Paloalto

【Paloalto】冗長化(HA)の設定方法【CLI】

【Paloalto】冗長化(HA)の設定方法

paloalto(PA-200)で検証を行っています。
今回は2台のPaloalto(PA-200)で冗長化(HA)する方法(CLI)をまとめていきます!
例ではスタンダードなActive/PassiveでHAを構成します。

GUIで冗長化設定する場合はこちらをどうぞ!

  • 2台の機種はPA-200
  • 1台のOSのバージョンはsw-version: 8.0.19
  • 1台のOSのバージョンはsw-version: 8.0.19-h1
  • Active/Passive構成

HAの構成図は以下の通りです。

前提条件の確認

Active/PassiveのHAの前提条件

Active/PassiveのHAを構成する場合の前提条件は以下となります。

【Paloalto公式】Prerequisites for Active/Passive HA

  • ハードウェアモデルが同一であること
  • PAN-OSバージョンが同一であること
  • HAポートとして割り当てるインターフェースが冗長化する機器同士で統一されていること
  • ライセンスが同一であること
  • Multi Virtual System Capability(仮想FW、VSYS)の設定が統一されていること(有効か無効か)

今回の検証の場合、ハードウェアはどちらもPA-200ですが、PAN-OSのバージョンは片方の筐体のみHotfixが適用されていました。ちなみに中古で購入したものなのでどちらもライセンスは切れています。

結果的には、特に問題なくHAを構成できましたが、OSのバージョンが異なる場合はバージョンのアップグレードをするべきでしょう!

PA200のHAの前提条件

ローエンド機種であるPA200では、HA機能に制限があります。(HA-Lite)
PA200では対応していない機能は以下の通りです。

【Paloalto公式】What is HA-Lite on Palo Alto Networks PA-200?

  • Jumbo Frames
  • Link Aggregation
  • Active/Active構成
  • セッション同期(ステートフルフェールオーバ)

PA200ではセッション同期(ステートフルフェールオーバ)に対応していないため、セッション同期に利用されるHA2ポート(データリンク)の設定はできません。

またローエンド機種であるPA200では、HA専用ポートがないため、EthernetポートをHA専用ポートとして割り当てる必要もあります。

【CLI】冗長化(HA)の設定方法

①バックアップ用HAポートの設定

↓どのポートをバックアップHAポートとして割り当てるのかを決めます。今回は、ManagementポートをHA1ポート、Eth4ポートをバックアップHAポートとして設定します。

configure
set network interface ethernet ethernet1/4 ha
set network interface ethernet ethernet1/X ha

※HA2ポートに対応している機器の場合は、合計2つのポート(HA1用のバックアップポートとHA2用のバックアップポート)をバックアップHAポートとして設定してください。

両系で同じ設定をすること!

②HA有効化、HAGroup設定

↓HA機能を有効化し、HAGroupを作成します。
ピアのIPアドレス(HA1ポート)とピアのバックアップリンクのIPアドレス(HA1用のバックアップポート)を設定します。

<正系>
set deviceconfig high-availability enabled yes
set deviceconfig high-availability group 10 peer-ip 192.168.2.151
set deviceconfig high-availability group 10 peer-ip-backup 10.0.0.2


<副系>
set deviceconfig high-availability enabled yes
set deviceconfig high-availability group 10 peer-ip 192.168.2.150
set deviceconfig high-availability group 10 peer-ip-backup 10.0.0.1

③HAの詳細設定(タイマー、優先度)

↓HAのタイマー、優先度の設定を行います。タイマーはデフォルトのrecommendedを使用、優先度は低い方が優先されるので正系側を低い値に設定します。

<正系>
set deviceconfig high-availability group 10 mode active-passive passive-link-state auto
set deviceconfig high-availability group 10 election-option heartbeat-backup yes
set deviceconfig high-availability group 10 election-option timers recommended
set deviceconfig high-availability group 10 election-option device-priority 100


<副系>
set deviceconfig high-availability group 10 mode active-passive passive-link-state auto
set deviceconfig high-availability group 10 election-option heartbeat-backup yes
set deviceconfig high-availability group 10 election-option timers recommended
set deviceconfig high-availability group 10 election-option device-priority 200

④HA1、HA2ポートの設定

↓ManagementポートをHA1ポートとして設定します。

set deviceconfig high-availability interface ha1 port management
set deviceconfig high-availability interface ha2 port XX

※HA2ポートに対応している機器の場合は、HA2ポートも同様に設定してください。

両系で同じ設定をすること!

⑤HA1、HA2バックアップポートの設定

↓同様に、①で設定したHAポートをHA1バックアップポートとして設定します。
※HA2ポートに対応している機器の場合は、HA2バックアップポートも同様に設定してください。

<正系>
set deviceconfig high-availability interface ha1-backup port ethernet1/4
set deviceconfig high-availability interface ha1-backup ip-address 10.0.0.1
set deviceconfig high-availability interface ha1-backup netmask 255.255.255.252

set deviceconfig high-availability interface ha2-backup port XX
set deviceconfig high-availability interface ha2-backup ip-address XX
set deviceconfig high-availability interface ha2-backup netmask XX


<副系>
set deviceconfig high-availability interface ha1-backup port ethernet1/4
set deviceconfig high-availability interface ha1-backup ip-address 10.0.0.2
set deviceconfig high-availability interface ha1-backup netmask 255.255.255.252

set deviceconfig high-availability interface ha2-backup port XX
set deviceconfig high-availability interface ha2-backup ip-address XX
set deviceconfig high-availability interface ha2-backup netmask XX

⑥差分比較、同期

↓コンフィグの差分を確認して、同期します。

<コンフィグレーションモードにいる場合>
run show config diff
commit
両系で同期を行い、設定に差分がないようにすること!

⑦ケーブルの結線・接続

↓それぞれの機器で設定が完了したら、HAで利用するポートの結線・接続を行います。

最初にケーブル結線をした状態でもできますので、参考までに。

  1. ケーブル結線
  2. 正系でHAの設定、commit
  3. 副系でHAの設定、commit
  4. HA構成が完了

⑧ステータス確認

↓HAが組めているかを確認します。
Stateが想定通りか、 Configuration Synchronization(コンフィグ同期)がされているかを確認します。

<オペレーションモード>
show high-availability state

正系の出力結果

admin@PA-200-first(active)> show high-availability state 
Group 10: 
  Mode: Active-Passive 
  Local Information: 
    Version: 1 
    Mode: Active-Passive 
    State: active (last 8 minutes) 
    Device Information: 
      Management IPv4 Address: 192.168.2.150/24 
      Management IPv6 Address: 
    HA1 Control Links Joint Configuration: 
      Encryption Enabled: no 
    Election Option Information: 
      Priority: 100 
      Preemptive: no 
    Version Compatibility: 
      Software Version: Mismatch 
      Application Content Compatibility: Match 
      Anti-Virus Compatibility: Match 
      Threat Content Compatibility: Match 
      VPN Client Software Compatibility: Match 
      Global Protect Client Software Compatibility: Match 
  Peer Information: 
    Connection status: up 
    Version: 1 
    Mode: Active-Passive 
    State: passive (last 2 minutes) 
    Device Information: 
      Management IPv4 Address: 192.168.2.151/24 
      Management IPv6 Address: 
      Connection up; Primary HA1 link 
      Connection up 
    Election Option Information: 
      Priority: 200 
      Preemptive: no 
  Configuration Synchronization: 
    Enabled: yes 
    Running Configuration: synchronized 
admin@PA-200-first(active)>

副系の出力結果

admin@PA-200-second(passive)> show high-availability state 
Group 10: 
  Mode: Active-Passive 
  Local Information: 
    Version: 1 
    Mode: Active-Passive 
    State: passive (last 1 minutes) 
    Device Information: 
      Management IPv4 Address: 192.168.2.151/24 
      Management IPv6 Address: 
    HA1 Control Links Joint Configuration: 
      Encryption Enabled: no 
    Election Option Information: 
      Priority: 200 
      Preemptive: no 
    Version Compatibility: 
      Software Version: Mismatch 
      Application Content Compatibility: Match 
      Anti-Virus Compatibility: Match 
      Threat Content Compatibility: Match 
      VPN Client Software Compatibility: Match 
      Global Protect Client Software Compatibility: Match 
  Peer Information: 
    Connection status: up 
    Version: 1 
    Mode: Active-Passive 
    State: active (last 1 minutes) 
    Device Information: 
      Management IPv4 Address: 192.168.2.150/24 
      Management IPv6 Address: 
      Connection up; Primary HA1 link 
      Connection up 
    Election Option Information: 
      Priority: 100 
      Preemptive: no 
  Configuration Synchronization: 
    Enabled: yes 
    Running Configuration: synchronized 
admin@PA-200-second(passive)>

↓HAを確立するまでのログ確認

<オペレーションモード>
show log system subtype equal ha

出力結果

admin@PA-200-first(active)> show log system subtype equal ha

(中略)

2021/10/02 17:33:55 info     ha             ha1-lin 0  HA1 link up 
2021/10/02 17:33:55 info     ha             ha1-lin 0  HA1-Backup link up 
2021/10/02 17:34:12 info     ha             state-c 0  HA Group 10: Moved from state Initial to state Active 
2021/10/02 17:40:38 info     ha             connect 0  HA Group 10: Control link running on HA1 connection 
2021/10/02 17:40:38 info     ha             ha1-lin 0  HA1 peer link up 
2021/10/02 17:40:38 info     ha             ha1-lin 0  HA1-Backup peer link up 
2021/10/02 17:40:38 info     ha             peer-co 0  HA Group 10: Peer device system configuration now compatible 
2021/10/02 17:40:38 info     ha             connect 0  HA Group 10: HA1 connection up 
2021/10/02 17:40:39 info     ha             peer-co 0  HA Group 10: Peer device system configuration now compatible 
2021/10/02 17:40:39 info     ha             connect 0  HA Group 10: HA1-Backup connection up 
2021/10/02 17:40:39 info     ha             peer-ve 0  HA Group 10: Anti-Virus version now matches 
2021/10/02 17:40:40 info     ha             peer-ve 0  HA Group 10: Application Content version now matches 
2021/10/02 17:40:40 info     ha             peer-ve 0  HA Group 10: Threat Content version now matches 
2021/10/02 17:40:40 info     ha             peer-ve 0  HA Group 10: URL Database version now matches 
2021/10/02 17:40:40 info     ha             peer-ve 0  HA Group 10: Global Protect Client Software version now matches 
2021/10/02 17:40:40 info     ha             peer-ve 0  HA Group 10: VPN Client Software version now matches 
admin@PA-200-first(active)>

【参考】CLIコマンドまとめ

<正系>

■バックアップポートの割り当て設定
set network interface ethernet ethernet1/4 ha


■HA有効化、HAGroup設定
set deviceconfig high-availability enabled yes
set deviceconfig high-availability group 10 peer-ip 192.168.2.151  
set deviceconfig high-availability group 10 peer-ip-backup 10.0.0.2


■HAの詳細設定
set deviceconfig high-availability group 10 mode active-passive passive-link-state auto 
set deviceconfig high-availability group 10 election-option heartbeat-backup yes 
set deviceconfig high-availability group 10 election-option timers recommended  
set deviceconfig high-availability group 10 election-option device-priority 100 


■HA1ポートの設定
set deviceconfig high-availability interface ha1 port management


■HA1バックアップポートの設定
set deviceconfig high-availability interface ha1-backup port ethernet1/4
set deviceconfig high-availability interface ha1-backup ip-address 10.0.0.1  
set deviceconfig high-availability interface ha1-backup netmask 255.255.255.252


<副系> ※異なるのはIPとプライオリティ

■バックアップポートの割り当て設定 
set network interface ethernet ethernet1/4 ha


■HA有効化、HAGroup設定 
set deviceconfig high-availability enabled yes 
set deviceconfig high-availability group 10 peer-ip 192.168.2.150 
set deviceconfig high-availability group 10 peer-ip-backup 10.0.0.1


■HAの詳細設定 
set deviceconfig high-availability group 10 mode active-passive passive-link-state auto  
set deviceconfig high-availability group 10 election-option heartbeat-backup yes  
set deviceconfig high-availability group 10 election-option timers recommended  
set deviceconfig high-availability group 10 election-option device-priority 200 


■HA1ポートの設定 
set deviceconfig high-availability interface ha1 port management


■HA1バックアップポートの設定 
set deviceconfig high-availability interface ha1-backup port ethernet1/4 
set deviceconfig high-availability interface ha1-backup ip-address 10.0.0.2 
set deviceconfig high-availability interface ha1-backup netmask 255.255.255.252


ーーーーーーーーーーーーーーーーーーーーーーーー
ここまでHA設定
ーーーーーーーーーーーーーーーーーーーーーーーー

それぞれcommitして、ケーブルを接続する

まとめ

最後にまとめになります!

  • ハードウェアの機種、OSやライセンスが一致しているのが前提条件なので気をつけましょう!
  • ローエンド機種はHA専用ポートがないので、ポートの管理は気をつけよう!

以上!

おすすめの関連記事