Paloalto

【Paloalto】冗長化(HA)の設定方法【GUI】

【Paloalto】冗長化(HA)の設定方法

paloalto(PA-200)で検証を行っています。
今回は2台のPaloalto(PA-200)で冗長化(HA)する方法(GUI)をまとめていきます!
例ではスタンダードなActive/PassiveでHAを構成します。

CLIで冗長化設定する場合はこちらをどうぞ!

  • 2台の機種はPA-200
  • 1台のOSのバージョンはsw-version: 8.0.19
  • 1台のOSのバージョンはsw-version: 8.0.19-h1
  • Active/Passive構成

HAの構成図は以下の通りです。

前提条件の確認

Active/PassiveのHAの前提条件

Active/PassiveのHAを構成する場合の前提条件は以下となります。

【Paloalto公式】Prerequisites for Active/Passive HA

  • ハードウェアモデルが同一であること
  • PAN-OSバージョンが同一であること
  • HAポートとして割り当てるインターフェースが冗長化する機器同士で統一されていること
  • ライセンスが同一であること
  • Multi Virtual System Capability(仮想FW、VSYS)の設定が統一されていること(有効か無効か)

今回の検証の場合、ハードウェアはどちらもPA-200ですが、PAN-OSのバージョンは片方の筐体のみHotfixが適用されていました。ちなみに中古で購入したものなのでどちらもライセンスは切れています。

結果的には、特に問題なくHAを構成できましたが、OSのバージョンが異なる場合はバージョンのアップグレードをするべきでしょう!

PA200のHAの前提条件

ローエンド機種であるPA200では、HA機能に制限があります。(HA-Lite)
PA200では対応していない機能は以下の通りです。

【Paloalto公式】What is HA-Lite on Palo Alto Networks PA-200?

  • Jumbo Frames
  • Link Aggregation
  • Active/Active構成
  • セッション同期(ステートフルフェールオーバ)

PA200ではセッション同期(ステートフルフェールオーバ)に対応していないため、セッション同期に利用されるHA2ポート(データリンク)の設定はできません。

またローエンド機種であるPA200では、HA専用ポートがないため、EthernetポートをHA専用ポートとして割り当てる必要もあります。

【GUI】冗長化(HA)の設定方法

①バックアップ用HAポートの設定

↓どのポートをバックアップHAポートとして割り当てるのかを決めます。今回は、ManagementポートをHA1ポート、Eth4ポートをバックアップHAポートとして設定します。

Network → インターフェース → EthernetからEth4ポートを選択

インターフェースタイプを「HA」にする

※HA2ポートに対応している機器の場合は、合計2つのポート(HA1用のバックアップポートとHA2用のバックアップポート)をバックアップHAポートとして設定してください。

両系で同じ設定をすること!

②HA有効化、HAGroup設定

↓HA機能を有効化し、HAGroupを作成します。
ピアのIPアドレス(HA1ポート)とピアのバックアップリンクのIPアドレス(HA1用のバックアップポート)を設定します。

Device → 高可用性 → 全般から「セットアップ」の右上の歯車を選択

以下の項目を埋める

  • 「HAの有効化」にチェック
  • グループIDを入力
  • ピアHAのIPアドレス
  • バックアップ側のピアHAのIPアドレス

副系側でも同様の設定をする
IPアドレスだけ間違えないように注意する

③HAの詳細設定(タイマー、優先度)

↓HAのタイマー、優先度の設定を行います。タイマーはデフォルトのrecommendedを使用、優先度は低い方が優先されるので正系側を低い値に設定します。

Device → 高可用性 → 全般から「アクティブ・パッシブ設定」の右上の歯車を選択

「パッシブリンク状態」で「自動」にチェック

Device → 高可用性 → 全般から「選択設定」の右上の歯車を選択

正系側のデバイス優先度(プライオリティ)に値を入力する
「ハートビート・バックアップ」にチェック

副系側でも同じくデバイス優先度(プライオリティ)に値を入力する
「ハートビート・バックアップ」にチェック

④HA1、HA2ポートの設定

Device → 高可用性 → 全般から「コントロールリンク(HA1)」の右上の歯車を選択

↓ManagementポートをHA1ポートとして設定します。

※HA2ポートに対応している機器の場合は、HA2ポートも同様に設定してください。

両系で同じ設定をすること!

⑤HA1、HA2バックアップポートの設定

Device → 高可用性 → 全般から「コントロールリンクのバックアップ」の右上の歯車を選択

↓同様に、①で設定したHAポートをHA1バックアップポートとして設定します。
※HA2ポートに対応している機器の場合は、HA2バックアップポートも同様に設定してください。

正系側の設定

副系側の設定

⑥差分比較、同期

コンフィグの差分を確認して、同期します。

【Paloalto】コンフィグを差分比較する方法【CLI,GUI】今回はPaloalto(PA-200)で修正・変更したコンフィグ(candidate-config)と稼働しているコンフィグ(running-config)の差分比較を行う方法(CLI、GUI)をまとめていきます!...
両系で同期を行い、設定に差分がないようにすること!

⑦ケーブルの結線・接続

↓それぞれの機器で設定が完了したら、HAで利用するポートの結線・接続を行います。

最初にケーブル結線をした状態でもできますので、参考までに。

  1. ケーブル結線
  2. 正系でHAの設定、commit
  3. 副系でHAの設定、commit
  4. HA構成が完了

⑧ステータス確認

Dashboard → ウィジット → システム → 高可用性を選択すると、簡易的なHAのウィジェットがダッシュボードに追加できますので設定しておくと便利です!

↓HAが組めているかを確認します。
Stateが想定通りか、 「実行コンフィグ」が「Synchronized」かを確認します。

正系側のステータス

副系側のステータス

まとめ

最後にまとめになります!

  • ハードウェアの機種、OSやライセンスが一致しているのが前提条件なので気をつけましょう!
  • ローエンド機種はHA専用ポートがないので、ポートの管理は気をつけよう!

以上!

おすすめの関連記事