Udemyセール開催中!(〜4/1まで)

【Paloalto】冗長化(HA)の設定方法【GUI】

当ブログは広告リンクを含みます。
  • URLをコピーしました!
目次

【Paloalto】冗長化(HA)の設定方法

paloalto(PA-200)で検証を行っています。今回は2台のPaloalto(PA-200)で冗長化(HA)する方法(GUI)をまとめていきます!例ではスタンダードなActive/PassiveでHAを構成します。

CLIで冗長化設定する場合はこちらをどうぞ!

  • 2台の機種はPA-200
  • 1台のOSのバージョンはsw-version: 8.0.19
  • 1台のOSのバージョンはsw-version: 8.0.19-h1
  • Active/Passive構成

HAの構成図は以下の通りです。

Paloalto-冗長化-設定方法-GUI-1
Paloalto-冗長化-設定方法-GUI-1

前提条件の確認

Active/PassiveのHAの前提条件

Active/PassiveのHAを構成する場合の前提条件は以下となります。

【Paloalto公式】Prerequisites for Active/Passive HA

  • ハードウェアモデルが同一であること
  • PAN-OSバージョンが同一であること
  • HAポートとして割り当てるインターフェースが冗長化する機器同士で統一されていること
  • ライセンスが同一であること
  • Multi Virtual System Capability(仮想FW、VSYS)の設定が統一されていること(有効か無効か)

今回の検証の場合、ハードウェアはどちらもPA-200ですが、PAN-OSのバージョンは片方の筐体のみHotfixが適用されていました。ちなみに中古で購入したものなのでどちらもライセンスは切れています。

結果的には、特に問題なくHAを構成できましたが、OSのバージョンが異なる場合はバージョンのアップグレードをするべきでしょう!

PA200のHAの前提条件

ローエンド機種であるPA200では、HA機能に制限があります。(HA-Lite)
PA200では対応していない機能は以下の通りです。

【Paloalto公式】What is HA-Lite on Palo Alto Networks PA-200?

  • Jumbo Frames
  • Link Aggregation
  • Active/Active構成
  • セッション同期(ステートフルフェールオーバ)

PA200ではセッション同期(ステートフルフェールオーバ)に対応していないため、セッション同期に利用されるHA2ポート(データリンク)の設定はできません。

またローエンド機種であるPA200では、HA専用ポートがないため、EthernetポートをHA専用ポートとして割り当てる必要もあります。

【GUI】冗長化(HA)の設定方法

冗長化(HA)の設定方法
  1. バックアップ用HAポートの設定
  2. HA有効化、HAGroup設定
  3. HAの詳細設定(タイマー、優先度)
  4. HA1、HA2ポートの設定
  5. HA1、HA2バックアップポートの設定
  6. 差分比較、同期
  7. ケーブルの結線・接続
  8. ステータス確認

①バックアップ用HAポートの設定

↓どのポートをバックアップHAポートとして割り当てるのかを決めます。今回は、ManagementポートをHA1ポート、Eth4ポートをバックアップHAポートとして設定します。

Network → インターフェース → EthernetからEth4ポートを選択

Paloalto-冗長化-設定方法-GUI-2
Paloalto-冗長化-設定方法-GUI-2

インターフェースタイプを「HA」にする

Paloalto-冗長化-設定方法-GUI-3
Paloalto-冗長化-設定方法-GUI-3

※HA2ポートに対応している機器の場合は、合計2つのポート(HA1用のバックアップポートとHA2用のバックアップポート)をバックアップHAポートとして設定してください。

両系で同じ設定をすること!

②HA有効化、HAGroup設定

↓HA機能を有効化し、HAGroupを作成します。
ピアのIPアドレス(HA1ポート)とピアのバックアップリンクのIPアドレス(HA1用のバックアップポート)を設定します。

Device → 高可用性 → 全般から「セットアップ」の右上の歯車を選択

Paloalto-冗長化-設定方法-GUI-4
Paloalto-冗長化-設定方法-GUI-4

以下の項目を埋める。副系側でも同様の設定をする。IPアドレスだけ間違えないように注意する

  • 「HAの有効化」にチェック
  • グループIDを入力
  • ピアHAのIPアドレス
  • バックアップ側のピアHAのIPアドレス
Paloalto-冗長化-設定方法-GUI-5
Paloalto-冗長化-設定方法-GUI-5

③HAの詳細設定(タイマー、優先度)

↓HAのタイマー、優先度の設定を行います。タイマーはデフォルトのrecommendedを使用、優先度は低い方が優先されるので正系側を低い値に設定します。

Device → 高可用性 → 全般から「アクティブ・パッシブ設定」の右上の歯車を選択

Paloalto-冗長化-設定方法-GUI-7
Paloalto-冗長化-設定方法-GUI-7

「パッシブリンク状態」で「自動」にチェック

Paloalto-冗長化-設定方法-GUI-8
Paloalto-冗長化-設定方法-GUI-8

Device → 高可用性 → 全般から「選択設定」の右上の歯車を選択

Paloalto-冗長化-設定方法-GUI-9
Paloalto-冗長化-設定方法-GUI-9

正系・副系のデバイス優先度(プライオリティ)に値を入力する。「ハートビート・バックアップ」にチェック。

Paloalto-冗長化-設定方法-GUI-10
Paloalto-冗長化-設定方法-GUI-10

④HA1、HA2ポートの設定

Device → 高可用性 → 全般から「コントロールリンク(HA1)」の右上の歯車を選択

Paloalto-冗長化-設定方法-GUI-12
Paloalto-冗長化-設定方法-GUI-12

↓ManagementポートをHA1ポートとして設定します。

Paloalto-冗長化-設定方法-GUI-13
Paloalto-冗長化-設定方法-GUI-13

※HA2ポートに対応している機器の場合は、HA2ポートも同様に設定してください。

両系で同じ設定をすること!

⑤HA1、HA2バックアップポートの設定

Device → 高可用性 → 全般から「コントロールリンクのバックアップ」の右上の歯車を選択

Paloalto-冗長化-設定方法-GUI-14
Paloalto-冗長化-設定方法-GUI-14

↓同様に、①で設定したHAポートをHA1バックアップポートとして設定します。
※HA2ポートに対応している機器の場合は、HA2バックアップポートも同様に設定してください。

Paloalto-冗長化-設定方法-GUI-15
Paloalto-冗長化-設定方法-GUI-15

⑥差分比較、同期

コンフィグの差分を確認して、同期します。

あわせて読みたい
【Paloalto】コンフィグを差分比較する方法【CLI,GUI】 【【Paloalto】コンフィグを差分比較する方法】 paloalto(PA-200)で検証を行っています。今回はPaloalto(PA-200)で修正・変更したコンフィグ(candidate-config)と...

両系で同期を行い、設定に差分がないようにすること!

⑦ケーブルの結線・接続

↓それぞれの機器で設定が完了したら、HAで利用するポートの結線・接続を行います。

  1. ケーブル結線
  2. 正系でHAの設定、commit
  3. 副系でHAの設定、commit
  4. HA構成が完了

⑧ステータス確認

Dashboard → ウィジット → システム → 高可用性を選択すると、簡易的なHAのウィジェットがダッシュボードに追加できますので設定しておくと便利です!

Paloalto-冗長化-設定方法-GUI-17
Paloalto-冗長化-設定方法-GUI-17

↓HAが組めているかを確認します。Stateが想定通りか、 「実行コンフィグ」が「Synchronized」かを確認します。

Paloalto-冗長化-設定方法-GUI-18
Paloalto-冗長化-設定方法-GUI-18

【参考】HA切り替え

あわせて読みたい
【Paloalto】HAの切り替え方法【CLI,GUI】 【【Paloalto】HAの切り替え方法】 paloalto(PA-200)で検証を行っています。今回はPaloalto(PA-200)で、HAの切り替え方法(CLI、GUI)をまとめていきます! 機種はP...

まとめ

最後にまとめになります!

  • ハードウェアの機種、OSやライセンスが一致しているのが前提条件なので気をつけましょう!
  • ローエンド機種はHA専用ポートがないので、ポートの管理は気をつけよう!

以上!

AWSエンジニアへの転職を目指すなら!

実務ベースのCI/CDパイプライン作成まで学べるAWSスクールでAWSエンジニアを目指そう!

目次