これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「 critical 」のシステムログがないことを確認します。

レード

ステップ 3 のように非 SYN TCP を許可している場合、 set session tcp-reject-non-syn yes を実行して元に戻すことができます。

6. これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「 critical 」のシステムログがないことを確認します。

6. [

設定の同期化の有効化

]

チェックボックスをオンにして設定の同期を有効にし、設定をコミットします。

マスターキーの更新

(

キーが同期していない、または期限が切れている

)

マスターキーが同期していない、または期限が切れている場合、システムログに「

critical

」のエラーが表示されます。これが発生した場合は、

ペアの両方のデバイスで

設定の同期をただちに無効にする必要があります。両方のデバイスで

[Device] > [

高可用性

]

に移動し、

[

全般

]

タブで

[

設定の同期化の有効化

]

チェックボックスをオフにします。両方のデバイスの設定をコミットします。

2. HA

ペアの両方のデバイスに保留されている設定更新がないことを確認します。保留されている変更がある場合は、両方のデバイスで設定をコミットし、すべての設定更新が完了するまで待機します。

コミットの状態は、各デバイスの

Web

インターフェイスの右下にある

[

タスク

]

リンクをクリックすると表示できます。実行中のジョブをすべて表示するには、

CLI

から

show jobs all

を実行します。保留中のジョブを表示するには、show jobs pending を実行します。

保留中の更新がないことを確認するには、設定モードから

check pending-changes

を実行すると、「

」が表示されます。

3. 16

文字を使用してデバイス

のマスターキーを更新し、設定をコミットします。

同じマスターキーを使用してデバイス

のマスターキーを更新し、設定をコミットします。

両方のデバイスで設定の同期を有効にし、設定をコミットします。

これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「

critical

」のシステムログがないことを確認します。

7. [

設定の同期化の有効化

]

チェックボックスをオンにして設定の同期を有効にし、設定をコ

ミットします。問題が解決しない場合は、テクニカルサポート部門にお問い合わせください。

高可用性

96 •

^{デバイス管理}

Palo Alto Networks

高可用性

PAN-OS

では、アクティブ

パッシブおよびアクティブ

アクティブの高可用性

(HA)

をサポー

トします。

アクティブ / ^{パッシブの} HA

アクティブ

パッシブコンフィグでは、

つのデバイスで

グループを形成して冗長な構成にしています。

つのファイアウォールは相互にコンフィグをミラーリングします。何かの理由でアクティブファイアウォールで障害が発生すると、パッシブファイアウォールが自動的にアクティブになり、サービスは中断されることなく提供されます。選択した

Ethernet

リンクに障害が発生した場合や、指定した

つ以上の宛先にアクティブファイアウォールが到達できない場合にも、

フェイルオーバーが発生することがあります。トラフィック処理の観点からすると、任意の時点において

つのデバイスがパケットを受信します。

以下のルールは

の動作とフェイルオーバーに適用されます。

•

^{アクティブ} ^{ファイアウォールは、}

インターフェイスを介して設定情報とセッション情報をパッシブファイアウォールと継続的に同期します。

•

^{アクティブ} ファイアウォールで障害が発生すると、パッシブファイアウォールがハートビートの喪失を検出して自動的にアクティベーションされます。

• ¹

^つの

^HA

インターフェイスに障害が発生しても、残りのインターフェイスで同期が続行されます。状態同期用の接続

(HA2

リンク

)

が失われると、状態が同期されなくなります。設定同期用の接続

(HA1

リンク

)

が失われると、設定が同期されなくなり、さらに

デバイス間のハートビートも喪失します。このとき両方のデバイスでもう一方のデバイスがダウンしていると判断され、両デバイスともアクティブになります。

• HA

デバイスの管理ポート

(MGT)

を設定して、ハートビートおよび

hello

メッセージのバックアップパスを提供します。管理ポート上に

HA1

または

HA1

バックアップを設定する場合は、ハートビートバックアップオプションを有効にする必要はありません。

注：

ペアでは、両方のファイアウォールで同じモデルとライセンスを使用する

必要があります。状態同期化が有効になっている場合、スイッチオーバーの後も既

存のセッションは維持されますが、脅威防御機能は継続されません。脅威対策は新

しいセッションに適用されます。

Palo Alto Networks

^{デバイス管理}

• 97

高可用性

アクティブ / ^{アクティブの} HA

アクティブ

アクティブの高可用性により、

ペアの両方のデバイスはトラフィックを同時に送ることができます。この高可用性は主に、

App-ID

および

Content-ID

のサポートが必要とされる非対称のルーティング環境で導入されます。

App-ID

および

Content-ID

のレイヤー

検査は、セッション毎に

つのデバイス

(

セッションオーナーと呼ばれます

)

で実行されます。

PAN-OS

では

(HA3

リンクを介して

)

パケット転送を使用し、必要であれば指定されたセッションオーナーにパ

ケットを送信して処理されるようにします。

アクティブ

アクティブのデバイスは、レイヤー

またはバーチャルワイヤーインターフェイスを使用して導入できます。レイヤー

導入では、スキャンされたパケットをセッションオーナーが処理後に直接転送できます。バーチャルワイヤー導入では、スキャンされたパケットを受信ファイアウォールに戻して転送パスを維持する必要があります。最初にセッションオーナーがパケットを受信する場合、

HA3

リンクは使用されません。

App-ID

および

Content-ID

が不要なセッションは、

(

セッションオーナーではなくても

)

受信デバイスによって直接転送され、パフォーマンスが最大化されます。

柔軟性を保つため、さまざまな方法でレイヤー

インターフェイスを設定できます。仮想アドレス

(

フローティング

アドレスまたは

ARP

ロードシェアリング

アドレス

)

に加え、スタティックインターフェイス

アドレスを使用してレイヤー

インターフェイスを設定することが理にかなっている場合が多くあります。

•

^{スタティック} ^{インターフェイス}

^{IP —}

ファイアウォールが隣接するデバイスと動的ルーティングプロトコルに加わるときは常に、レイヤー

インターフェイスにスタティック

アドレスが割り当てられている必要があります。見込まれる

つのアクティブ

アクティブ導入オプションは、動的ルーティングプロトコルコストメトリックを使用して、

ペアを介した対称パスを強制します。この場合、すべてのトラフィックは対称となり、アクティブ

アクティブペアの効率が最大化されます。

•

^{フローティング}

IP —

このモードは、

ペアメンバーの状態に関係なく

アドレスを使用可能にする必要がある場合など、

VRRP (Virtual Router Redundancy Protocol)

のような機能が必要な場合に使用します。各ファイアウォールが

つを所有できるように特定のインターフェイスに

つのフローティング

アドレスを設定するのが典型的です。オーナーシップは、

優先度の高いデバイス

に割り当てられます。どちらかのファイアウォールが失敗すると、

フローティング

アドレスが

ピアに移行されます。

• ARP

ロードシェアリング

—

このモードは、

ARP (Address Resolution Protocol)

を使用して

つのファイアウォール間でホストトラフィックの負荷を分散するときに使用します。

これらのオプションの詳細は、この項の以降の説明を参照してください。

高可用性

98 •

^{デバイス管理}

Palo Alto Networks

パケットフロー

アクティブ

アクティブコンフィグでのパケットフローは以下のとおりです。

•

^{セッション} ^{オーナーは、}

^App-ID

^および

Content-ID

のすべてのパケット処理の責任を担います。セッションオーナーは、

(1)

セッションのパケットを受信する最初のデバイス、または

(2)

プライマリデバイスとなるように設定できます。設定オプションを「プライマリデバイス」

に設定すると、すべてのセッションはプライマリデバイスでセットアップされます。

•

すべての新しいセッションでは、

つのデバイスがセッションセットアップデバイスとして選択されます。これが必要なのは、非対称のルーティング環境で発生する可能性がある競合状態を回避するためです。セッションセットアップデバイスは、以下のいずれかの方法によって決定されます。

– IP

モジュロ

—

ソース

アドレスでの単純な剰余演算を使用して、セッションをセットアップするデバイスを決定します。

モジュロでは、

アドレスのパリティに従い、特定の

デバイスに対してセッションをセットアップする責任を配分します。

–

プライマリデバイス

—

セッションセットアップはいつでもプライマリデバイスで行われます。

–

ハッシュ

—

ハッシュ化を使用して、セットアップデバイスの選択プロセスでのランダム性を高めます。

•

新しいセッションが開始すると、受信ファイアウォールは、セッションをセットアップするか、または

ピアに転送します。アクションは、上記の説明にあるように、セッションセットアップの設定によって決まります。この期間中、セッションオーナー

(App-ID

および

Content-ID

の状態を保持する責任を担うデバイス

)

はその設定に従って決定されます。

•

^{パケットがセッション} オーナーに到達すると、そのパケットは脅威がないかどうかスキャンされ

(

セキュリティポリシーで設定されている場合

)

、デバイスのネットワーク設定に従って転送されます。パケットが

ピアに到達すると、セッションテーブルのルックアップにより、セッションが他のデバイスによって所有されており、

HA3

全体にわたってセッションオーナーにパケットを転送可能であることが識別されます。セッションでレイヤー

検査が不要な場合、受信デバイスでは、セッションを既存のセッションテーブルのエントリと照合し、

その最終宛先に向けてパケットを転送できます。

注：アクティブ

アクティブの

ペアを介して渡されるログは、セッション

オーナーとして指定されるデバイスに表示されます。

ドキュメント内 Palo Alto Networks Administrator's Guide (ページ 95-99)

これでマスター キーが同期します。ログをチェックし、マスター キーに関連する「 critical 」 のシステム ログがないことを確認します。

レード

ステップ 3 のように非 SYN TCP を許可している場合、 set session tcp-reject-non-syn yes を実行して元に戻すことができます。

6. これでマスター キーが同期します。ログをチェックし、マスター キーに関連する「 critical 」 のシステム ログがないことを確認します。

設定の同期化の有効化

チェック ボックスをオンにして設定の同期を有効にし、設定をコ ミットします。

マスター キーの更新

キーが同期していない、または期限が切れている

マスター キーが同期していない、または期限が切れている場合、システム ログに「

」 のエラーが表示されます。これが発生した場合は、

ペアの両方のデバイスで

設定の 同期をただちに無効にする必要があります。両方のデバイスで

高可用性

に移動 し、

全般

タブで

設定の同期化の有効化

チェック ボックスをオフにします。両方のデバイ スの設定をコミットします。

ペアの両方のデバイスに保留されている設定更新がないことを確認します。保留されてい る変更がある場合は、両方のデバイスで設定をコミットし、すべての設定更新が完了するまで 待機します。

コミットの状態は、各デバイスの

インターフェイスの右下にある

タスク

リンクをク リックすると表示できます。実行中のジョブをすべて表示するには、

から

を実行します。保留中のジョブを表示するには、show jobs pending を実行します。

保留中の更新がないことを確認するには、設定モードから

を実 行すると、 「

」が表示されます。

文字を使用してデバイス

のマスター キーを更新し、設定をコミットします。

同じマスター キーを使用してデバイス

のマスター キーを更新し、設定をコミットします。

両方のデバイスで設定の同期を有効にし、設定をコミットします。

これでマスター キーが同期します。ログをチェックし、マスター キーに関連する「

」 のシステム ログがないことを確認します。

設定の同期化の有効化

チェック ボックスをオンにして設定の同期を有効にし、設定をコ

ミットします。問題が解決しない場合は、テクニカル サポート部門にお問い合わせください。

高可用性

デバイス管理

高可用性

では、アクティブ

パッシブおよびアクティブ

アクティブの高可用性

をサポー

トします。

アクティブ / パッシブの HA

アクティブ

パッシブ コンフィグでは、

つのデバイスで

グループを形成して冗長な構成に しています。

リンクに障害が発生 した場合や、指定した

つ以上の宛先にアクティブ ファイアウォールが到達できない場合にも、

フェイルオーバーが発生することがあります。トラフィック処理の観点からすると、任意の時点に おいて

つのデバイスがパケットを受信します。

以下のルールは

の動作とフェイルオーバーに適用されます。

アクティブ ファイアウォールは、

インターフェイスを介して設定情報とセッション情報 をパッシブ ファイアウォールと継続的に同期します。

アクティブ ファイアウォールで障害が発生すると、パッシブ ファイアウォールがハートビー トの喪失を検出して自動的にアクティベーションされます。

つの

インターフェイスに障害が発生しても、残りのインターフェイスで同期が続行され ます。状態同期用の接続

リンク

が失われると、状態が同期されなくなります。設定同 期用の接続

リンク

が失われると、設定が同期されなくなり、さらに

デバイス間の ハートビートも喪失します。このとき両方のデバイスでもう一方のデバイスがダウンしている と判断され、両デバイスともアクティブになります。

デバイスの管理ポート

を設定して、ハートビートおよび

メッセージのバッ クアップ パスを提供します。管理ポート上に

または

バックアップを設定する場合 は、ハートビート バックアップ オプションを有効にする必要はありません。

注：

ペアでは、両方のファイアウォールで同じモデルとライセンスを使用する

必要があります。状態同期化が有効になっている場合、スイッチオーバーの後も既

存のセッションは維持されますが、脅威防御機能は継続されません。脅威対策は新

しいセッションに適用されます。

デバイス管理

高可用性

アクティブ / アクティブの HA

これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「 critical 」のシステムログがないことを確認します。

6. これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「 critical 」のシステムログがないことを確認します。

チェックボックスをオンにして設定の同期を有効にし、設定をコミットします。

マスターキーの更新

マスターキーが同期していない、または期限が切れている場合、システムログに「

」のエラーが表示されます。これが発生した場合は、

設定の同期をただちに無効にする必要があります。両方のデバイスで

に移動し、

チェックボックスをオフにします。両方のデバイスの設定をコミットします。

ペアの両方のデバイスに保留されている設定更新がないことを確認します。保留されている変更がある場合は、両方のデバイスで設定をコミットし、すべての設定更新が完了するまで待機します。

リンクをクリックすると表示できます。実行中のジョブをすべて表示するには、

を実行すると、「

のマスターキーを更新し、設定をコミットします。

同じマスターキーを使用してデバイス

のマスターキーを更新し、設定をコミットします。

これでマスターキーが同期します。ログをチェックし、マスターキーに関連する「

」のシステムログがないことを確認します。

チェックボックスをオンにして設定の同期を有効にし、設定をコ

ミットします。問題が解決しない場合は、テクニカルサポート部門にお問い合わせください。

^{デバイス管理}

アクティブ / ^{パッシブの} HA

パッシブコンフィグでは、

グループを形成して冗長な構成にしています。

リンクに障害が発生した場合や、指定した

つ以上の宛先にアクティブファイアウォールが到達できない場合にも、

フェイルオーバーが発生することがあります。トラフィック処理の観点からすると、任意の時点において

^{アクティブ} ^{ファイアウォールは、}

インターフェイスを介して設定情報とセッション情報をパッシブファイアウォールと継続的に同期します。

^{アクティブ} ファイアウォールで障害が発生すると、パッシブファイアウォールがハートビートの喪失を検出して自動的にアクティベーションされます。

^つの

インターフェイスに障害が発生しても、残りのインターフェイスで同期が続行されます。状態同期用の接続

が失われると、状態が同期されなくなります。設定同期用の接続

デバイス間のハートビートも喪失します。このとき両方のデバイスでもう一方のデバイスがダウンしていると判断され、両デバイスともアクティブになります。

メッセージのバックアップパスを提供します。管理ポート上に

バックアップを設定する場合は、ハートビートバックアップオプションを有効にする必要はありません。

^{デバイス管理}

アクティブ / ^{アクティブの} HA

ペアの両方のデバイスはトラフィックを同時に送ることができます。この高可用性は主に、

のサポートが必要とされる非対称のルーティング環境で導入されます。

検査は、セッション毎に

セッションオーナーと呼ばれます

パケット転送を使用し、必要であれば指定されたセッションオーナーにパ

またはバーチャルワイヤーインターフェイスを使用して導入できます。レイヤー

が不要なセッションは、

セッションオーナーではなくても

受信デバイスによって直接転送され、パフォーマンスが最大化されます。

ロードシェアリング

に加え、スタティックインターフェイス

インターフェイスを設定することが理にかなっている場合が多くあります。

^{スタティック} ^{インターフェイス}

ファイアウォールが隣接するデバイスと動的ルーティングプロトコルに加わるときは常に、レイヤー

アドレスが割り当てられている必要があります。見込まれる

アクティブ導入オプションは、動的ルーティングプロトコルコストメトリックを使用して、

ペアを介した対称パスを強制します。この場合、すべてのトラフィックは対称となり、アクティブ

アクティブペアの効率が最大化されます。

^{フローティング}

ペアメンバーの状態に関係なく

アドレスを使用可能にする必要がある場合など、

のような機能が必要な場合に使用します。各ファイアウォールが

つを所有できるように特定のインターフェイスに

アドレスを設定するのが典型的です。オーナーシップは、

ロードシェアリング

つのファイアウォール間でホストトラフィックの負荷を分散するときに使用します。

^{デバイス管理}

パケットフロー

アクティブコンフィグでのパケットフローは以下のとおりです。

^{セッション} ^{オーナーは、}

^および

のすべてのパケット処理の責任を担います。セッションオーナーは、

プライマリデバイスとなるように設定できます。設定オプションを「プライマリデバイス」