【Paloalto】冗長化(HA)の設定方法
paloalto(PA-200)で検証を行っています。今回は2台のPaloalto(PA-200)で冗長化(HA)する方法(GUI)をまとめていきます!例ではスタンダードなActive/PassiveでHAを構成します。
CLIで冗長化設定する場合はこちらをどうぞ!
- 2台の機種はPA-200
- 1台のOSのバージョンはsw-version: 8.0.19
- 1台のOSのバージョンはsw-version: 8.0.19-h1
- Active/Passive構成
HAの構成図は以下の通りです。
前提条件の確認
Active/PassiveのHAの前提条件
Active/PassiveのHAを構成する場合の前提条件は以下となります。
【Paloalto公式】Prerequisites for Active/Passive HA
- ハードウェアモデルが同一であること
- PAN-OSバージョンが同一であること
- HAポートとして割り当てるインターフェースが冗長化する機器同士で統一されていること
- ライセンスが同一であること
- Multi Virtual System Capability(仮想FW、VSYS)の設定が統一されていること(有効か無効か)
今回の検証の場合、ハードウェアはどちらもPA-200ですが、PAN-OSのバージョンは片方の筐体のみHotfixが適用されていました。ちなみに中古で購入したものなのでどちらもライセンスは切れています。
結果的には、特に問題なくHAを構成できましたが、OSのバージョンが異なる場合はバージョンのアップグレードをするべきでしょう!
PA200のHAの前提条件
ローエンド機種であるPA200では、HA機能に制限があります。(HA-Lite)
PA200では対応していない機能は以下の通りです。
【Paloalto公式】What is HA-Lite on Palo Alto Networks PA-200?
- Jumbo Frames
- Link Aggregation
- Active/Active構成
- セッション同期(ステートフルフェールオーバ)
PA200ではセッション同期(ステートフルフェールオーバ)に対応していないため、セッション同期に利用されるHA2ポート(データリンク)の設定はできません。
またローエンド機種であるPA200では、HA専用ポートがないため、EthernetポートをHA専用ポートとして割り当てる必要もあります。
【GUI】冗長化(HA)の設定方法
- バックアップ用HAポートの設定
- HA有効化、HAGroup設定
- HAの詳細設定(タイマー、優先度)
- HA1、HA2ポートの設定
- HA1、HA2バックアップポートの設定
- 差分比較、同期
- ケーブルの結線・接続
- ステータス確認
①バックアップ用HAポートの設定
↓どのポートをバックアップHAポートとして割り当てるのかを決めます。今回は、ManagementポートをHA1ポート、Eth4ポートをバックアップHAポートとして設定します。
Network → インターフェース → EthernetからEth4ポートを選択
インターフェースタイプを「HA」にする
※HA2ポートに対応している機器の場合は、合計2つのポート(HA1用のバックアップポートとHA2用のバックアップポート)をバックアップHAポートとして設定してください。
両系で同じ設定をすること!
②HA有効化、HAGroup設定
↓HA機能を有効化し、HAGroupを作成します。
ピアのIPアドレス(HA1ポート)とピアのバックアップリンクのIPアドレス(HA1用のバックアップポート)を設定します。
Device → 高可用性 → 全般から「セットアップ」の右上の歯車を選択
以下の項目を埋める。副系側でも同様の設定をする。IPアドレスだけ間違えないように注意する
- 「HAの有効化」にチェック
- グループIDを入力
- ピアHAのIPアドレス
- バックアップ側のピアHAのIPアドレス
③HAの詳細設定(タイマー、優先度)
↓HAのタイマー、優先度の設定を行います。タイマーはデフォルトのrecommendedを使用、優先度は低い方が優先されるので正系側を低い値に設定します。
Device → 高可用性 → 全般から「アクティブ・パッシブ設定」の右上の歯車を選択
「パッシブリンク状態」で「自動」にチェック
Device → 高可用性 → 全般から「選択設定」の右上の歯車を選択
正系・副系のデバイス優先度(プライオリティ)に値を入力する。「ハートビート・バックアップ」にチェック。
④HA1、HA2ポートの設定
Device → 高可用性 → 全般から「コントロールリンク(HA1)」の右上の歯車を選択
↓ManagementポートをHA1ポートとして設定します。
※HA2ポートに対応している機器の場合は、HA2ポートも同様に設定してください。
両系で同じ設定をすること!
⑤HA1、HA2バックアップポートの設定
Device → 高可用性 → 全般から「コントロールリンクのバックアップ」の右上の歯車を選択
↓同様に、①で設定したHAポートをHA1バックアップポートとして設定します。
※HA2ポートに対応している機器の場合は、HA2バックアップポートも同様に設定してください。
⑥差分比較、同期
コンフィグの差分を確認して、同期します。
両系で同期を行い、設定に差分がないようにすること!
⑦ケーブルの結線・接続
↓それぞれの機器で設定が完了したら、HAで利用するポートの結線・接続を行います。
- ケーブル結線
- 正系でHAの設定、commit
- 副系でHAの設定、commit
- HA構成が完了
⑧ステータス確認
Dashboard → ウィジット → システム → 高可用性を選択すると、簡易的なHAのウィジェットがダッシュボードに追加できますので設定しておくと便利です!
↓HAが組めているかを確認します。Stateが想定通りか、 「実行コンフィグ」が「Synchronized」かを確認します。
【参考】HA切り替え
まとめ
最後にまとめになります!
- ハードウェアの機種、OSやライセンスが一致しているのが前提条件なので気をつけましょう!
- ローエンド機種はHA専用ポートがないので、ポートの管理は気をつけよう!
以上!