|
◆ NSRPにより実現するHA (High Availability)
SSGのHA(高可用性)は、NSRP (Netscreen Redundancy Protocol)というプロトコルを使用することで
実現しています。NSRPにより、冗長化された機器でアクティブ/スタンバイ、またはアクティブ/アクティブ
の冗長構成を組むことができます。機器間で定期的にやりとりされるNSRPのコントロールメッセージには
コンフィグ情報、セッション情報、ステータス情報が含まれおり、コンフィグは同期したりアクティブ機に
障害が発生した場合はフェールオーバーが発生して、パッシブ機がトラフィックを引き継ぐことができます。
※ NSRPにより、コンフィグレーション情報、セッションテーブル情報、IPsecのSA(Security Association)情報が同期されます。
◆ NSRPによるHA構成の前提
1. 同じ機種 2. 同じバージョン 3. 同じ物理構成(シメントリーな構成)で実装させることが前提です。
◆ NSRPの用語と概要図
| NSRP用語 |
説明 |
| VSD ( Virtual Security Device ) |
SSG自体は「セキュリティデバイス"と呼ぶ。VSDは仮想セキュリティデバイスのこと。
VSDは2台のセキュリティデバイスを、仮想的に1台のデバイスとして扱ったデバイス。 |
| VSI ( Virtual Security Interface ) |
VSDで使用するインターフェース。HAインターフェースを除く全てのインターフェースが
VSI になる。get interfaceコマンドによりインターフェースが VSI であるかを確認できる。 |
| NSRPクラスタ |
1つまたは複数のVSDグループをひとまとまりにしたもの。大きく以下の2パターン。
アクティブ/パッシブの構成では、1つのNSRPクラスタに1つのVSDグループを作成。
アクティブ/アクティブの構成では、1つのNSRPクラスタに2つのVSDグループを作成。 |
| RTO ( Run Time Object ) |
NSRPにより冗長構成を組むと定期的に手動で設定したコンフィグ情報だけではなく
動的に生成されるTCP/UDPセッション、IPsecのSA、ARPテーブル、DNSキャッシュ、
DHCPの割り当て情報なども同期されます。この動的に生成される情報をRTOと呼ぶ。 |
◆ NSRP - アクティブ/パッシブの動作
アクティブ/パッシブ構成では1台をアクティブ機、もう1台をバックアップ機として冗長構成を組みます。
正常時、アクティブ機のみにトラフィックが流れます。アクティブ機に障害が発生した場合には自動的に
バックアップ機に切り替わり、同期されているセッション情報に従い通信を引き継ぎます。本構成が推奨。
◆ NSRP - アクティブ/アクティブの動作
アクティブ/アクティブ構成では、2台ともアクティブ機であるので両方の機器にトラフィックが流れます。
VSDグループごとにアクティブ/パッシブを構成することから2つのVSDグループを作成する必要があります。
例 : VSDグループ 0 は SSG5-1をアクティブ、SSG5-2をパッシブ、VSDグループ 1 は SSG5-1をパッシブ、SSG5-2をアクティブ。
◆ NSRP - フェールオーバーのトリガー
フェールオーバーは以下の1.〜3.をトリガーにして実施されますが、一般的には1.と2.が使用されます。
1. 監視インタフェースの障害
2. 監視ゾーンの障害
3. 監視IPアドレスのPING応答なし
◆ NSRP - HA用のリンク
100Mbpsまたは1Gbpsの2つのインタフェースをHAゾーンにバインド(set interface int zone HA)すると、
小さい番号のインターフェースがコントロールリンクとなり、大きい番号の I/F がデータリンクとなります。
1Gbpsの1つの interface だけをHAゾーンにバインドした場合は、この1つのリンクでコントロールリンクと
データリンクになります。一方、100Mbpsの1つのインターフェースだけをHAゾーンにバインドした場合は、
コントロールリンクにはなれるがデータリンクにはなれない。get nsrpではha data link not availableと表示。
| 2種類のメッセージ |
内容 |
| コントロールリンクメッセージ |
コントロールメッセージにはハートビートメッセージとHAメッセージの2種類がある。
@ ハートビートメッセージ : NSRP クラスタメンバー、VSD グループメンバー、
RTOミラーの間での通信を確立し、維持するために定期的に送信されるメッセージ。
A HAメッセージ : Active機が他のVSDグループのメンバーに送信する設定内容
とネットワーク、Active機が他のRTOミラーに送信するRTOメッセージが含まれる。
|
| データリンクメッセージ |
データリンクメッセージはファイアウォールを通過するIPパケットのことである。
VSDグループのバックアップ機は、Active機として機能しているデバイスに、この
IPパケットを転送する必要がある。例えば、アクティブ/アクティブ構成の SSG の
インターフェースにパケットが到達すると、SSGは最初にどちらのVSDグループが
パケットを処理するべきかを識別する。パケットを受信するSSGが識別されたVSD
グループの Active 機であれば、その SSG がパケットを処理する。そのデバイスが
Active機でない場合は、HAデータリンクを介してActive機にパケットを転送します。
|
|