セキュリティ : Cisco Web セキュリティ アプライアンス

VMware 環境の適切なバーチャル WSA HA グループ 機能性を確認して下さい

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2016 年 4 月 21 日) | フィードバック

概要

この資料は VMware 環境で動作する Cisco Web セキュリティ アプライアンス(WSA)高可用性の(HA)機能がバーチャル WSA できちんと動作するように完了する必要があるプロセスを説明したものです。

アナ Peric および Ivo Sabev によって貢献される、Cisco TAC エンジニア。

前提条件

要件

次の項目に関する知識があることが推奨されます。

  • Cisco WSA

  • HTTP

  • マルチキャスト トラフィック

  • よくあるアドレス解決プロトコル(コイ)

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Web バージョン 8.5 または それ 以降のための AsyncOS

  • VMware ESXi バージョン 4.0 または それ 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

問題

1つ以上の HA グループで設定されるバーチャル WSA にバックアップ状態で優先順位が最も高い時でさえ、HA が常にあります。

システムログはこのログ 断片に示すように一定したフラッピングを、示します:

Tue May 19 08:05:52 2015 Info: Interface Failover Group 94 has changed
role from Master to Backup (more frequent advertisement received)
Tue May 19 08:05:52 2015 Info: Interface Failover Group 94 is down
Tue May 19 08:06:01 2015 Info: Interface Failover Group 94 is up
Tue May 19 08:06:01 2015 Info: Interface Failover Group 94 has changed
role from Master to Backup (more frequent advertisement received)
Tue May 19 08:06:01 2015 Info: Interface Failover Group 94 is down
Tue May 19 08:06:10 2015 Info: Interface Failover Group 94 is up
Tue May 19 08:06:10 2015 Info: Interface Failover Group 94 has changed
role from Master to Backup (more frequent advertisement received)
Tue May 19 08:06:10 2015 Info: Interface Failover Group 94 is down
Tue May 19 08:06:19 2015 Info: Interface Failover Group 94 is up
Tue May 19 08:06:19 2015 Info: Interface Failover Group 94 has changed
role from Master to Backup (more frequent advertisement received)
Tue May 19 08:06:19 2015 Info: Interface Failover Group 94 is down
Tue May 19 08:06:28 2015 Info: Interface Failover Group 94 is up
Tue May 19 08:06:28 2015 Info: Interface Failover Group 94 has changed
role from Master to Backup (more frequent advertisement received)
Tue May 19 08:06:28 2015 Info: Interface Failover Group 94 is down
Tue May 19 08:06:37 2015 Info: Interface Failover Group 94 is up
Tue May 19 08:06:37 2015 Info: Interface Failover Group 94 has changed
role from Master to Backup (more frequent advertisement received)

パケットキャプチャを(この例のマルチキャストIPアドレス 224.0.0.18 のために)奪取 すれば、これと同じような出力を調べるかもしれません:

13:49:04.601713 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283
13:49:04.601931 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283
13:49:04.602798 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283
13:49:04.602809 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283
13:49:13.621706 IP (tos 0x10, ttl 255, id 24801, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178284
13:49:13.622007 IP (tos 0x10, ttl 255, id 24801, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178284
13:49:13.622763 IP (tos 0x10, ttl 255, id 24801, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178284
13:49:13.622770 IP (tos 0x10, ttl 255, id 24801, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178284
13:49:22.651653 IP (tos 0x10, ttl 255, id 44741, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178285

問題解析

前のセクションで提供される WSA システムログはよりよい優先順位で受け取られるアドバタイズメントがある HA グループがコイ ネゴシエーションのマスターになるときことを示します。

パケットキャプチャからこれをまた確認できます。 バーチャル WSA から送信 されるこれはパケットです:

13:49:04.601713 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283

ミリ秒時間枠では、同じソース IP アドレス(同じバーチャル WSA アプライアンス)からのパケットの別のセットを次のように表示できます:

13:49:04.602798 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283
13:49:04.602809 IP (tos 0x10, ttl 255, id 4785, offset 0, flags [DF],
proto VRRP (112), length 56)
   192.168.0.131 > 224.0.0.18: carp 192.168.0.131 > 224.0.0.18: CARPv2-advertise 36:
vhid=94 advbase=3 advskew=1 authlen=7 counter=15790098039517178283

この例では、192.168.0.131 のソース IP アドレスは問題となるバーチャル WSA の IP アドレスです。 マルチキャスト パケットがバーチャル WSA にループバックされるようです。

この問題は VMware 側の問題が原因で発生し、次の セクションは問題を解決するために完了する必要があるステップを説明します。

解決策

この問題を解決し、VMware 環境で送信されるマルチキャスト パケットのループを停止するためにこれらのステップを完了して下さい:

  1. バーチャル スイッチ(vSwitch)の混合モードを有効に して下さい。

  2. MAC アドレス変更を有効に して下さい。

  3. 造られるイネーブルは送信します

  4. 複数の物理ポートが同じ vSwitch にある場合、コイが合体したリンク状態メッセージで機能します、マルチキャストトラフィックがホストにループバックする vSwitch 不具合を回避するために Net.ReversePathFwdCheckPromisc オプションは有効に する必要があります。 (その他の情報に関しては次の セクションを参照して下さい)。

Net.ReversePathFwdCheckPromisc オプションを修正して下さい

Net.ReversePathFwdCheckPromisc オプションを修正するためにこれらのステップを完了して下さい:

  1. VMware vSphere クライアントにログイン して下さい。

  2. VMware 各ホストのためのこれらのステップを完了して下さい:

    1. ホストをクリックし、Configuration タブにナビゲート して下さい。

    2. 左ペインからの詳細設定を『Software』 をクリック して下さい。

    3. ネットをクリックし、Net.ReversePathFwdCheckPromisc オプションにスクロールして下さい。

    4. 1.Net.ReversePathFwdCheckPromisc オプションを設定して下さい

    5. [OK] をクリックします。

次に混合モードにあるインターフェイスは今設定 されるか、またはおよび回す必要があります。 これはホストごとの基礎で完了します。

インターフェイスを設定 するためにこれらのステップを完了して下さい:

  1. ハードウェア セクションにナビゲート し、ネットワーキングをクリックして下さい。

  2. 各 vSwitch や Virtual Machine (VM) ポートグループのためのこれらのステップを完了して下さい:

    1. vSwitch から『Properties』 をクリック して下さい。

    2. デフォルトで、混合モードは拒否するために設定 されます。 この設定を変更するために、Security タブに『Edit』 をクリック し、ナビゲート して下さい。

    3. ドロップダウン メニューから『Accept』 を選択 して下さい。

    4. [OK] をクリックします。

: この設定は通常(セキュアである)で vSwitch がデフォルト設定(リジェクト)で残っているところで、毎 VM ポートグループ基礎加えられます。

混合モードをディセーブルにし、次に再び有効にするためにこれらのステップを完了して下さい:

  1. > Security > ポリシー例外を編集するナビゲート。

  2. 混合モード チェックボックスのチェックを外して下さい。

  3. [OK] をクリックします。

  4. > Security > ポリシー例外を編集するナビゲート。

  5. 混合モード チェックボックスをチェックして下さい。

  6. ドロップダウン メニューから『Accept』 を選択 して下さい。

関連情報



Document ID: 119188