レイヤー 3 の高可用性のベスト プラクティス回最適なフェイル オーバーと

• L3 でパロアルトネットワークス ( ) ペアを展開する場合 PAN HA 、フェールオーバー時間を最大限に高めるために考慮すべき考慮事項がいくつかあります。

• パロアルト Firewall シリーズは2つの装置のアクティブ/パッシブ構成をサポートする。アクティブ・デバイスは、2 つの専用インターフェース上でパッシブ・デバイスと構成およびセッション情報を継続的に同期し、 hardware アクティブでソフトウェアが中断した場合 firewall 、サービス firewall が停止することなく自動的にアクティブになります。周囲のデバイスが新しいアクティブ ユニットへのトラフィックの転送を開始するのにかかる時間は、最適なフェールオーバー時間を達成するためのボトルネックです。

• L3 展開で最短のフェールオーバー時間を達成する場合、 HA PAN HA 構成と隣接スイッチの構成の 2 つの領域を考慮する必要があります。

• PA-2000 シリーズ
• PA-4000 シリーズ

• アーキテクチャの設計で考慮すべき重要な事実 HA は、パッシブ デバイス上のトラフィック処理リンクは既定でダウン状態であり、したがってパッシブ デバイスに接続されたアップストリームデバイスとダウンストリーム デバイスは、パッシブがアクティブにならない限り有効なパスを参照できません PAN firewall 。 A コンフィギュレーション オプションは PAN-OS 、パッシブ デバイスでインターフェイスを常にアクティブにするバージョン 2.0.x で追加されました。 このオプションは、インターフェイスが L3 場合のみ影響を取ります。 これにより、隣接するデバイス フェールオーバーがあるときにポートの移行を通過する必要がないです。 この設定は、[ デバイス>高可用性>選挙 設定で構成されます。 パッシブ リンク状態はデフォルトでシャット ダウンとを余儀なくされるパッシブ デバイスのリンク状態を持っている必要がある場合、自動に設定する必要があります。

Note: The other two considerations on the PAN firewall are the values configured for the Passive Hold Timer and the Hello interval. These two settings are configured on the HA Election settings page.

• Hello Interval は、相手が動作していることを確認するために送信されるハートビート パケット間の時間間隔 firewall です。 hello 間隔の最小値は、系列では 1000 ミリ秒 (1 秒) PA-4000 、系列では 8000 ミリ秒です PA-2000 。 最適なフェイル オーバー時間を達成するためには、値を最小値に設定することをお勧めします。 3 つの hello メッセージが失われると、隣接するメッセージ firewall がダウンすると宣言され、パッシブ デバイスがアクティブになります。

• パッシブ タイマー押しは受動素子 (ハートビート パケットまたはリンク障害の監視パスの損失のためのいずれか) をアクティブな状態に切り替える前にするアクティブなデバイスが宣言されるを待機する時間の量。この値を 0 に設定すると、障害が検出されると即時の切り替えがトリガーされます。 周辺デバイスの状態の変化を安定化できるように、いくつかの遅延を導入する公称値にこの値を設定することをお勧めします。 推奨事項: PA-2000 シリーズでは、パッシブホールドタイマーを2000 msに設定し PA-4000 、シリーズではパッシブホールドホールド時間を0に設定します。 これは最適なフェイル オーバー時間を実現します。

Note: In a L3 deployment the PAN device will issue a gratuitous ARP when a failover occurs; this will populate the surrounding devices forwarding tables so that traffic will be forwarded to the newly activated device.

• フェールオーバー時間を最適化しようとしたとき、リンク監視を実装するベスト プラクティスはまたです。 これが構成されている場合、物理リンクの損失はアクティブからパッシブへの切り替えをトリガーします。 隣接するデバイスがダウンした場合、または物理的な接続の問題がある場合、 HA スイッチオーバーは即時に行われます。パッシブ デバイスがアクティブになるまでの時間は、前述のように設定されたホールド ダウン タイマーの値によって異なります。

スイッチの構成に関する考慮事項

• PAN HAペアが Layer2 スイッチに接続されていると仮定すると、考慮すべきポートベースの設定が 1 つあります。 スパニング ツリーは、既定で有効になっているほとんどのレイヤー 2 スイッチがあります。これはケーブル接続エラーに起因するからループを防ぐためです。

• スイッチ ポートでスパニング ツリーを有効にすると、それが起動しない場合すぐにデータを転送します。 それを代わりに通過状態の数、ネットワークのトポロジを決定します。 トラフィック転送を開始する前に 30-50 秒までの遅延の原因になります。 これは STP 、802.1D で定義された元のスパニング ツリー プロトコル ( ) に適用 IEEE されます。 (プロトコルとその他の参照の詳細については 、http://en.wikipedia.org/wiki/Spanning_tree_protocol を参照してください)

• 一部のベンダーは、スイッチ ポートが STP アクティブになったときの遅延を最小限に抑えるために独自の拡張機能を実装しています。 Cisco スイッチ PortFast と呼ばれる設定オプションがあります。PortFast は STP 、リンクアップ時にポートをフォワーディング モードに直ちに移行します。 ポートは引き続き STP に参加しています。 したがって、ポートがループの一部であると判断された場合でも、ポートはブロッキング モードに移行します STP 。 (http://www.cisco.com/en/ US /tech/tk389/tk621/technologies_tech_note09186a008009482f.shtml#topic1) IEEE PortFast などのプロトコル拡張を含む新しい標準 (802.1w – 高速スパニングツリー) が追加されました。 Cisco 以外のスイッチ ・ ベンダーは同様の構成設定を持っているし、相当を構成する方法についてあなたのスイッチの製造に連絡することをお勧めします。

• PortFast ポートで有効になっているを持つ Cisco 29xx スイッチから構成の例です。

1. インターフェイス FastEthernet0/16
2. スイッチ ポート アクセス vlan 500
3. スパニング ツリー portfast

• ベスト プラクティスは、PortFast を有効にするか、または構成内のファイアウォールに接続するすべてのスイッチ インターフェイス PAN で同等の機能を有効に HA することです。