Cisco Clean Access (NAC アプライアンス) Manager インストレーション アドミニストレーション ガイド Release 4.1(1)
ハイ アベイラビリティ(HA)の設定
ハイ アベイラビリティ(HA)の設定
発行日;2012/01/11 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 7MB) | フィードバック

目次

ハイ アベイラビリティ(HA)の設定

概要

準備

CAM マシンの接続

シリアル接続

HA-Primary CAM の設定

HA-Secondary CAM の設定

設定の完了

既存のフェールオーバー ペアのアップグレード

HA-CAM ペアのフェールオーバー

HA 関連で役立つ CLI コマンド

ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加

ハイ アベイラビリティ(HA)の設定

この章では、ハイ アベイラビリティを実現するために、Clean Access Manager(CAM)マシン ペアを設定する方法について説明します。ハイ アベイラビリティ モードで CAM を配置すると、予期せぬシャットダウンが発生した場合も、重要なモニタリング、認証、およびレポート タスクを継続できます。この章の内容は以下のとおりです。

「概要」

「準備」

「CAM マシンの接続」

「HA-Primary CAM の設定」

「HA-Secondary CAM の設定」

「既存のフェールオーバー ペアのアップグレード」

「HA-CAM ペアのフェールオーバー」

「HA 関連で役立つ CLI コマンド」

「ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加」

概要

次に、HA-CAM の動作の概要を示します。

CAM のハイ アベイラビリティ モードは、アクティブ サーバとパッシブ サーバの 2 台のサーバで構成されます。スタンバイ CAM マシンは、アクティブ CAM マシンのバックアップとして機能します。

アクティブ CAM はシステムのすべてのタスクを実行します。スタンバイ CAM は、アクティブ CAM を監視し、自分のデータベースとアクティブ CAM のデータベースとの同期を維持します。

両方の CAM で、信頼できる eth0 インターフェイスの仮想サービス IP を共有します。サービス IP は、SSL 証明書で使用されます。

プライマリ CAM マシンとセカンダリ CAM マシンは、2 秒ごとに UDP ハートビート パケットを交換します。ハートビート タイマーが期限切れになると、ステートフル フェールオーバーが実行されます。

CAM の eth1 インターフェイスおよびシリアル インターフェイス、またはどちらか一方が、ハートビート パケットとデータベースの同期化に使用されます。eth1 インターフェイスとシリアル インターフェイスの両方がハートビート用に設定されている場合は、どちらのインターフェイスもフェールオーバーの実行に使用できません。

図15-1 に、設定例を示します。

図15-1 CAM のハイ アベイラビリティ構成の例

 

CAM のハイ アベイラビリティ モードは、アクティブ サーバとパッシブ サーバの 2 つのサーバで構成されます。スタンバイ CAM マシンは、アクティブ CAM マシンのバックアップとして機能します。アクティブ CAM は標準状態において、ほとんどの作業負荷を実行します。一方、スタンバイ CAM はアクティブ CAM を監視し、データ ストアをアクティブ CAM のデータと常に同期させます。

アクティブ CAM のシャットダウンやピアの「ハートビート」信号への応答の停止など、フェールオーバー イベントが発生すると、スタンバイ CAM はアクティブ CAM の役割を引き継ぎます。

HA ピアの初回設定時には、HA-Primary CAM と HA-Secondary CAM を指定する必要があります。最初は、HA-Primary がアクティブ CAM となり、HA-Secondary がスタンバイ(パッシブ)CAM となりますが、アクティブ/パッシブの役割は永続的に割り当てられるわけではありません。プライマリ CAM がダウンすると、セカンダリ(スタンバイ)CAM がアクティブ CAM になります。本来のプライマリ CAM が再起動すると、この CAM がバックアップの役割を担います。

CAM は起動時に、ピアがアクティブであるかどうかを調べます。ピアがアクティブでない場合、起動中の CAM がプライマリの役割を担います。ピアがアクティブである場合は逆に、起動中の CAM がスタンバイになります。

2 台の CAM を同時に HA ペアとして設定できます。また、新しい CAM を既存のスタンドアロンの CAM に追加して、HA ペアを作成することもできます。このペアを 1 つのエンティティとしてネットワークおよび Clean Access Server(CAS)に認識させるには、信頼できるインターフェイス(eth0)アドレスとして HA ペアで使用されるサービス IP アドレスを指定する必要があります。このサービス IP アドレスは、SSL 証明書を生成する場合にも使用されます。

ハイ アベイラビリティ情報が交換されるクロスオーバー ネットワークを作成するには、両方の CAM の eth1 ポートを接続し、企業内で現在ルーティングされていないプライベート ネットワーク アドレスを指定します(デフォルト HA クロスオーバー ネットワークは 192.168.0.252 です)。次に、CAM は各 CAM の eth1 ポートにプライベートでセキュアな 2 ノード ネットワークを作成して、UDP ハートビート トラフィックを交換し、データベースを同期します。CAM は、UDP ハートビート インターフェイスとして常に eth1 を使用します。

さらにセキュリティを高めるために、各 CAM のシリアル ポートを接続して、ハートビートを交換することもできます。この場合、UDP ハートビートとシリアル ハートビートの両方のインターフェイスに障害が発生しないと、スタンバイ システムは処理を引き継ぎません。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルを介して接続する場合、NAC-3300 シリーズ アプライアンス、およびシリアル ポートへの BIOS リダイレクション機能をサポートしているその他のサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS リダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。



) HA 対応のシリアル ケーブル接続(HA-CAM または HA-CAS のいずれか)の場合、シリアル ケーブルは「ヌル モデム」ケーブルを使用する必要があります。詳細については、
http://www.nullmodem.com/NullModem.htm を参照してください。


ここでは、ハイ アベイラビリティの設定手順について説明します。


) ここでは、テスト ネットワーク用に HA ペアを設定するために、CAM をスタンドアロン CAM に追加する場合の手順を示します。


準備


警告 データベース同期中のデータ消失を防止するために、必ずスタンバイ(セカンダリ)CAM が起動して、稼働していることを確認してから、アクティブ(プライマリ)CAM をフェールオーバーしてください。


ハイ アベイラビリティを設定する前に、次の点を確認してください。

ハイ アベイラビリティ(フェールオーバー)ライセンスを保持していること。


) CAM フェールオーバー(HA)ライセンスのインストール時には、最初にプライマリ CAM にフェールオーバー ライセンスをインストールし、その後、その他のすべてのライセンスをロードしてください。


両方の CAM がインストールされ、設定されている( 初期設定の実行を参照)。

ハートビート用に、各 CAM が一意のホスト名(またはノード名)を保持していること。HA CAM ペアでは、このホスト名はピアに提供されます。提供されたピアは、DNS を介して解決するか、または /etc/hosts ファイルに追加する必要があります。

HA CAM ペアのサービス IP に対応する CA 署名付き証明書があること(テスト目的で、HA-Primary CAM の CA 署名付き証明書を使用できますが、この場合、HA-Primary CAM の IP をサービス IP として設定するための追加の手順を実行する必要があります)。

HA-Primary CAM に実行時動作が完全に設定されていること。これは、認証元との接続、ポリシー、ユーザ ロール、アクセス ポイントなどがすべて指定されていることを意味します。この設定は、HA-Secondary(スタンバイ)CAM に自動的に複製されます。

ネットワーク上で両方の CAM にアクセスできること( pinging を実行して接続をテストしてください)。

CAM ソフトウェアがインストールされたマシンに、空いているイーサネット ポート(eth1)が 1 つと、空いているシリアル ポートが 1 つ以上あること。各マシンのシリアル ポート(ttyS0 または ttyS1)を識別するには、サーバ ハードウェアの仕様書を参照してください。

Out-of-Band(OOB; アウトオブバンド)配置の場合、CAS および CAM の接続先となるスイッチ インターフェイスでポート セキュリティがイネーブルであること。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

次の手順では、CAM をリブートする必要があります。リブート時は、サービスを短時間使用できなくなります。ダウンタイムがユーザにほとんど影響を与えない場合は、オンライン CAM を設定できます。


) Cisco NAC アプライアンス Web 管理コンソールは、Internet Explorer 6.0 以上をサポートします。


CAM マシンの接続

HA-CAM ピア間には 2 つのタイプの接続があります。1 つは CAM アクティビティ関連の実行時データの交換用、もう 1 つはハートビート信号用です。ハイ アベイラビリティ構成の場合、CAM はデータ交換とハートビート UDP 交換の両方に、常に eth1 インターフェイスを使用します。一定期間内に UDP ハートビート信号を送受信できない場合は、スタンバイ システムが処理を引き継ぎます。セキュリティを高めるために、CAM ピア間にシリアル ハートビート接続を追加することも強く推奨します。シリアル接続が提供する追加の専用ハートビート交換方式が失敗しないかぎり、スタンバイ システムは処理を引き継ぐことができません。ただし、CAM ピア間の eth1 接続は必須です。

次の手順に従って、ピア CAM を物理的に接続します。

クロス ケーブルを使用して、CAM マシンの eth1 イーサネット ポートを接続します。この接続は、フェールオーバー ピア間のハートビート UDP インターフェイスおよびデータ交換(データベース ミラーリング)に使用します。

ヌル モデム シリアル ケーブルを使用して、シリアル ポートに接続します(強く推奨します)。この接続は、フェールオーバー ピア間の追加のハートビート シリアル交換(キープアライブ)に使用します。


) HA のシリアル ケーブル接続の場合は、必ず、「ヌル モデム」ケーブルを使用してください。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


シリアル接続

CAM ソフトウェアが稼働しているマシンにシリアル ポートが 2 つ装備されている場合は、追加ポートを使用して、シリアル ハートビート接続を確立できます。デフォルトでは、CAM サーバで検出された最初のシリアル ポートがコンソール入出力用に設定されます(インストールおよびその他のタイプの管理アクセス用)

マシンにシリアル ポートが 1 つ(COM1 または ttyS0)しかない場合は、ハイ アベイラビリティ ハートビート接続として機能するようにポートを設定できます。これは、CAM ソフトウェアのインストール後は、常に SSH または KVM コンソールを使用して CAM のコマンドライン インターフェイスにアクセスできるためです。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルを介して接続する場合、NAC-3300 シリーズ アプライアンス、およびシリアル ポートへの BIOS リダイレクション機能をサポートしているその他のサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS リダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。


HA CAM 設定の Disable Serial Login チェックボックスを使用して、シリアル ポートをイネーブルまたはディセーブルにすることができます( Administration > Clean Access Manager > Network & Failover | Failover Settings | Disable Serial Login )。CAM マシンがシリアル ポートが 1 つしかない場合、管理者は、COM1 を HA-CAM ペアのハートビート シリアル インターフェイスとして使用できるように、このチェックボックスを使用して、COM1 へのシリアル ログインをディセーブルにすることができます。


) CAM のデフォルトでは、シリアル ログインはイネーブルです。CAM のハートビート シリアル インターフェイス用に COM1 を使用する場合は、Disable Serial Login チェックボックスをクリックして、COM1 へのシリアル ログインをディセーブルにする必要があります。


HA-Primary CAM の設定

前提条件を満たしていることを確認したら、次の手順に従い、CAM をハイ アベイラビリティ ペアの HA-Primary として設定します。設定例については、図15-1 を参照してください。

1. HA-Primary として指定する CAM に対して Web 管理コンソールを開き、 Administration > CCA Manager > SSL Certificate に移動して、プライマリ CAM の SSL 証明書を設定します。 Generate Temporary Certificate フォームが表示されます。


) この章の HA 設定手順は、一時証明書が既に HA-Primary CAM から HA-Secondary CAM にエクスポートされていることを前提にしています。


HA ペアに一時証明書を使用する場合

a. Generate Temporary Certificate フォームに入力し、 Generate をクリックします。
証明書には、HA ペアのサービス IP アドレスを対応付ける必要があります。

b. 一時証明書の生成を終えたら、 Choose an action メニューで Export CSR/Private Key/Certificate を選択します。

c. Currently Installed Private Key Export ボタンをクリックして、SSL 秘密鍵をエクスポートします。この鍵ファイルをディスクに保存します。この鍵は、あとで、HA-Secondary CAM にインポートする必要があります。

d. Currently Installed Certificate Export ボタンをクリックして、現在の SSL 証明書をエクスポートします。証明書ファイルをディスクに保存します。この証明書ファイルは、あとで、HA-Secondary CAM にインポートする必要があります。

HA ペアに CA 署名付き証明書を使用する場合


) CA 署名付き証明書は、サービス IP、または DNS を介してサービス IP に解決可能なホスト名/ドメイン名のいずれかに基づいている必要があります。詳細は、「CAM SSL 証明書の管理」を参照してください。


a. Choose an action: メニューで、 Import Certificate を選択します。

b. Certificate File フィールドの横にある Browse ボタンを使用して、CA 署名付き証明書に移動します。

c. File Type ドロップダウン メニューで、 CA-signed PEM-encoded X.509 Cert を選択します。

d. Upload をクリックして、証明書をインポートします。この同じ証明書を、あとでHA-Secondary CAM にインポートする必要があります。

e. Verify and Install Uploaded Certificates をクリックします。

f. Choose an action ドロップダウン リストで、 Export CSR/Private Key/Certificate を選択します。

g. Currently Installed Private Key Export ボタンをクリックして、CA 署名付き証明書に対応付けられた SSL 秘密鍵をエクスポートします。この鍵ファイルをディスクに保存します。このファイルは、あとで、HA-Secondary CAM にインポートする必要があります。

2. Administration > CCA Manager に移動し、 Network & Failover タブをクリックします。
High-Availability Mode
ドロップダウン メニューで、 HA-Primary オプションを選択します。ハイ アベイラビリティの設定が表示されます。

図15-2 CAM の Network & Failover 設定

 

3. Network Settings IP Address フィールドの値をコピーして、 Service IP Address フィールドに入力します。Network Settings の IP Address は、現在の CAM の既存の IP アドレスです。ここでは、CAS がすでに認識しているこの IP アドレスを、CAM ペアの仮想サービス IP アドレスに設定します。

図15-3 サービス IP の設定

 

4. Network Settings IP address を使用可能なアドレスに変更します( n .152 など)。

図15-4 新しい IP アドレスの設定

 

5. 各 CAM には一意のホスト名を付ける必要があります(camanager1 や camanager2 など)。 Network Settings Host Name フィールドに HA-Primary CAM のホスト名を入力し、 Failover Settings Peer Host Name フィールドに HA-Secondary CAM のホスト名を入力します。

図15-5 プライマリ CAM フェールオーバーの設定例

 


) • ハイ アベイラビリティを設定する場合、Host Name 値は必須ですが、Host Domain 名は省略できます。

Host Name および Peer Host Name フィールドは大文字と小文字を区別します。ここで入力した名前と、あとで HA-Secondary CAM 用に入力する名前は一致していなければなりません。


 

6. Heartbeat Serial Interface ドロップダウン メニューで、HA-Primary CAM のシリアル ケーブルを接続したシリアル ポートを選択します。シリアル接続を使用しない場合は、N/A のまま残します。

7. マシンにシリアル ポートが 1 つしかなく、COM1 をハートビート シリアル インターフェイスとして使用している場合は、必ず、 Disable Serial Login チェックボックスをオンにして、COM1 のシリアル ログインをディセーブルにしてください。詳細は、「シリアル接続」を参照してください。

8. 同期を維持するには、クロスオーバー ネットワークを介して CAM ピア間でデータを交換します。 Crossover Network フィールドで、企業で現在ルーティングされていないプライベート ネットワーク アドレス スペースを指定する必要があります(10.10.10 など)。設定されているデフォルト クロスオーバー ネットワークは 192.168.0.252 です。このアドレスがご使用のネットワークと競合している場合は、別のプライベート アドレス スペースを指定してください。たとえば、企業内でプライベート ネットワーク 192.168.151.0 を使用している場合は、クロスオーバー ネットワークとして 10.1.1. x を使用します。IP アドレスのサブネット マスクおよび最終オクテットは固定されているため、 Crossover Network フィールドには IP アドレスのネットワーク部のみを入力します。

9. Update をクリックしてから、 Reboot をクリックして、CAM を再起動します。

CAM が再起動したら、CAM マシンが適切に機能しているか確認します。CAS が接続されていて、新しいユーザが認証されているか確認します。

HA-Secondary CAM の設定

1. HA-Secondary として指定する CAM に対して Web 管理コンソールを開き、 Administration > CCA Manager > SSL Certificate に移動します。

2. 準備:

セカンダリの CAM の秘密鍵をバックアップします。

サービス IP/HA-Primary CAM に関連付けられた秘密鍵と SSL 証明書ファイルが使用可能であることを確認します(エクスポート済み。「HA-Primary CAM の設定」を参照)。

3. HA-Primary CAM の秘密鍵ファイルと証明書を次の手順でインポートします。

a. SSL Certificate タブの Choose an action: メニューで Import Certificate を選択します。

b. Certificate File フィールドの横にある Browse をクリックして、HA ペア用に使用する証明書とともに生成された秘密鍵ファイルのバックアップ コピーを参照します。

c. ファイル タイプとして Private Key を選択します。

d. Upload をクリックして、秘密鍵をアップロードします。

e. Choose an action: メニューで、 Import Certificate を選択します。秘密鍵に関連付けられた証明書(一時または CA 署名付き)を参照します。

f. ファイル タイプとして CA-signed PEM-encoded X.509 Cert を選択します。

g. Upload をクリックして、一時証明書または CA 署名付き証明書をアップロードします。

h. Verify and Install Uploaded Certificates をクリックします。

詳細は、「CAM SSL 証明書の管理」を参照してください。

4. Administration > CCA Manager > Network & Failover | Network Settings に移動し、セカンダリ CAM の IP Address を、HA-Primary CAM の IP アドレスおよびサービス IP アドレスとは別のアドレスに変更します( n .153 など)。

図15-6 HA-Secondary CAM フェールオーバーの設定例

 

5. Network Settings Host Name 値を、HA-Primary CAM 設定の Peer Host Name と同じ値に設定します。図15-5を参照してください。


Host Name および Peer Host Name フィールドは大文字と小文字を区別します。ここで入力する名前と、HA-Primary CAM 用に入力した名前が一致していることを確認します。


6. High-Availability Mode ドロップダウン メニューから HA-Secondary を選択します。ハイ アベイラビリティ設定が表示されます。

7. Failover Settings Service IP Address 値を、HA-Primary CAM 設定の Service IP Address と同じ値に設定します。

8. Failover Settings Peer Host Name 値を HA-Primary CAM のホスト名に設定します。

9. Heartbeat Serial Interface ドロップダウン メニューで、HA-Primary CAM のシリアル ケーブルを接続したシリアル ポートを選択します。シリアル接続を使用しない場合は、N/A のまま残します。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルを介して接続する場合、NAC-3300 シリーズ アプライアンス、およびシリアル ポートへの BIOS リダイレクション機能をサポートしているその他のサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS リダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。


10. マシンにシリアル ポートが 1 つしかなく、COM1 をハートビート シリアル インターフェイスとして使用している場合は、必ず Disable Serial Login チェックボックスをオンにして、COM1 のシリアル ログインをディセーブルにしてください。詳細は、「シリアル接続」を参照してください。

11. Crossover Network Interface Settings に、HA-Primary CAM の場合と同じ値を入力します。

12. Update をクリックしてから、 Reboot をクリックします。

スタンバイ CAM が起動すると、アクティブ CAM とデータベースが自動的に同期します。

最後に、スタンバイ CAM の管理コンソールを再び開いて、次のように設定を完了します。スタンバイ CAM の管理コンソールには、現在、管理モジュールが 1 つだけ表示されています。

図15-7 スタンバイ Web 管理 コンソール

 

設定の完了

1. スタンバイ CAM の Network & Failover ページで設定を確認します。

これで、ハイ アベイラビリティ設定は完了です。

既存のフェールオーバー ペアのアップグレード

既存のフェールオーバー ペアを新しい CCA リリースにアップグレードする方法については、『 Release Notes for Cisco NAC Appliance (Cisco Clean Access), Version 4.1(x) 』の「Upgrading High Availability Pairs」を参照してください。

HA-CAM ペアのフェールオーバー


警告 データベース同期中のデータ消失を防止するために、必ずスタンバイ CAM が起動して、稼働していることを確認してから、アクティブ CAM をフェールオーバーしてください。


HA-CAM ペアをフェールオーバーするには、ペアのアクティブ マシンに SSH を介して接続し、次のコマンドのいずれかを実行します。

shutdown 、または

reboot 、または

service perfigo stop

これは、アクティブ マシン上のすべてのサービスを停止します。ハートビートが失敗した場合、スタンバイ マシンはアクティブ マシンの役割を担います。 service perfigo start を実行して、停止したマシン上のサービスを再開します。これにより、停止したマシンがスタンバイ マシンの役割を担います。


) ハイ アベイラビリティ(フェールオーバー)をテストする際には、service perfigo restart は使用しないでください。フェールオーバーをテストするマシンでは、代わりに [shutdown] または [reboot]、もしくは CLI コマンドの service perfigo stopservice perfigo start を使用することを推奨します。「CLI の使い方」を参照してください。


HA 関連で役立つ CLI コマンド

CAM の HA に関連して、次のディレクトリを覚えておくと役立ちます。

/etc/ha.d/perfigo/conf

/etc/ha.d/ha.cf

次の例は、HA デバッグ/ログ ファイルの場所、および HA ペアの各 CAM(ノード)の名前を示しています。

[root@cam1 ha.d]# more ha.cf
# Generated by make-hacf.pl
udpport 694
bcast eth1
auto_failback off
apiauth default uid=root
log_badpack false
debug 0
debugfile /var/log/ha-debug
logfile /var/log/ha-log
#logfacility local0
watchdog /dev/watchdog
keepalive 2
warntime 10
deadtime 15
node cam1
node cam2

HA CAM のアクティブ/スタンバイ実行時ステータスの確認方法

次の例は、CLI を使用して HA ペアの各 CAM の実行時ステータス(アクティブまたはスタンバイ)を判別する方法を示しています。一般に、fostate.sh コマンドは、最終アップグレードの /store ディレクトリ(たとえば、 /store/cca_upgrade-4.x.x )に格納されています。

1. 1 番めの CAM で fostate.sh スクリプトを実行します。

[root@cam1 cca_upgrade-4.x.x]# ./fostate.sh
My node is active, peer node is standby
[root@cam1 cca_upgrade-4.x.x]#
 

この CAM が HA ペアのアクティブ CAM です。

2. 2 番めの CAM で fostate.sh スクリプトを実行します。

[root@cam2 cca_upgrade-4.x.x]# ./fostate.sh
My node is standby, peer node is active
[root@cam2 cca_upgrade-4.x.x]#
 

この CAM は HA ペアのスタンバイ CAM です。

HA CAM のプライマリ/セカンダリ設定ステータスの確認方法

次の例は、CLI を使用して、HA ペアの各 CAM が最初に設定されていた HA モード(プライマリ/セカンダリ)を判別する方法を示しています。

1. /etc/ha.d/ha.cf の付いた CAM(ノード)の名前を見つけます。

2. 各 CAM のステータスを確認します。
例:

[root@cam1 ~]# /perfigo/control/bin/check-ha cam1
active
[root@cam1 ~]# /perfigo/control/bin/check-ha cam2
active

3. / perfigo/control/tomcat に移動し、 ls -la を実行します。

webapps が normal-webapps をポイントしている場合は、プライマリ CAM です。

webapps が admin-webapps をポイントしている場合は、セカンダリ CAM です。

たとえば、次の CAM はプライマリ CAM です。

[root@cam1 tomcat]# cd /perfigo/control/tomcat
[root@cam1 tomcat]# ls -la
total 216
drwxr-xr-x 12 root root 4096 Sep 14 23:28 .
drwxr-xr-x 8 root root 4096 Aug 28 22:12 ..
drwxr-xr-x 4 root root 4096 Aug 28 22:12 admin-webapps
(テキスト出力は省略)
drwxr-xr-x 2 root root 4096 Aug 28 22:12 temp
lrwxrwxrwx 1 root root 38 Sep 14 23:28 webapps -> /perfigo/control/tomcat/normal-webapps
drwxr-xr-x 3 root root 4096 Aug 28 15:15 work
 

次の CAM はセカンダリ CAM です。

[root@cam2 tomcat]# ls -la
total 216
drwxr-xr-x 12 root root 4096 Sep 14 23:33 .
drwxr-xr-x 8 root root 4096 Sep 15 2006 ..
drwxr-xr-x 4 root root 4096 Sep 15 2006 admin-webapps
(テキスト出力は省略)
drwxr-xr-x 2 root root 4096 Sep 15 2006 temp
lrwxrwxrwx 1 root root 37 Sep 14 23:33 webapps -> /perfigo/control/tomcat/admin-webapps
drwxr-xr-x 3 root root 4096 Sep 14 23:25 work
 

ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加

次の図は、HA-CAM および HA-CAS を例のコア/ディストリビューション/アクセス ネットワーク(ディストリビューション層とアクセス層に Catalyst 6500 を配置)に追加する方法を示しています。

図15-8 は、Cisco NAC アプライアンスがない場合のネットワーク トポロジを示しています。コア層とディストリビューション層で Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)を稼働し、アクセス スイッチは複数の配信スイッチにデュアルホーム接続しています。

図15-8 Cisco NAC アプライアンス使用前のコア/ディストリビューション/アクセス ネットワークの例

 

図15-9 は、HA-CAM をコア/ディストリビューション/アクセス ネットワークに追加する方法を示しています。この例では、HA ハートビート接続はシリアル インターフェイスと eth1 インターフェイスの両方に設定されています。

図15-9 HA CAM のネットワークへの追加

 

図15-10 は、HA-CAS をコア/ディストリビューション/アクセス ネットワークに追加する方法を示しています。この例では、CAS は中央に配置する L2 OOB Virtual Gateway として設定されています。HA ハートビート接続は、シリアル インターフェイスと専用 eth2 インターフェイスの両方に設定されています。リンク障害に基づくフェールオーバー接続を eth0 および eth1 インターフェイス、またはどちらか一方のインターフェイスに設定することもできます。

図15-10 HA CAS のネットワークへの追加