動作確認環境
- PA-200
- Version 8.1.19
HA におけるスプリットブレインとは
Palo Alto ファイアウォールの HA では、HA1 リンク、および HA1 バックアップリンクを使用してハートビート及び Hello を送りあい、相互にピアの状態を確認しています。
ここで、HA1 リンクと HA1 バックアップリンクの両方に障害が発生した場合、ピアに障害が発生したと判断して自身を Active に昇格させます。これが HA ペアの両方のファイアウォールで行われるため、両方のファイアウォールが Active 状態になってしまいます。この状態をスプリットブレインと呼びます。
ハートビートバックアップでスプリットブレインを防止可能
HA1 と HA1バックアップの両方に障害が発生することに備えて、管理インターフェースをハートビートバックアップとして設定することができます。
この設定をしておくと、HA1 と HA1バックアップの両方に障害が発生した場合でも管理インターフェースを使用してハートビート及び Hello を送りあうことができ、スプリットブレインを防止できます。
ハートビートバックアップの有効化設定
GUI で設定する場合は、[Device → 高可用性] 画面の [選択設定] の中で行えます。
以下の選択設定画面の [ハートビート バックアップ] にチェックを入れることでハートビートバックアップを有効化できます。
CLI で設定する場合は以下の設定に該当します。
- set deviceconfig high-availability group election-option heartbeat-backup <yes|no>
ハートビートバックアップの注意点
管理インターフェースの設定でアクセス許可 IP アドレスを設定している場合は、ピアの管理インターフェースの IP アドレスを許可 IP アドレスに追加しておく必要があります。
また、管理インターフェースでサービスとして Ping を許可するように設定する必要があります。
参考資料
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClrpCAC
- https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClF4CAK&lang=ja
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
コメント