|
◆ Palo Alto - HAの構築時における同期手順
1号機(主系機)と2号機(副系機)で全てのHA関連の設定が完了すれば、同期コマンドを実行しますが、
その前提として、同期される側(2号機)の機器でも以下の設定が完了している必要があります。
・ 「Device」→「Management」タブにおける機器ごとに異なる基本設定、操作タブのSNMPなど
・ インターフェース関連の設定(不要なVirtual Wireの設定削除、IPアドレス設定、TypeにHA指定など)
・ HA関連の全ての設定
設定状態が適正であることを確認できれば、1号機と2号機とのHAケーブル(4本)を相互に接続します。
そして、HA以外で使用するethernetインターフェースも対向デバイスに接続してリンクアップさせます。
最後に、以下のコマンドを1号機(主系機)側で実行して、1号機の設定情報を2号機側に同期させます。
admin@palo01(active)> request high-availability sync-to-remote running-config
Executing this command will overwrite the candidate configuration on the peer and trigger a commit
on the peer. Do you want to continue(y/n)? (y or n)
admin@palo01(active)>
successfully sync'd running configuration to HA peer
上記の通り「successfully」と表示されたら同期は成功であり、show high-availability stateコマンドにより
1号機の場合は6行目で「State: active」と確認できると思います。
◆ Palo Alto - HAの切り替わりの動作、切り戻しのコマンド
前提はActive/Passive構成であり、Preemptは無効化している構成(推奨の構成)における動作です。
00:正常に主系機器がActive、副系機器がPassive状態。
01:主系機器のリンクダウン発生で、主系機器は「non-functional」、副系機器は「Active」となる。
02:主系機器のリンクアップ発生で、主系機器は「Passive」、副系機器は「Active」となる。
03:主系機器をActiveに戻すために、主系が正常状態になった後に、副系機器で次のコマンドを実行する。
-> request high-availability state suspend(副系機器をサスペンドして主系機器をActiveへ)
-> request high-availability state functional( 副系機器のサスペンドを解除してPassiveへ )
◆ Palo Alto - HAの切り替わりの動作、障害試験時の動作における注意点
HAのリンクモニターの設定をしていて、インターフェースダウンを検知して切り替わりが発生した場合、
ネットワーク構成にもよりますが収束は数秒以内となります。また、復旧時においても上記の切り戻し
コマンド実行時での収束は数秒以内となります。ただし、Palo Altoではフラッピング状態の発生を防止
する観点からのホールドタイムが設けられていることから、Palo Alto側での収束時間を計測するための
障害試験を実施する場合、数分以上の間隔を開けて実施することをお勧めします。Palo Alto側だけでは
なく、ネットワーク全体の収束も意識して、5分間くらい間隔を開けることが望ましいと言えるでしょう。
|