Cisco NAC ゲスト サーバ インストレーション/ コンフィギュレーション ガイド リリース 2.1
レプリケーションとハイ アベイラビリティ
レプリケーションとハイ アベイラビリティ
発行日;2013/02/13 | 英語版ドキュメント(2012/11/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 8MB) | フィードバック

目次

レプリケーションとハイ アベイラビリティ

レプリケーションの設定

プロビジョニングの設定

レプリケーション ステータス

障害からの回復

ネットワーク接続

デバイスの障害

導入に関する考慮事項

接続

ロード バランシング

Web インターフェイス

RADIUS インターフェイス

データ レプリケーション

レプリケーションとハイ アベイラビリティ

Cisco NAC ゲスト サーバ ソリューションは、ハイ アベイラビリティを提供するために、1 組のユニットがそれぞれのデータベースを相互に同期するように設定することができます。これにより、接続が失われた場合や一方のユニットに障害が発生した場合でも、ソリューションは動作を継続することができます。

ハイ アベイラビリティはアクティブ/アクティブ シナリオで提供されます。アクティブ/アクティブ シナリオでは、両方の Cisco NAC ゲスト サーバがスポンサーまたはネットワーク デバイスからの要求を同時に処理できます。この機能を使用すると、要求をボックス間でロード バランスすることもできます。

レプリケーションは、同じソフトウェア バージョンを実行しているゲスト サーバ間でのみサポートされています。


) すべてのシステム設定がレプリケーションされるわけではありません。レプリケーションされない設定については、「データ レプリケーション」を参照してください。



) ロード バランシングでは、Web インターフェイスをロード バランシングするために外部のロード バランサを使用する必要があります。外部のロード バランサを使用するか、または必要な設定を行うことで、RADIUS 要求も負荷分散できます。


この章の内容は、次のとおりです。

レプリケーションの設定

プロビジョニングの設定

レプリケーション ステータス

障害からの回復

導入に関する考慮事項

レプリケーションの設定

初期レプリケーションは、一方の Cisco NAC ゲスト サーバがもう一方のゲスト サーバのデータをすべてコピーするように設定することで構成されます。他のデバイスのデータをコピーするように設定されたゲスト サーバは、自身のデータをすべて削除するように初期設定されます。これにより、競合が発生しないことが保証されます。レプリケーションの設定は、Cisco NAC ゲスト サーバの初期インストールを実行するとき、または既存の実装に新しいゲスト サーバを追加するときに行うことを推奨します。


) いずれかのゲスト サーバがアクティブでない場合は、レプリケーション設定のページでロードに最大 60 秒間かかる場合があります。これは、ゲスト サーバが他のボックスを複数回チェックし、到達できることを確認するためです。



警告 初期レプリケーション中に、いずれかのゲスト サーバのすべてのデータが上書きされます。両方のゲスト サーバに必要なデータがある場合は、レプリケーションを設定しないでください。レプリケーションを設定すると、データが失われてしまうためです。


一方のゲスト サーバがもう一方のデバイスからデータのコピーを受け取ると、このゲスト サーバとデバイスが同期され、レプリケーションがオンになります。一方のゲスト サーバで更新されたデータは、もう一方のゲスト サーバに自動的にレプリケーションされます。

Cisco NAC ゲスト サーバ間の通信はすべて SSL で暗号化され、TCP 宛先ポート 5432 を介して実行されます。また、ポート 443 とポート 80 が使用されるため、開いたままにする必要があります。


) 機密情報は HTTP を通過しないため、ポート 443 とポート 80 を開いたままの状態にできます。



ステップ 1 レプリケーションを開始する前に、「バックアップの設定」および「スナップショットの作成」の手順に従って、Cisco NAC ゲスト サーバのバックアップを作成します。

ステップ 2 管理インターフェイスから、[Server] >[Replication Settings] を選択します(図 14-1 を参照)。

図 14-1 Replication Settings

 

ステップ 3 [Remote Guest Server] に、リモート ゲスト サーバのアドレスを入力します。これは、レプリケーションをイネーブルにする Cisco NAC ゲスト サーバのアドレスです。

ステップ 4 [Shared Secret] に共有秘密を入力し、確認のためにもう一度入力します。共有秘密は、もう一方の Cisco NAC ゲスト サーバとの認証に使用されます。共有秘密は、両方のゲスト サーバで同一である必要があります。

ステップ 5 [Replication Mode] を [On] に設定します。


) サーバの [Replication Mode] を [Off] に設定すると、そのサーバはレプリケーション プロセスから除外されます。レプリケーション プロセスを最初から開始せずにサーバを再同期することはできません。これを行うと、一方のサーバのレプリケーションされないデータが失われます。スタンドアロン システムを構築する場合に限り、レプリケーションをオフにしてください。


ステップ 6 レプリケーションをオンにすると、このサーバが現在のデータを格納するサーバか、もう一方のサーバのデータをコピーするサーバかを指定できます。

a. このサーバのデータを保持する場合は、[This node contains the data] を選択します。

b. このサーバのデータをすべて消去し、もう一方のサーバのデータをコピーする場合は、[This node will copy data from other node] を選択します。


警告 各サーバでこの設定を正しく行ってください。そうしないとデータが失われます。この手順を実行する前にバックアップを作成することを強く推奨します。


ステップ 7 [Save Settings] をクリックして設定を保存し、レプリケーション プロセスをオンにします。

ステップ 8 もう一方のゲスト サーバの管理インターフェイスにアクセスし、ステップ 1 からステップ 7 を繰り返してレプリケーションを設定します。


 

プロビジョニングの設定

Cisco NAC ゲスト サーバが他のシステム(CAM など)にアカウントをプロビジョニングする場合は、一度に 1 つのゲスト サーバだけがプロビジョニングを実行する必要があります。

一方の Cisco NAC ゲスト サーバをプライマリとして定義し、もう一方をセカンダリとして定義する必要があります。デフォルトでは、プライマリに設定されたサーバがプロビジョニングを実行します。セカンダリに設定されたサーバは、プライマリ サーバのステータスを確認します。セカンダリ サーバは、プライマリ サーバへの接続に 3 回失敗した場合、プロビジョニングを実行します。プロビジョニング サービスの実行中は、このプロセスが毎分行われます。


ステップ 1 管理インターフェイスから、[Server] >[Replication Settings] を選択します(図 14-1 を参照)。

 

ステップ 2 通常の条件でこのサーバがプロビジョニングを実行するようにする場合は、[Provisioning] で [Primary] を選択します。プライマリ サーバに接続できない場合にだけこのサーバがプロビジョニングを実行するようにする場合は、[Secondary] を選択します。

ステップ 3 [Save] ボタンをクリックします。


) 一方のサーバだけをプライマリに設定する必要があります。そうしないと、2 回アカウントを作成または削除するときにエラーが発生する場合があります。



 

レプリケーション ステータス

Cisco NAC ゲスト サーバのレプリケーション ステータスはいつでも確認できます。これは、レプリケーションが設定のとおりに行われていることを確認する場合に役立ちます。


ステップ 1 管理インターフェイスから、[Server] >[Replication Settings] を選択します(図 14-1 を参照)。

 

ページの下部にレプリケーション ステータスが表示されます。レプリケーションのステータスと、各デバイス間でのレプリケーションが必要な変更の数を確認できます。


 

障害からの回復

ネットワーク接続

2 つの Cisco NAC ゲスト サーバ間のネットワーク接続に障害が発生した場合、Cisco NAC ゲスト サーバは最大 1 GB の変更を保存します。変更量が 1 GB 以下の場合、接続が回復するとゲスト サーバ間で同期が行われます。1 GB を超える変更が保存されている場合、Cisco NAC ゲスト サーバはレプリケーション プロセスを停止します。この場合、レプリケーションを再度設定する必要があります。

デバイスの障害

レプリケーション ペアの一方の Cisco NAC ゲスト サーバに障害が発生し、ゲスト サーバを交換する必要が生じた場合、正常に動作しているサーバでレプリケーションを設定する必要があります。データはデバイスに再同期されます。


警告 障害が発生したユニットをバックアップから復元しないでください。レプリケーション ペアの一方のユニットをバックアップから復元すると、両方のサーバでデータのレプリカが不正確になります。詳細については、「バックアップの復元」を参照してください。



ステップ 1 管理インターフェイスから、[Server] >[Replication Settings] を選択します(図 14-2 を参照)。

図 14-2 レプリケーションのリセット

 

ステップ 2 両方のゲスト サーバで [Replication Mode] を [Off] に設定します。

ステップ 3 「レプリケーションの設定」の手順に従って、正常に動作しているサーバを、データを保持するサーバに設定します。


 

導入に関する考慮事項

接続

Cisco NAC ゲスト サーバには、ユニット間の IP 接続が必要です。同期を常に実行できるように、デバイス間のネットワーク パスを簡単に復旧できるものにすることを推奨します。ただし、デバイス間の接続が切断された場合、デバイスは接続が回復するまで動作を継続し、変更を保存します。また、接続が回復すると、通信を再確立することができます。この時点でデバイスのデータベースが再同期されます。

Cisco NAC ゲスト サーバが実行するアクティビティの量に応じて、できる限り迅速に同期が行われるように、サーバ間に十分な帯域幅を確保する必要があります。

接続をテストするには、多数のアカウントを作成し、レプリケーションのステータスを調べてアプライアンスの同期がどれだけ迅速に行われるかを確認します(図 14-1 を参照)。

ロード バランシング

Web インターフェイス

レプリケーションが設定されている場合、スポンサーおよび管理者のセッションは、両方の Cisco NAC ゲスト サーバによって提供されます。ただし、Cisco NAC ゲスト サーバは、要求のリダイレクトや自動ロード バランシングを実行しません。

両方の Cisco NAC ゲスト サーバに同時に要求できるようにするには、外部のロード バランシング メカニズムを実装する必要があります。次のオプションがあります。

ネットワーク ベースのロード バランシング:Cisco CSS、GSS、CSM、または ACE プラットフォームなど。ロード バランシングの唯一の要件は、クライアントがセッション全体を通じて同じ Cisco NAC ゲスト サーバからサービスの提供を受けることです。Cisco NAC ゲスト サーバは、帯域幅の要求を低減するため、スポンサー/admin のセッション情報をレプリケーションしません。そのため、個々の要求をサーバ間で負荷分散することはできません。これを実現するための最も一般的な方法は、同じ Cisco NAC ゲスト サーバへの接続を送信元 IP アドレスに基づいて固定することです。

DNS ラウンド ロビン:DNS サーバを使用して Cisco NAC ゲスト サーバのドメイン名を設定し、ラウンドロビン設定で Cisco NAC ゲスト サーバの両方の IP アドレスを返します。この方法では、障害が発生した場合にアプライアンス間にフェールオーバーが提供されません。

複数の URL のパブリッシング:この方法では、各ユーザが使用するサーバを選択できます。

RADIUS インターフェイス

いずれかの Cisco NAC ゲスト サーバの RADIUS インターフェイスは、複数の要求を同時に受け取ることができます。

一部の RADIUS クライアント向けに一方の Cisco NAC ゲスト サーバをプライマリに、その他の RADIUS クライアント向けにもう一方の Cisco NAC ゲスト サーバをプライマリに設定することを推奨します。2 つのサーバの設定がサポートされる RADIUS クライアントでは、別の Cisco NAC ゲスト サーバとして定義されたセカンダリ RADIUS サーバをフェールオーバー用に設定できます。

データ レプリケーション

NAC ゲスト サーバ レプリケーションでは、データベースに格納されているデータがレプリケーション ペアの間でレプリケーションされます。

次の情報はレプリケーションされず、各 NAC ゲスト サーバでローカルに定義されます。

電子メール設定:SMTP サーバ

テンプレート:ロゴ

ネットワーク設定

ドメイン名

ホスト名

IP アドレス

サブネット マスク

デフォルト ゲートウェイ

ネームサーバ 1

ネームサーバ 2

日付/時刻設定

日付

時刻

ロケール

NTP サーバ 1

NTP サーバ 2

SSL 設定

SSL 証明書

ルート CA 証明書

秘密キー

SNMP 設定

バックアップ

バックアップの最大数

頻度

FTP 設定

ライセンス:ライセンス ファイル

ホットスポット:すべてのファイル