Palo Alto アクティブ/パッシブ HA の設定方法【一番詳しい】

動作確認環境

• PA-200
  • Version 8.1.19

アクティブ/パッシブ HA の設定項目

アクティブ/パッシブモードの HA を設定する場合の設定項目は以下です。

1. インターフェースのタイプを HA に設定
2. セットアップ設定
3. アクティブ/パッシブ設定
4. 選択設定
5. HA1 リンク設定
6. HA1 バックアップリンク設定
7. HA2 リンク設定
8. HA2 バックアップリンク設定
9. リンク及びパスのモニタリンク設定

HA の設定箇所（GUI）

GUI で HA を設定する場合、[Device → 高可用性] の [全般] タブで設定します。モニタリンク設定については [リンクおよびパスのモニタリング] タブで設定します。

①インターフェースのタイプを HA に設定

これは通常のデータ通信用インターフェースを HA インターフェースとして使用する場合に必要な設定です。

HA タイプとしたいインターフェースの設定画面で以下のようにインターフェースタイプを HA にします。設定はこれだけです。

CLI で設定する場合は以下の構文で設定します。

• set network interface ethernet <IF名> ha

設定例:

set network interface ethernet ethernet1/3 ha
set network interface ethernet ethernet1/4 ha

②セットアップ設定

[Device → 高可用性] の [全般] タブのセットアップ欄右上の歯車マークをクリックします。

• HA の有効化: チェックを入れます
• グループ ID: 1-63 の中から任意の ID を設定します。ピアの Palo Alto ファイアウォールと同じ ID にする必要があります
• 内容: 説明文を設定したい場合は入力します
• モード: アクティブ パッシブを選択します（PA-200 の場合アクティブ パッシブのみ）
• 設定の同期化の有効化: 設定変更時に自動で HA ピアに設定を同期する場合チェックを入れます（デフォルト有効）
• ピア HA IP アドレス: ピアの HA1 リンクの IP アドレスを入力します
• バックアップ側 ピア HA IP アドレス: ピアの HA1 バックアップリンクの IP アドレスを入力します

CLI で設定する場合は以下の構文で設定します。

• HA の有効化
  • set deviceconfig high-availability enabled yes
• グループ ID
  • set deviceconfig high-availability group group-id <1-63>
• 内容
  • set deviceconfig high-availability group description <内容>
• モード（アクティブ/パッシブに設定）
  • set deviceconfig high-availability group mode active-passive
• 設定の同期化の有効化/無効化
  • set deviceconfig high-availability group configuration-synchronization enabled <yes|no>
• ピア HA1 IP アドレス、バックアップ側 ピア HA1 IP アドレス
  • set deviceconfig high-availability group peer-ip <IP>
  • set deviceconfig high-availability group peer-ip-backup <IP>

設定例:

set deviceconfig high-availability enabled yes
set deviceconfig high-availability group description HA
set deviceconfig high-availability group group-id 1
set deviceconfig high-availability group mode active-passive
set deviceconfig high-availability group configuration-synchronization enabled yes
set deviceconfig high-availability group peer-ip 10.1.10.2
set deviceconfig high-availability group peer-ip-backup 10.1.20.2

③アクティブ/パッシブ設定

[Device → 高可用性] の [全般] タブのアクティブ/パッシブ設定欄右上の歯車マークをクリックします。

• パッシブ リンク状態:
  • シャットダウン: パッシブ側ファイアウォールのリンクが shutdown されます
  • 自動: パッシブ側ファイアウォールのリンクは UP になります
  • 「自動」にすることが推奨です
• モニター障害時ホールドダウンタイム: 1-60(分) から指定。デフォルトは 1 分

CLI で設定する場合は以下の構文で設定します。

• パッシブ リンク状態
  • set deviceconfig high-availability group mode active-passive passive-link-state <auto|shutdown>
• モニター障害時ホールドダウンタイム
  • set deviceconfig high-availability group mode active-passive monitor-fail-hold-down-time <1-60>

設定例:

set deviceconfig high-availability group mode active-passive passive-link-state auto
set deviceconfig high-availability group mode active-passive monitor-fail-hold-down-time 1

④選択設定

[Device → 高可用性] の [全般] タブの選択設定欄右上の歯車マークをクリックします。

• デバイス優先度: Active 選出に使用される優先度を 0-255 から指定。値がより小さい方が優先される。デフォルトは 100
• プリエンプティブ: 優先度の高いファイアウォールが障害から復旧時に自動で Active に切替える場合は有効にする
• ハートビート バックアップ: 管理インターフェースをハートビートバックアップとして使用する場合は有効にする。詳しくはこちらの記事参照
• HA タイマー設定: 以下から選択
  • 推奨: 推奨値を使用
  • アグレッシブ: アグレッシブな値を使用
  • Advanced: 手動で各タイマー値を設定する
• 各タイマー値設定: HA タイマー設定で Advanced を選択した場合のみ項目が表示される
  • 基本的にはデフォルト設定（推奨値）のままで良い

CLI で設定する場合は以下の構文で設定します。

• デバイス優先度
  • set deviceconfig high-availability group election-option device-priority <0-255>
• プリエンプティブ
  • set deviceconfig high-availability group election-option preemptive <yes|no>
• ハートビートバックアップ
  • set deviceconfig high-availability group election-option heartbeat-backup <yes|no>
• HA タイマー設定（推奨に設定）
  • set deviceconfig high-availability group election-option timers recommended

設定例:

set deviceconfig high-availability group election-option device-priority 50
set deviceconfig high-availability group election-option preemptive no
set deviceconfig high-availability group election-option heartbeat-backup yes
set deviceconfig high-availability group election-option timers recommended

⑤HA1 リンク設定

[Device → 高可用性] の [全般] タブのコントロールリンク(HA1)欄右上の歯車マークをクリックします。

• ポート: HA1 リンクとするポートを指定します
• IPv4/IPv6 アドレス: HA1 ポートの IP アドレスを設定します
• ネットマスク: HA1 ポートのサブネットマスクを設定します
• ゲートウェイ: ピアの HA1 ポートとルータを介して接続している場合のみ、ゲートウェイを設定します
• 暗号化を有効: 暗号化を有効にする場合はチェックを入れます
• ホールドタイムのモニター: 1000-60000 (ミリ秒) から指定します。デフォルトは 3000

CLI で設定する場合は以下の構文で設定します。

• ポート
  • set deviceconfig high-availability interface ha1 port <IF名>
• IPv4/IPv6 アドレス
  • set deviceconfig high-availability interface ha1 ip-address <IP>
• ネットマスク
  • set deviceconfig high-availability interface ha1 netmask <ネットマスク>
• ゲートウェイ
  • set deviceconfig high-availability interface ha1 gateway <IP>
• 暗号化を有効
  • set deviceconfig high-availability interface ha1 encryption enabled <yes|no>
• ホールドタイムのモニター
  • set deviceconfig high-availability interface ha1 monitor-hold-time <1000-60000>

設定例:

set deviceconfig high-availability interface ha1 port ethernet1/3
set deviceconfig high-availability interface ha1 ip-address 10.1.10.1
set deviceconfig high-availability interface ha1 netmask 255.255.255.0
set deviceconfig high-availability interface ha1 encryption enabled no

⑥HA1 バックアップリンク設定

[Device → 高可用性] の [全般] タブのコントロールリンクのバックアップ欄右上の歯車マークをクリックします。

• ポート: HA1 バックアップリンクとするポートを指定します
• IPv4/IPv6 アドレス: HA1 バックアップポートの IP アドレスを設定します
• ネットマスク: HA1 バックアップポートのサブネットマスクを設定します
• ゲートウェイ: ピアの HA1 バックアップポートとルータを介して接続している場合のみ、ゲートウェイを設定します

CLI で設定する場合は以下の構文で設定します。

• ポート
  • set deviceconfig high-availability interface ha1-backup port <IF名>
• IPv4/IPv6 アドレス
  • set deviceconfig high-availability interface ha1-backup ip-address <IP>
• ネットマスク
  • set deviceconfig high-availability interface ha1-backup netmask <ネットマスク>
• ゲートウェイ
  • set deviceconfig high-availability interface ha1-backup gateway <IP>

設定例:

set deviceconfig high-availability interface ha1-backup port ethernet1/4
set deviceconfig high-availability interface ha1-backup ip-address 10.1.20.1
set deviceconfig high-availability interface ha1-backup netmask 255.255.255.0

⑦HA2 リンク設定

[Device → 高可用性] の [全般] タブのデータリンク(HA2)欄右上の歯車マークをクリックします。

• セッション同期を有効にする: 有効にします
• ポート: HA2 リンクとするポートを指定します
• IPv4/IPv6 アドレス: ピアの HA2 ポートとルータを介して接続している場合のみ、HA2 ポートの IP アドレスを設定します
• ネットマスク: ピアの HA2 ポートとルータを介して接続している場合のみ、HA2 ポートのサブネットマスクを設定します
• ゲートウェイ: ピアの HA2 ポートとルータを介して接続している場合のみ、ゲートウェイを設定します
• トランスポート: デフォルトは ethernet で、HA ペアで HA2 ポートが直結している場合はこれにします。ルータを介してルーティングする必要がある場合は IP または UDP にします
• HA2 キープアライブ: HA ピア間の HA2 モニタリングを有効にしたい場合はチェックを入れます。障害時は設定したアクションを行います（Log Only/Split Datapath）
  • Threshold (しきい値): デフォルト 10000 ミリ秒

設定例:

set deviceconfig high-availability interface ha2 port hsci

⑧HA2 バックアップリンク設定

HA2 バックアップリンクを設定する場合はポートの指定、必要に応じて IP アドレスの設定を行います。

set deviceconfig high-availability interface ha2-backup port ethernet1/8

⑨リンク及びパスのモニタリンク設定

各モニタリングの設定は [Device → 高可用性] の [リンクおよびパスのモニタリング] タブで行います。

リンクモニタリングの設定

リンクモニタリングの設定では以下を行います。

1. リンクモニタの有効化
2. リンクモニタ全体として障害とみなす条件として（リンクグループの）「いずれか(Any)」「すべて(All)」のいずれかを選択
3. リンクグループの作成
4. リンクグループに監視したいインターフェースを追加
5. リンクグループを障害とみなす条件として「いずれか(Any)」「すべて(All)」のいずれかを選択

CLI で設定する場合は以下の構文で設定します。

• リンクモニタリングの有効化/無効化
  • set deviceconfig high-availability group monitoring link-monitoring enabled <yes|no>
• リンクモニタ全体として障害とみなす条件の設定
  • set deviceconfig high-availability group monitoring link-monitoring failure-condition <all|any>
• 個別のリンクグループについて障害とみなす条件の設定
  • set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> failure-condition <all|any>
• リンクグループのメンバーインターフェースの設定
  • set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> interface <IF名>
    • インターフェースが 1 つのみの場合
  • set deviceconfig high-availability group monitoring link-monitoring link-group <グループ名> interface [ <IF名①> <IF名②> ... ]
    • インターフェースが 2 つ以上の場合

設定例:

set deviceconfig high-availability group monitoring link-monitoring enabled
set deviceconfig high-availability group monitoring link-monitoring failure-condition any
set deviceconfig high-availability group monitoring link-monitoring link-group ethgrp failure-condition any
set deviceconfig high-availability group monitoring link-monitoring link-group ethgrp interface [ ethernet1/1 ethernet1/2 ]

設定後の HA ポート間のケーブル結線

HA ペアとする Palo Alto ファイアウォールの 2 台について上記の設定ができたら、各 HA ポート間にケーブルを結線します。これで HA が構成できます。

HA 状態確認コマンド

以下のコマンドで HA の状態を確認できます。

• show high-availability state

admin@PA-200-A(active)> show high-availability state

Group 1:
  Mode: Active-Passive
  Local Information:
    Version: 1
    Mode: Active-Passive
    State: active (last 3 hours)
    Device Information:
      Management IPv4 Address: 192.168.1.1/24
      Management IPv6 Address:
      Mgmt HB Backup configured
    HA1 Control Links Joint Configuration:
      Encryption Enabled: no
    Election Option Information:
      Priority: 50
      Preemptive: no
    Version Compatibility:
      Software Version: Match
      Application Content Compatibility: Match
      Anti-Virus Compatibility: Match
      Threat Content Compatibility: Match
      VPN Client Software Compatibility: Match
      Global Protect Client Software Compatibility: Match
      VM License Type: Mismatch
  Peer Information:
    Connection status: up
    Version: 1
    Mode: Active-Passive
    State: passive (last 11 minutes)
    Device Information:
      Management IPv4 Address: 192.168.1.2/24
      Management IPv6 Address:
      Mgmt HB Backup Connection up
      Connection up; Primary HA1 link
      Connection up
    Election Option Information:
      Priority: 100
      Preemptive: no
  Configuration Synchronization:
    Enabled: yes
    Running Configuration: synchronized

参考資料

• 【PDF】PAN-OS® 管理者ガイド Version 10.0 (EoL)
• 【PDF】PAN-OS® 管理者ガイド Version 10.1

Palo Alto HA についての基礎知識【初学者向け】

HA の概要 2 台の Palo Alto ファイアウォールを HA ペアとして設定することができる HA ではペアのファイアウォールに障害が発生した場合に代替のファイアウォールを使用できるようにすることで、ダウンタイムを最小限に抑えること...

palofw-lab.com

2023.02.16

【全記事リスト】Palo Alto 設計構築用ナレッジまとめ

基礎知識 Palo Alto 初期アドレス、初期ユーザパスワード【管理アクセス用】 Palo Alto コンフィグの種類とコミットとは【基礎知識】 Palo Alto ホスト名とドメイン名の設定方法 Palo Alto 管理インターフェース...

palofw-lab.com

2023.02.11