でハイ アベイラビリティを設定する方法 PAN-OS
Symptom
このドキュメントでは、高可用性の構成 (HA )スクリーンショット付きの同一のパロアルトネットワークファイアウォールのペアで。
Environment
- パロアルト ファイアウォール
- 対応PAN-OS.
- アクティブ/パッシブの高可用性 (HA )
ノート:このドキュメントでは、構成については扱いません。HAにとってPA-200デバイス。
Resolution
この記事では、データ インターフェイスを次のように使用します。HAポート、ファイアウォールに専用ポートがある場合HAファイアウォール間の HA1/HA2 接続に必要です。
手順:
最初のデバイスの構成
- [ネットワーク] タブ > [インターフェイス] に移動します。
ノート:
のHAリンクは次のスクリーンショットのようになります。
- 予定を確認HAリンクがアップしています。
- 両方のインターフェイスをインターフェイス タイプに設定するHA.
- のペアを構成する場合は、この手順をスキップします。PA-3000 、PA-4000またPA-5000シリーズ デバイス。 を含む他のすべてのファイアウォールVM-シリーズ、特定のポートをタイプとして構成する必要がありますHA.
- [デバイス] タブ > [高可用性] > [全般] に移動します。
ノート:
- セットアップ セクションを見つけます。
- 歯車をクリックして、設定を表示/編集します。
- 有効HA.
- グループに入るID両方のメンバーに一致します。
- を入力しますIPピアのコントロール リンクのアドレス。 これは次のステップで使用されます。
- 構成の同期を有効にします。
- クラスターID仮想を作成するときに使用されますMACL3 インスタンス用。 複数のクラスターが同じ L2 ネットワーク上にある場合、IDクラスタごとに異なる必要があります。
- ピアHA IPアドレス (コントロール リンク) は任意ですIPネットワークで現在使用されていないアドレス。
- バックアップ ピアを追加することをお勧めしますHA IP十分な空きポートがある場合に対処します。
- [General] タブから、[Control Link] セクションを見つけて、[Primary] をクリックします。
ノート:
- 最初のものを選択HA最初のデバイスの Control Link に使用されるインターフェイス。
- エネアンIPピアと同じサブネット上のアドレスHA IPステップ 2 で設定したアドレス。
- Control Link が直接接続されていない場合firewall、暗号化を有効にすることができます (AES-256 )。
- Control Link IP が別のブロードキャスト ドメインにある場合は、ゲートウェイのみを設定する必要があります。それ以外の場合は必要ありません。
- [全般] タブから、[データ リンク] セクションを見つけて、[プライマリ] をクリックします。
注: 輸送方法
- もう一方を選択HAデータリンクに使用されるインターフェイス。
- を構成しますIPデータリンクの情報。
- [有効] ボックスがオンになっていることを確認します。
- イーサネット: ファイアウォールがバックツーバックまたはスイッチ (Ethertype 0x7261) 経由で接続されている場合に使用します。
- IP: レイヤ 3 トランスポートが必要な場合に使用します (IPプロトコル番号 99)。
- UDP: チェックサムがヘッダーだけでなくパケット全体で計算されるという事実を利用するために使用します。IPオプション (UDPポート 29281)。
- [一般] タブから、[選挙の設定] セクションを見つけて、歯車をクリックします。
- ファイアウォールの 1 つをアクティブとして指定するには、両方のファイアウォールでプリエンプティブを有効にし、デバイスの優先度を設定します。
デバイス優先順位が最も低いデバイスがアクティブ デバイスです。
- ここで他のすべての設定について学習するには、[?] をクリックします。詳細な説明については、右上隅にあります。
- 状態の同期が有効になっている場合。セッション テーブル、転送テーブル、ARPテーブル、およびVPNセキュリティ アソシエーション (SA) は、HA2 を介してアクティブ デバイスからパッシブ デバイスにコピーされます。パッシブ デバイスが引き継ぐと、既存のセッションが続行されます。
- デバイスにIP管理 IP 間の接続を維持するには、管理インターフェイスを介して ping を送信するハートビート バックアップを有効にすることをお勧めします。
- ファイアウォールの 1 つをアクティブとして指定するには、両方のファイアウォールでプリエンプティブを有効にし、デバイスの優先度を設定します。
- 構成をコミットします。
この時点で、すべてのレイヤ 3 インターフェイスが新しい(共有)MACアドレス、および複数の Gratuitous ARP が各レイヤ 3 インターフェイスに送信され、接続されているスイッチに新しいアドレスが通知されます。IP /MAC組み合わせ。
- 確認HAローカルでアクティブですfirewall.
のfirewall以下に示すように、のステータスはアクティブであり、他の値は不明である必要があります。
- [ダッシュボード] タブに移動します。
- 高可用性ウィジェットを追加します。
- ウィジェット > システム > 高可用性。
ピア デバイスを構成します。
- 手順 1 を参照して、ピア デバイスに 2 つのHA最初のデバイスと通信するように構成されたリンクHAリンク。
- ピア デバイスのセットアップ セクションに移動し、有効にします。HA . 手順 2 を参照してください。
- 同じクラスターを割り当てるID他のデバイスと同じように。
- を入力IP他人に割り当てられたアドレスfirewallのコントロール リンク。
- 構成の同期を有効にします。
- [General] タブから、[Control Link] セクションを見つけて、[Primary] をクリックします。
ノート:最初のデバイスで暗号化が有効になっている場合は、ここでも有効にします。
- 最初のものを選択HA2 番目のデバイスのコントロール リンクに使用されるインターフェイス。
- を入力しますIPピアと同じサブネット上のアドレスHA IPステップ 8 で設定したアドレス。
- [全般] タブから、[データ リンク] セクションを見つけて、[プライマリ] をクリックします。
- もう一方を選択HAデータリンクに使用されるインターフェイス。
- を構成しますIPデータリンクの情報。
- [有効] ボックスがオンになっていることを確認します。
- [トランスポート] ドロップダウンが最初のデバイスの構成と一致していることを確認してください。
- 最初のデバイスでプリエンプティブを有効にすることを除いて、最初のデバイスで設定を複製します。
この構成では、プリエンプティブはオフです。
- プリエンプティブを有効にします。
- 優先度フィールドを構成します。 A 数値が大きいほど、優先順位が低くなります。
- 2 番目のデバイスで変更をコミットします。
- 最初のデバイスに移動します。
- まだアクティブとして表示され、ピア デバイスがパッシブとして認識されていることを確認します。
- すべての動的更新が同期されていることを確認します。
- この例では、ウイルス対策とGlobalProtect同期されません。
- 以下に示すように、すべてが一致するように必要に応じて更新します。
- 両方のデバイスですべてが一致したら、アクティブ メンバーの [ダッシュボード] タブに移動し、[ピアに同期] をクリックします。 同期が進行中であると表示されます。
- 2 番目の (パッシブ) デバイスに移動します。CLIそして、HA次を実行してプロセスを同期します。
> すべての求人を表示
最初の 2 回の試行は失敗しました。 失敗の原因を特定して修正します。
- 失敗したジョブの詳細を取得するには、次を実行します。
> ジョブ ID を表示 <ID 番号HA-同期ジョブ>
最初の同期失敗はID13.
「Samir」という名前のパッシブ デバイスにセキュリティ ルールがあり、これが原因でHA-同期プロセスが失敗します。 ルールは以前の共有ルールですPanorama構成。
ルールを削除し、アクティブなデバイスの [ダッシュボード] タブからピアへの同期を再度実行します。 今回はジョブが正常に終了しました。
高可用性が構成されています。
- リンク監視とパス監視を構成します (オプション):
- [デバイス] タブ > [高可用性] > [リンクとパスの監視] タブ。
- この例では、すべてのリンクを監視します。 つまり、アクティブなデバイスでいずれかのリンク状態がダウンすると、フェイルオーバーが発生します。
- この例では、パス モニタリングは設定されていません。
- クリック "?"リンクとパスの監視タブの右上隅にあるボタンをクリックして、リンクの監視とパスの監視について確認します。