network" > "インターフェイス" へ移動します。 注: HAのリンクは以下のスクリーンショットのようになります。 使用しようとしているHAリンクがアップしている状態であることを確認してください。 インターフェイス タイプがどちらもHAになっていることを確認してください。 PA-3000, PA-4000 または PA-5000 Series のデバイスのペアを設定する場合は、上記の手順はスキップしてください。VM-Seriesを含むその他の ファイアウォールでは、特定のポートをHAタイプとして設定する必要があります。 "高可用性" > "全般" へ移動します。 注: セットアップ セクションで設定変更を行います。 右上の 歯車(編集)ボタンを押してください。 HAの有効化にチェックをいれます。 HAの2台の機器で共通となるグループIDを入力します。 ピアのIPアドレスを入力します。このアドレスは以降の手順で使用します。 設定の同期化の有効化にチェックを入れます。 グループIDはL3インスタンスの仮想MACを生成する際に使われます。もし1つ以上のクラスタが同一のL 2ネットワークに存在する場合、IDはクラスタ毎に異なる必要があります。 ピアHA IPアドレスには、ネットワーク内で現在使われていない任意のIPアドレスを使用することができます。 もしポート数に十分な空きがあれば、"バックアップ側 ピア HA IP アドレス" の設定を推奨します。 "全般" タブにある "コントロール リンク (HA1)" をクリックします。 注: コントロールリンクとして、一つ目のHAインターフェイスを選択します。 手順2で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。 コントロール リンクが対向の機器に直接繋がっていない場合、暗号化(AES-256)を使うことも可能です。 コントロール リンクが異なるブロードキャスト ドメインにある場合は、ゲートウェイの設定のみ必要です。 "全般" タブにある "データ リンク (HA2)" をクリックします。 注:転送の設定 データリンクで使用するために二つ目のHAインターフェイスを選択します。 データリンク用のIP情報を設定します。 有効化のチェックボックスにチェックを入れます。 Ethernet: ファイアウォールが直接繋がっている場合、またはスイッチ(Ethertype 0x7261) 経由で繋がっている場合に使用します。 IP: レイヤー3転送が必要な場合に使用します。(IPプロトコル番号は99です)。 UDP: IPオプション(UDP port 29281)にてヘッダだけではなくパケット全体に対してチェックサムの計算をする場合、アドバンテージと して使うことが可能です。 "全般" > "選択設定" にある歯車マークをクリックします。 どちらかのファイアウォールがアクティブになるように設定するにはプリエンプティブを両方のファイアウォールで有効にしデバイス優先度を設定します。 デバイス優先度で設定された値が小さい方のデバイスがアクティブになります。 その他の設定項目に関しては、右上の"?"ボタンを押してヘルプを参照してください。 セッション同期が有効になっている場合、セッション テーブル、フォワーディング テーブル、ARPテーブル、VPN Security Associations (SA) はHA2を用いてアクティブ機からコピーされます。パッシブ機が引き継いだ際には、既存のセッションは継続します。 プライマリとセカンダリ間で管理インターフェイスを用いた接続が可能であれば、管理インターフェイスでpingを行うハートビート バックアップを有効にすることを推奨します。 設定をコミットします。 この時点で、全てのレイヤー3インターフェイスは新しい (共通) MACアドレスを取得します。それぞれのレイヤー3インターフェイスに接続されているスイッチに対し、新し いIPアドレスとMACアドレスの組み合わせをgratuitous ARPによって数回通知します。 プライマリ機がアクティブであることを確認します。 以下のように、ローカルはアクティブと表示され、ピアはunknownと表示されます。 ダッシュボードへ移動します。 高可用性ウィジットを追加します。 "ウィジット" > "システム" > "高可用性" セカンダリ機を設定します。 手順1を参照し、プライマリ機のHAリンクと通信するための二つのHAリンクを、セカンダリ機において も設定します。 セカンダリ機の "Device" > "高可用性" > "全般" へ移動し、HAの有効化にチェックを入れます。(手順2を参照) プライマリ機と同じグループIDを設定します。 プライマリ機のコントロール リンクに設定したIPアドレスを入力します。 設定の同期化の有効化にチェックを入れます。 "全般" タブにある "コントロール リンク (HA1)" をクリックします。 注:プライマリ機にて暗号化を有効にした場合は、ここでも暗号化を有効にします。 セカンダリ機のコントロール リンクのために使用する一つ目のHAインターフェイスを選択します。 手順8で設定したピアHA IPアドレスと同じサブネット内のIPアドレスを入力します。 "全般" タブにある "データ リンク (HA2)"をクリックします。 データ リンクとして使用する二つ目のHAインターフェイスを選択します。 データ リンク用にIP情報を設定します。 有効化のチェックボックスにチェックを入れます。 転送のドロップ ダウンの設定がプライマリ機の設定と同じことを確認してください。 プリエンプティブの設定を除き、プライマリ機の選択設定と同じ設定を行います。 この設定では、プリエンプティブは無効になっています。 プリエンプティブを有効にします。 デバイス優先度を設定します。値が大きい程、優先度は低くなります。 セカンダリ機において、変更をコミットします。 プライマリ機に移動します。 ローカルがアクティブで、ピアがパッシブであることを確認します。 全てのダイナミック更新が同期されていることを確認します。 この例は、アンチウィルスとGlobalProtectが同期されていない状態を示しています。 必要に応じてアップデートを行います。全てがマッチすると以下のようになります。 両方のデバイスにおいて全てがマッチしたら、アクティブ機のダッシュボードへ移動し、"ピアと同期" をクリック します。"synchronization in progress"と表示されます。 セカンダリ (パッシブ) 機のCLIにて、HAの同期プロセスを以下のコマンドで確認します。 > show jobs all 最初の二回のHAの同期は失敗しています。原因を特定し問題を解決します。 失敗したジョブの詳細を確認するためには、以下のコマンドを実行してください。 > show jobs id <id number of the HA-Sync job> 最初の同期の失敗は、ID 13です。 パッシブ機において"Samir"という名前のセキュリティ ルールが存在し、それによってHAの同期プロセスが失敗しています。このルールは以前にPanoramaか らプッシュされた共有ポリシーです。 このルールを削除し、アクティブ機のダッシュボードより再度ピアへの同期を開始します。今回はジョブが正常 に終了しました。 高可用性が設定されました。 リンク モニタリングとパス モニタリングを設定します(任意): "Device" > "高可用性" > "リンクおよびパスのモニタリング" タブへ移動します。 この例では全てのリンクをモニターします。つまり、もしいずれかのリンクがアクティブ機でダウンした場合、 フェイルオーバーが発生します。 この例では、パス モニタリングは設定されていません。 リンクおよびパスのモニタリングのヘルプを参照するためには、タブの右上にある"?"ボタンをクリックして ください。    
記事全体を表示
ymiyashita ‎04-08-2016 11:00 PM
11,813件の閲覧回数
0 Replies
Ask Questions Get Answers Join the Live Community