|
◆ HAの物理構成
NSRPによりHA構成を組む場合、HA用の専用インターフェースを設けて機器間を直結させるの一般的です。
機種によっては、HA専用インターフェースがありますが、ない場合はデフォルトで存在する HA ゾーンに
インターフェースを割当てHA専用インターフェースにします。HAは通常2リンクで構成して(1リンクも可)
HAリンクではHA維持のためのコントロールリンクメッセージとデータリンクメッセージをやりとりします。
◆ HAゾーンへのインターフェースの割り当て
set interface interface zone HA
◆ 設定例 : ethernet0/5 と ethernet0/6 の割り当て
SSG5-> set interface ethernet0/5 zone HA
SSG5-> set interface ethernet0/6 zone HA
|
◆ NSRPのデフォルト設定
| NSRPの大項目 |
設定項目 |
値 |
| VSDグループ情報 |
VSD group ID |
0 |
| Device priority in the VSD group |
100 |
| Preempt option |
無効 |
| Preempt hold-down time |
0秒 |
| Initial state hold-down time |
5秒 |
| Heartbeat interval |
1000ミリ秒 |
| Lost heartbeat threshold |
3 |
| Master (Primary) always exist |
No |
| RTOミラー情報 |
RTO synchronization |
無効 |
| Heartbeat interval |
4秒 |
| Lost heartbeat threshold |
16 |
| NSRPリンク情報 |
Number of gratuitous ARPs |
4 |
| NSRP encryption |
無効 |
| NSRP authentication |
無効 |
| Track IP: |
なし |
| Interfaces monitored |
なし |
| Secondary path |
なし |
| HA link probe ( 間隔 15、しきい値 5 ) |
なし |
◆ NSRPの設定 ( アクティブ/パッシブ構成 )
1. クラスタの作成
set nsrp cluster id number
◆ 設定例 : クラスタ 1 の作成
| SSG5-> set nsrp cluster id 1 |
2. RTO同期の有効化
| SSG5-> set nsrp rto-mirror sync |
3. NSRPクラスタにおける認証/暗号化設定 ( オプション : HAリンクが直結する構成では不要 )
set nsrp auth password password
set nsrp encrypt password password
◆ 設定例 : NSRAPクラスタの機器間の認証/暗号のパスワードに「juniper」とする
SSG5-> set nsrp auth password juniper
SSG5-> set nsrp encrypt password juniper
|
4. NSRPクラスタ名の設定 ( オプション : クラスタの全メンバーに1つの名前を定義したい場合に使用 )
set nsrp cluster name name
⇒ NSRPクラスタは各々が異なるホスト名を持てるが、切替り時にSNMP通信やデジタル証明書の有効性を阻害される場合がある
◆ 設定例 : クラスタ名に「SSG5-AAA」とする
| SSG5-> set nsrp cluster name SSG5-AAA |
5. VSDグループのID、VSDグループの優先順位の設定
set nsrp vsd-group id id prirority prirority
⇒ NSRPの構成では 0 に近い優先順位番号を持つVSDグループのメンバーがアクティブ機になる。デフォルト値は 100。
◆ 設定例 : VSDグループを 0 にし、優先順位の値を 1 にする
SSG5-> set nsrp vsd-group id 0
SSG5-> set nsrp vsd-group id 0 prirority 1
|
6. プレエンプトの設定
set nsrp vsd-groupid id preempt
⇒ アクティブ機に障害発生後、再びアクティブ機が正常になった場合に自動的に切り戻るためにはpreemptの設定が必要。
◆ 設定例 : VSDグループを 0 において、preemptを有効化する
| SSG5-> set nsrp vsd-group id 0 preempt |
7. フェールオーバーを遅らせる設定
set nsrp vsd-group id id preempt hold-down seconds
⇒ ネットワーク全体の収束に合わせ、切り戻る時間の遅延をhold-downで調整できる(オプション)
◆ 設定例 : VSDグループを 0 において、preemptを有効化し、hold-downタイムを10秒とする設定
| SSG5-> set nsrp vsd-group id 0 preempt hold-down 10 |
8. 監視インターフェース、ゾーン、Track IPの設定 ( 以下の3つでよく使用されるのはインターフェーストリガー )
set nsrp vsd-group id id monitor interface interface weight value
⇒ NSRPによるHAでは、インターフェースに障害が発生した場合にフェールオーバーが発生するように設定できる。
◆ 設定例 : VSDグループ 0 で ethernet0/0 または ethernet0/2 のどちらかで障害が発生した場合にフェールオーバー
SSG5-> set nsrp vsd-group id 0 monitor interface ethernet0/0
SSG5-> set nsrp vsd-group id 0 monitor interface ethernet0/2
|
set nsrp vsd-group id id monitor zone zone weight value
⇒ NSRPによるHAでは、ゾーンそのもにに障害が発生した場合にフェールオーバーが発生するように設定できる。
| SSG5-> set nsrp vsd-group id 0 monitor zone TRUST |
set nsrp monitor track-ip ip address weight value
⇒ NSRPによるHAでは、PING監視しているIPの応答がなくなった場合にフェールオーバーが発生するように設定できる。
SSG5-> set nsrp monitor track-ip ip 192.168.0.100
|
9. HAリンクの監視 ( オプション )
set nsrp ha-link probe interval seconds threshold seconds
◆ HAリンクの両方のI/Fに3秒間隔でプロ―プが送信し、4回連続しリクエストの応答がない場合にHAが動作していないと判断。
| SSG5-> set nsrp ha-link probe interval 3 threshold 5 |
◆ NSRPの設定同期されないコマンド
| 項目 |
コマンド |
| NSRP |
set nsrp cluster id number |
| set nsrp auth password string |
| set nsrp encrypt password string |
| set nsrp monitor interface interface |
| set nsrp vsd-group id number [ mode string | preempt | priority number
] |
| インターフェース |
set interface interface manage-ip |
| set interface interface manage-ip ip-address |
| set interface interface bandwidth number |
| set interface redundant number phy primary interface |
| ローカルインターフェースに属するすべてのコマンド |
| Monitored Objects |
すべてのIPトラッキング、ゾーンモニタリング、およびインターフェースモニタリングコマンド |
| Console Settings |
すべてのコンソールコマンド (set/unset console …) |
| Hostname |
set hostname name |
| SNMP |
set snmp name namer |
| Virtual Router |
set vrouter name router-id ip-address |
| Clear |
すべてのクリアコマンド (clear admin, clear dhcp, …) |
| Debug |
すべてのデバッグコマンド (debug alarm, debug arp, …) |
◆ NSRPの設定例 ( アクティブ/パッシブ構成 )
set hostname SSG5-1
set int ethernet0/0 ip 192.168.2.254/24
set int ethernet0/0 route
set int ethernet0/0 manage-ip 192.168.2.1
set int ethernet0/0 ip manageable
set int bgroup0 port ethernet0/2
set int bgroup0 ip 192.168.1.254/24
set int bgroup0 route
set int bgroup0 manage-ip 192.168.1.1
set int bgroup0 ip manageable
set interface ethernet0/5 zone HA
set interface ethernet0/6 zone HA
set nsrp rto-mirror sync
set nsrp cluster id 1
set nsrp vsd-group id 0
set nsrp vsd-group id 0 priority 1
set nsrp vsd-group id 0 preempt
set nsrp vsd-group id 0 preempt hold-down 10
set nsrp vsd-group id 0 monitor int ethernet0/0
set nsrp vsd-group id 0 monitor int ethernet0/2
|
set hostname SSG5-2
set int ethernet0/0 ip 192.168.2.254/24
set int ethernet0/0 route
set int ethernet0/0 manage-ip 192.168.2.2
set int ethernet0/0 ip manageable
set int bgroup0 port ethernet0/2
set int bgroup0 ip 192.168.1.254/24
set int bgroup0 route
set int bgroup0 manage-ip 192.168.1.2
set int bgroup0 ip manageable
set interface ethernet0/5 zone HA
set interface ethernet0/6 zone HA
set nsrp rto-mirror sync
set nsrp cluster id 1
set nsrp vsd-group id 0
set nsrp vsd-group id 0 priority 100
set nsrp vsd-group id 0 monitor int ethernet0/0
set nsrp vsd-group id 0 monitor int ethernet0/2
|
監視しているインターフェースのデフォルトの重み(weight)は255。NSRPフェールオーバーのしきい値は
255です。従って以下の通り1つのインターフェースのしきい値を128にした場合、1つのインターフェースが
ダウンしてもNSRPのフェールオーバーは発生しません。以下の設定例では、ethernet0/1とethernet0/2の
両方がダウンすることによってフェールオーバーが発生します。1つのインターフェースダウンだけでNSRPの
切替りを発生させたくない場合の設定手法(I/Fを同じbridgeグループにまとめる場合によく使用される手法)
SSG320M-> set nsrp vsd-group id 0 monitor interface ethernet0/1 weight 128
SSG320M-> set nsrp vsd-group id 0 monitor interface ethernet0/2 weight 128
|
|