目次
動作確認環境
- PA-200
- Version 8.1.19
アクティブ/パッシブ HA の設定項目
アクティブ/パッシブモードの HA を設定する場合の設定項目は以下です。
- インターフェースのタイプを HA に設定
- セットアップ設定
- アクティブ/パッシブ設定
- 選択設定
- HA1 リンク設定
- HA1 バックアップリンク設定
- HA2 リンク設定
- HA2 バックアップリンク設定
- リンク及びパスのモニタリンク設定
HA の設定箇所(GUI)
GUI で HA を設定する場合、[Device → 高可用性] の [全般] タブで設定します。モニタリンク設定については [リンクおよびパスのモニタリング] タブで設定します。
①インターフェースのタイプを HA に設定
これは通常のデータ通信用インターフェースを HA インターフェースとして使用する場合に必要な設定です。
HA タイプとしたいインターフェースの設定画面で以下のようにインターフェースタイプを HA にします。設定はこれだけです。
CLI で設定する場合は以下の構文で設定します。
- set network interface ethernet <IF名> ha
設定例:
set network interface ethernet ethernet1/3 ha
set network interface ethernet ethernet1/4 ha②セットアップ設定
[Device → 高可用性] の [全般] タブのセットアップ欄右上の歯車マークをクリックします。
- HA の有効化: チェックを入れます
- グループ ID: 1-63 の中から任意の ID を設定します。ピアの Palo Alto ファイアウォールと同じ ID にする必要があります
- 内容: 説明文を設定したい場合は入力します
- モード: アクティブ パッシブを選択します(PA-200 の場合アクティブ パッシブのみ)
- 設定の同期化の有効化: 設定変更時に自動で HA ピアに設定を同期する場合チェックを入れます(デフォルト有効)
- ピア HA IP アドレス: ピアの HA1 リンクの IP アドレスを入力します
- バックアップ側 ピア HA IP アドレス: ピアの HA1 バックアップリンクの IP アドレスを入力します
CLI で設定する場合は以下の構文で設定します。
- HA の有効化
- set deviceconfig high-availability enabled yes
- グループ ID
- set deviceconfig high-availability group group-id <1-63>
- 内容
- set deviceconfig high-availability group description <内容>
- モード(アクティブ/パッシブに設定)
- set deviceconfig high-availability group mode active-passive
- 設定の同期化の有効化/無効化
- set deviceconfig high-availability group configuration-synchronization enabled <yes|no>
- ピア HA1 IP アドレス、バックアップ側 ピア HA1 IP アドレス
- set deviceconfig high-availability group peer-ip <IP>
- set deviceconfig high-availability group peer-ip-backup <IP>
設定例:
set deviceconfig high-availability enabled yes
set deviceconfig high-availability group description HA
set deviceconfig high-availability group group-id 1
set deviceconfig high-availability group mode active-passive
set deviceconfig high-availability group configuration-synchronization enabled yes
set deviceconfig high-availability group peer-ip 10.1.10.2
set deviceconfig high-availability group peer-ip-backup 10.1.20.2③アクティブ/パッシブ設定
[Device → 高可用性] の [全般] タブのアクティブ/パッシブ設定欄右上の歯車マークをクリックします。
- パッシブ リンク状態:
- シャットダウン: パッシブ側ファイアウォールのリンクが shutdown されます
- 自動: パッシブ側ファイアウォールのリンクは UP になります
- 「自動」にすることが推奨です
- モニター障害時ホールドダウンタイム: 1-60(分) から指定。デフォルトは 1 分
CLI で設定する場合は以下の構文で設定します。
- パッシブ リンク状態
- set deviceconfig high-availability group mode active-passive passive-link-state <auto|shutdown>
- モニター障害時ホールドダウンタイム
- set deviceconfig high-availability group mode active-passive monitor-fail-hold-down-time <1-60>
設定例:
set deviceconfig high-availability group mode active-passive passive-link-state auto
set deviceconfig high-availability group mode active-passive monitor-fail-hold-down-time 1④選択設定
[Device → 高可用性] の [全般] タブの選択設定欄右上の歯車マークをクリックします。
- デバイス優先度: Active 選出に使用される優先度を 0-255 から指定。値がより小さい方が優先される。デフォルトは 100
- プリエンプティブ: 優先度の高いファイアウォールが障害から復旧時に自動で Active に切替える場合は有効にする
- ハートビート バックアップ: 管理インターフェースをハートビートバックアップとして使用する場合は有効にする。詳しくはこちらの記事参照
- HA タイマー設定: 以下から選択
- 推奨: 推奨値を使用
- アグレッシブ: アグレッシブな値を使用
- Advanced: 手動で各タイマー値を設定する
- 各タイマー値設定: HA タイマー設定で Advanced を選択した場合のみ項目が表示される
- 基本的にはデフォルト設定(推奨値)のままで良い
CLI で設定する場合は以下の構文で設定します。
- デバイス優先度
- set deviceconfig high-availability group election-option device-priority <0-255>
- プリエンプティブ
- set deviceconfig high-availability group election-option preemptive <yes|no>
- ハートビートバックアップ
- set deviceconfig high-availability group election-option heartbeat-backup <yes|no>
- HA タイマー設定(推奨に設定)
- set deviceconfig high-availability group election-option timers recommended
設定例:
set deviceconfig high-availability group election-option device-priority 50
set deviceconfig high-availability group election-option preemptive no
set deviceconfig high-availability group election-option heartbeat-backup yes
set deviceconfig high-availability group election-option timers recommended⑤HA1 リンク設定
[Device → 高可用性] の [全般] タブのコントロールリンク(HA1)欄右上の歯車マークをクリックします。
- ポート: HA1 リンクとするポートを指定します
- IPv4/IPv6 アドレス: HA1 ポートの IP アドレスを設定します
- ネットマスク: HA1 ポートのサブネットマスクを設定します
- ゲートウェイ: ピアの HA1 ポートとルータを介して接続している場合のみ、ゲートウェイを設定します
- 暗号化を有効: 暗号化を有効にする場合はチェックを入れます
- ホールドタイムのモニター: 1000-60000 (ミリ秒) から指定します。デフォルトは 3000
CLI で設定する場合は以下の構文で設定します。
- ポート
- set deviceconfig high-availability interface ha1 port <IF名>
- IPv4/IPv6 アドレス
- set deviceconfig high-availability interface ha1 ip-address <IP>
- ネットマスク
- set deviceconfig high-availability interface ha1 netmask <ネットマスク>
- ゲートウェイ
- set deviceconfig high-availability interface ha1 gateway <IP>
- 暗号化を有効
- set deviceconfig high-availability interface ha1 encryption enabled <yes|no>
- ホールドタイムのモニター
- set deviceconfig high-availability interface ha1 monitor-hold-time <1000-60000>
設定例:
set deviceconfig high-availability interface ha1 port ethernet1/3
set deviceconfig high-availability interface ha1 ip-address 10.1.10.1
set deviceconfig high-availability interface ha1 netmask 255.255.255.0
set deviceconfig high-availability interface ha1 encryption enabled no⑥HA1 バックアップリンク設定
[Device → 高可用性] の [全般] タブのコントロールリンクのバックアップ欄右上の歯車マークをクリックします。
- ポート: HA1 バックアップリンクとするポートを指定します
- IPv4/IPv6 アドレス: HA1 バックアップポートの IP アドレスを設定します
- ネットマスク: HA1 バックアップポートのサブネットマスクを設定します
- ゲートウェイ: ピアの HA1 バックアップポートとルータを介して接続している場合のみ、ゲートウェイを設定します
CLI で設定する場合は以下の構文で設定します。
- ポート
- set deviceconfig high-availability interface ha1-backup port <IF名>
- IPv4/IPv6 アドレス
- set deviceconfig high-availability interface ha1-backup ip-address <IP>
- ネットマスク
- set deviceconfig high-availability interface ha1-backup netmask <ネットマスク>
- ゲートウェイ
- set deviceconfig high-availability interface ha1-backup gateway <IP>
設定例:
set deviceconfig high-availability interface ha1-backup port ethernet1/4
set deviceconfig high-availability interface ha1-backup ip-address 10.1.20.1
set deviceconfig high-availability interface ha1-backup netmask 255.255.255.0⑦HA2 リンク設定
[Device → 高可用性] の [全般] タブのデータリンク(HA2)欄右上の歯車マークをクリックします。
- セッション同期を有効にする: 有効にします
- ポート: HA2 リンクとするポートを指定します
- IPv4/IPv6 アドレス: ピアの HA2 ポートとルータを介して接続している場合のみ、HA2 ポートの IP アドレスを設定します
- ネットマスク: ピアの HA2 ポートとルータを介して接続している場合のみ、HA2 ポートのサブネットマスクを設定します
- ゲートウェイ: ピアの HA2 ポートとルータを介して接続している場合のみ、ゲートウェイを設定します
- トランスポート: デフォルトは ethernet で、HA ペアで HA2 ポートが直結している場合はこれにします。ルータを介してルーティングする必要がある場合は IP または UDP にします
- HA2 キープアライブ: HA ピア間の HA2 モニタリングを有効にしたい場合はチェックを入れます。障害時は設定したアクションを行います(Log Only/Split Datapath)
- Threshold (しきい値): デフォルト 10000 ミリ秒
設定例:
set deviceconfig high-availability interface ha2 port hsci⑧HA2 バックアップリンク設定
HA2 バックアップリンクを設定する場合はポートの指定、必要に応じて IP アドレスの設定を行います。
set deviceconfig high-availability interface ha2-backup port ethernet1/8⑨リンク及びパスのモニタリンク設定
各モニタリングの設定は [Device → 高可用性] の [リンクおよびパスのモニタリング] タブで行います。
リンクモニタリングの設定
リンクモニタリングの設定では以下を行います。
- リンクモニタの有効化
- リンクモニタ全体として障害とみなす条件として(リンクグループの)「いずれか(Any)」「すべて(All)」のいずれかを選択
- リンクグループの作成
- リンクグループに監視したいインターフェースを追加
- リンクグループを障害とみなす条件として「いずれか(Any)」「すべて(All)」のいずれかを選択
CLI で設定する場合は以下の構文で設定します。
- リンクモニタリングの有効化/無効化
- set deviceconfig high-availability group monitoring link-monitoring enabled <yes|no>
- リンクモニタ全体として障害とみなす条件の設定
- set deviceconfig high-availability group monitoring link-monitoring failure-condition <all|any>
- 個別のリンクグループについて障害とみなす条件の設定
- set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> failure-condition <all|any>
- リンクグループのメンバーインターフェースの設定
- set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> interface <IF名>
- インターフェースが 1 つのみの場合
- set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> interface [ <IF名①> <IF名②> … ]
- インターフェースが 2 つ以上の場合
- set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> interface <IF名>
設定例:
set deviceconfig high-availability group monitoring link-monitoring enabled
set deviceconfig high-availability group monitoring link-monitoring failure-condition any
set deviceconfig high-availability group monitoring link-monitoring link-group ethgrp failure-condition any
set deviceconfig high-availability group monitoring link-monitoring link-group ethgrp interface [ ethernet1/1 ethernet1/2 ]設定後の HA ポート間のケーブル結線
HA ペアとする Palo Alto ファイアウォールの 2 台について上記の設定ができたら、各 HA ポート間にケーブルを結線します。これで HA が構成できます。
HA 状態確認コマンド
以下のコマンドで HA の状態を確認できます。
- > show high-availability state
admin@PA-200-A(active)> show high-availability state
Group 1:
Mode: Active-Passive
Local Information:
Version: 1
Mode: Active-Passive
State: active (last 3 hours)
Device Information:
Management IPv4 Address: 192.168.1.1/24
Management IPv6 Address:
Mgmt HB Backup configured
HA1 Control Links Joint Configuration:
Encryption Enabled: no
Election Option Information:
Priority: 50
Preemptive: no
Version Compatibility:
Software Version: Match
Application Content Compatibility: Match
Anti-Virus Compatibility: Match
Threat Content Compatibility: Match
VPN Client Software Compatibility: Match
Global Protect Client Software Compatibility: Match
VM License Type: Mismatch
Peer Information:
Connection status: up
Version: 1
Mode: Active-Passive
State: passive (last 11 minutes)
Device Information:
Management IPv4 Address: 192.168.1.2/24
Management IPv6 Address:
Mgmt HB Backup Connection up
Connection up; Primary HA1 link
Connection up
Election Option Information:
Priority: 100
Preemptive: no
Configuration Synchronization:
Enabled: yes
Running Configuration: synchronized参考資料
Palo Alto 関連記事一覧
- 基礎知識
- システム設定
- 初期設定
- NTP
- DNS
- Syslog
- SNMP
- HA 設定(冗長化)
- インターフェース設定
- ルーティング設定
- ポリシー
- 基礎知識
- アドレス・サービス
- セキュリティポリシー
- NAT
- TIPS
- VPN
- サービス機能
- TIPS
- 参考資料
- https://docs.paloaltonetworks.com/
- https://docs.paloaltonetworks.com/translated/japanese#sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/search.html#q=pan-os%20admin%20guide&sort=relevancy&layout=card&numberOfResults=25
- https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-cli-quick-start/cli-command-hierarchy-for-pan-os-101/pan-os-101-configure-cli-command-hierarchy
Amazon で買えるおすすめアイテム
以下は Amazon アフィリエイトリンクです。ネットワーク作業向けにそこそこおすすめなアイテムです。
【整備済み品】HP ノートパソコン 830G5/13.3型フルHD/Win 11/MS Office H&B 2019/第7世代i5-7200U 2.50GHz/メモリ 16GB/SSD 512GB/指紋リーダー/USB 3.0/WEBカメラ/初期設定済
コメント