Palo Alto のアクティブ/パッシブ HA における HA リンク
Palo Alto ファイアウォールでアクティブ/パッシブ HA を構成する際、HA1 リンクと HA2 リンクというリンクを設定します。
HA1 リンクと HA2 リンクの特徴は以下です。
- HA1 リンク(コントロールリンク)
- Hello、ハートビート、HA 状態、ルーティング用管理プレーンの動機、User-ID などの情報交換に使用される
- HA ペアはこのリンクを使用して設定変更の同期を行う
- HA1 リンクはレイヤ3 リンクのため IP アドレスが必要
- HA ピア間のハートビート交換には ICMP が使用される
- HA2 リンク(データリンク)
- セッションテーブルの転送、IPsec SA、ARP テーブルの同期に使用される
- このリンクを介した通信の方向は常にアクティブ側からパッシブ側への方向のみとなる
- HA2 リンクはレイヤ2 リンク。HA2 リンク同士を直結する(ルータを介さない)場合は IP アドレスの設定は不要
- 高スペック型番では HA2 ポートとして高速シャーシインターコネクト(HSCI)ポートがあり、専用ケーブルで接続する
HA1 と HA2 のバックアップリンク
HA1 リンクと HA2 リンクそれぞれについて、リンクに障害が発生した場合に備えてバックアップリンクを設定することができます。
従って、最大で HA1、HA1バックアップ、HA2、HA2バックアップの 4 本の HA リンクを使用することになります。
HA1 リンクとスプリットブレイン
アクティブ/パッシブ HA を構成する機器間では、HA1 リンクを介して Hello やハートビートを送り合ってピアの状態を確認します。
HA1 リンクに障害が起きた場合、スプリットブレインと呼ばれる状態になってしまいます。
HA ペアの両機器がアクティブになっている状態のことをスプリットブレインと呼びます。
スプリットブレインを防止するために heartbeat backup 設定を行う方法があります。
→詳しくはこちらの記事参照
コメント