Cisco NAC アプライアンス - Clean Access Manager インストレーション コンフィギュレーショ ン ガイド
ハイ アベイラビリティ(HA)の設定
ハイ アベイラビリティ(HA)の設定
発行日;2012/02/22 | 英語版ドキュメント(2011/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 23MB) | フィードバック

目次

ハイ アベイラビリティ(HA)の設定

概要

準備

CAM マシンの接続

シリアル接続

HA-Primary CAM の設定

HA-Secondary CAM の設定

設定の完了

既存のフェールオーバー ペアのアップグレード

HA-CAM ペアのフェールオーバー

HA 関連で役立つ CLI コマンド

ハイ アベイラビリティ ペア Web コンソールのアクセス

アクティブ CAM とスタンバイ CAM の判別

プライマリおよびセカンダリ CAM の決定

ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加

ハイ アベイラビリティ(HA)の設定

この章では、ハイ アベイラビリティを実現するために、Clean Access Manager(CAM)マシン ペアを設定する方法について説明します。ハイ アベイラビリティ モードで CAM を配置すると、予期せぬシャットダウンが発生した場合も、重要なモニタリング、認証、およびレポート タスクを継続できます。この章の内容は次のとおりです。

「概要」

「準備」

「CAM マシンの接続」

「HA-Primary CAM の設定」

「HA-Secondary CAM の設定」

「既存のフェールオーバー ペアのアップグレード」

「HA-CAM ペアのフェールオーバー」

「HA 関連で役立つ CLI コマンド」

「ハイ アベイラビリティ ペア Web コンソールのアクセス」

「ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加」


) Clean Access Manager(CAM)やClean Access Server(CAS)のハイ アベイラビリティ(HA)ペアを設定するには、同一のアプライアンス(たとえば NAC-3350 や NAC-3350)を使用する必要があります。


概要

次に、HA-CAM の動作の概要を示します。

CAM のハイ アベイラビリティ モードは、アクティブ サーバとパッシブ サーバの 2 台のサーバで構成されます。スタンバイ CAM マシンは、アクティブ CAM マシンのバックアップとして機能します。

アクティブ CAM はシステムのすべてのタスクを実行します。スタンバイ CAM は、アクティブ CAM を監視し、自分のデータベースとアクティブ CAM のデータベースとの同期を維持します。


) CAM 許可設定は、ある CAM から HA ペアの別の CAM へ自動的に渡されることはありません。CAM HA ペアで許可機能を使用する場合は、「CAM/CAS 許可設定のバックアップと復元」のガイドラインに従って、1 つの CAM の許可設定が正確にハイ アベイラビリティ CAM に複製されるようにしてください。


両方の CAM で、信頼できる eth0 インターフェイスの仮想サービス IP を共有します。サービス IP は、SSL 証明書で使用される必要があります。

サービス IP アドレスは、CAS と管理 Web コンソールからの通信など、CAM に送信されるすべてのメッセージと要求に対して使用されます。

CAM では、CAS に送信されるすべての通信およびプロキシ認証メッセージに対して個別の(eth0)IP アドレスが使用されています。

プライマリ CAM マシンとセカンダリ CAM マシンは、2 秒ごとに UDP ハートビート パケットを交換します。ハートビート タイマーが期限切れになると、ステートフル フェールオーバーが実行されます。

アクティブ CAM が常に利用可能であることを確認するために、信頼できるインターフェイス(eth0)を有効にする必要があります。CAM がアクティブであるものの信頼できるインターフェイスでアクセスできないような状況(つまり、スタンバイ CAM がアクティブ CAM からハートビート パケットを受信するもののアクティブ CAM の eth0 インターフェイスに障害が発生している状況)を避けるために、リンク検出メカニズムを使用して、アクティブ CAM の eth0 インターフェイスが使用不能になるときにそれをスタンバイ CAM が認識できるようになります。

Clean Access Manager および Clean Access Server は、ハードディスク ドライブ障害時に自動的に再起動するように設計されているため、スタンバイ CAM/CAS のフェイルオーバーが自動的に開始されます。

[Administration] > [CCA Manager] > [Failover] ページで、eth1 インターフェイスを「自動的に設定する」ことを選択できますが、CAM で HA を設定する前に、別の(eth2 や eth3)HA インターフェイスに IP アドレスやネットマスクなどを手動で設定する必要があります。

eth0、eth1、eth2/eth3 インターフェイスは、ハートビート パケットとデータベース同期に使用できます。さらに、使用可能なシリアル(COM)インターフェイスもハートビート パケットに使用することができます。これらのインターフェイスを複数使用する場合、すべてのハートビート インターフェイスをフェールオーバーの実行に使用できません。


) CAM を HA に設定している場合、ハートビートおよびデータベース同期用に eth1 を使用する必要があります。この場合その他のすべてのイーサネット インターフェイス(eth0 および eth2/eth3)は任意です。



注意 HA ペア間の接続にはきわめて高い信頼性が必要で、また通信は妨げられないようにする必要があります。ベスト プラクティスは、専用イーサネット ケーブルを使用することです。HA ペア間の通信が切断されると、2 つアクティブ ノードの動作に深刻な悪影響をもたらす可能性があります。HA ペア間のリンクにおける主要な要素は、ダウンしたリンクを元に戻す機能です。設計によっては、復元はネットワークの安定性の基礎となります。

図 17-1 に、設定例を示します。

図 17-1 CAM のハイ アベイラビリティ構成の例

 

CAM のハイ アベイラビリティ モードは、アクティブ サーバとパッシブ サーバの 2 つのサーバで構成されます。スタンバイ CAM マシンは、アクティブ CAM マシンのバックアップとして機能します。アクティブ CAM は標準状態において、ほとんどの作業負荷を実行します。一方、スタンバイ CAM はアクティブ CAM を監視し、データ ストアをアクティブ CAM のデータと常に同期させます。

アクティブ CAM のシャットダウンやピアの「ハートビート」信号への応答の停止など、フェールオーバー イベントが発生すると、スタンバイ CAM はアクティブ CAM の役割を引き継ぎます。

HA ピアの初回設定時には、HA-Primary CAM と HA-Secondary CAM を指定する必要があります。最初は、HA-Primary がアクティブ CAM となり、HA-Secondary がスタンバイ(パッシブ) CAM となりますが、アクティブ/パッシブの役割は永続的に割り当てられるわけではありません。プライマリ CAM がダウンすると、セカンダリ(スタンバイ)CAM がアクティブ CAM になります。本来のプライマリ CAM が再起動すると、この CAM がバックアップの役割を担います。


) HA 配置の HA-Primary CAM および HA-Secondary CAM の「両方」が設定を失った場合、「CAM スナップショットからの設定の復元:HA-CAM または HA-CAS」 にあるガイドラインに使用してシステムを復元することができます。


CAM は起動時に、ピアがアクティブであるかどうかを調べます。ピアがアクティブでない場合、起動中の CAM がプライマリの役割を担います。ピアがアクティブである場合は逆に、起動中の CAM がスタンバイになります。

2 台の CAM を同時に HA ペアとして設定できます。また、新しい CAM を既存のスタンドアロンの CAM に追加して、HA ペアを作成することもできます。このペアを 1 つのエンティティとしてネットワークに認識させるには、信頼できるインターフェイス(eth0)アドレスとして HA ペアで使用される「サービス IP アドレス」を指定する必要があります。このサービス IP アドレスは、SSL 証明書を生成する場合にも使用されます。

HA 情報が交換されるハートビート UDP インターフェイス リンクを作成するには、両方の CAM の eth1 ポートを接続し、組織内で現在ルーティングされていないプライベート ネットワーク アドレスを指定します(デフォルトのハートビート UDP インターフェイス IP アドレスは 192.168.0.252 です)。次に、CAM は各 CAM の eth1 ポートにプライベートでセキュアな 2 ノード ネットワークを作成して、UDP ハートビート トラフィックを交換し、データベースを同期します。


) CAM は、UDP ハートビート インターフェイスとして常に eth1 を使用します。


ハートビート冗長性のために、各 CAM のシリアル ポートを接続して、ハートビートを交換することもできます。この場合、UDP ハートビートとシリアル ハートビートの両方のインターフェイスに障害が発生しないと、スタンバイ システムは処理を引き継ぎません。


) プライマリ eth1 リンクが切断されて、シリアル リンクだけが残った場合、CAM は HA の相手方との同期ができないことを示すデータベース エラーを返し、管理者に対して CAM Web コンソールで次のエラーが表示されます。「WARNING!Closed connections to peer [standby IP] database!Please restart peer node to bring databases in sync!!」



警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルを介して接続する場合、NAC-3300 シリーズ アプライアンス、およびシリアル ポートへの BIOS リダイレクション機能をサポートしているその他のサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS リダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。



) HA 対応のシリアル ケーブル接続(HA-CAM または HA-CAS のいずれか)の場合、シリアル ケーブルは「ヌル モデム」ケーブルを使用する必要があります。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


ここでは、ハイ アベイラビリティの設定手順について説明します。


) ここでは、テスト ネットワーク用に HA ペアを設定するために、CAM をスタンドアロン CAM に追加する場合の手順を示します。


準備


警告 データベース同期中のデータ消失を防止するために、必ずスタンバイ(セカンダリ)CAM が起動して、稼動していることを確認してから、アクティブ(プライマリ)CAM をフェールオーバーしてください。


ハイ アベイラビリティを設定する前に、次の点を確認してください。

ハイ アベイラビリティ(フェールオーバー)ライセンスを保持している。


) CAM フェールオーバー(HA)ライセンスのインストール時には、最初にプライマリ CAM にフェールオーバー ライセンスをインストールし、その後、その他のすべてのライセンスをロードしてください。


両方の CAM がインストールされ、設定されている(「初期設定の実行」を参照)。

HA ペア内の 2 つの CAM が、ハートビートおよび同期機能をサポートするために隣接するレイヤ 2 に残っている。

ハートビート用に、各 CAM が一意のホスト名(またはノード名)を保持している。HA CAM ペアでは、このホスト名はピアに提供されます。提供されたピアは、DNS を介して解決するか、または /etc/hosts ファイルに追加する必要があります。

HA CAM ペアのサービス IP に対応する CA 署名付き証明書がある(テスト目的で、HA-Primary CAM の CA 署名付き証明書を使用できますが、この場合、HA-Primary CAM の IP をサービス IP として設定するための追加の手順を実行する必要があります)。

HA-Primary CAM に実行時動作が完全に設定されている。これは、認証元との接続、ポリシー、ユーザ ロール、アクセス ポイントなどがすべて指定されていることを意味します。この設定は、HA-Secondary(スタンバイ)CAM に自動的に複製されます。

CAM HA ペアで許可機能を使用する場合は、「CAM/CAS 許可設定のバックアップと復元」のガイドラインに従って、1 つの CAM の許可設定が 正確に ハイ アベイラビリティ CAM に複製されるようにする(CAM 許可設定は、ある CAM から HA ペアの別の CAM へ自動的に渡されることはありません)。

ネットワーク上で両方の CAM にアクセスできる(pinging を実行して接続をテストしてください)。

CAM ソフトウェアがインストールされているマシンには、少なくても 1 つの空きイーサネット ポート(eth1)と 1 つの空きシリアル ポートが必要になる。各マシンのシリアル ポート(ttyS0 または ttyS1)を識別するには、サーバ ハードウェアの仕様書を参照してください。

Out-of-Band(OOB; アウトオブバンド)配置の場合、CAS および CAM の接続先となるスイッチ インターフェイスでポート セキュリティがイネーブルになっていない。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

次の手順では、CAM をリブートする必要があります。リブート時は、サービスを短時間使用できなくなります。ダウンタイムがユーザにほとんど影響を与えない場合は、オンライン CAM を設定できます。


) Cisco NAC アプライアンス Web 管理コンソールは、Internet Explorer 6.0 以上をサポートします。


CAM マシンの接続

HA-CAM ピアの間には 2 種類の接続があり、1 つは CAM アクティビティ関連の実行時データの交換用、もう 1 つはハートビート信号用です。ハイ アベイラビリティ構成の場合、CAM はデータ交換とハートビート UDP 交換の両方に、「常に」eth1 インターフェイスを使用します。一定期間内に UDP ハートビート信号を送受信できない場合は、スタンバイ システムが処理を引き継ぎます。ハートビート冗長性を高めるために、eth1(必須)インターフェイスの他にイーサネット インターフェイスを追加したり、使用可能なシリアル インターフェイスの 1 つをハートビート交換用に使用することを推奨します。フェイルオーバーを実行するために、すべてのハートビート インターフェイスはハートビート交換失敗をレポートする必要があります (eth0 および eth2/eth3 を追加のハートビート インターフェイスに使用できます)。ただし、CAM ピア間の eth1 接続は必須であることに注意してください。

次の手順に従って、ピア CAM を物理的に接続します。

クロス ケーブルを使用して、CAM マシンの eth1 イーサネット ポートを接続します。この接続は、フェールオーバー ピア間のハートビート UDP インターフェイスおよびデータ交換(データベース ミラーリング)に使用します。

ヌル モデム シリアル ケーブルを使用して、シリアル ポートに接続します(強く推奨します)。この接続は、フェールオーバー ピア間の追加のハートビート シリアル交換(キープアライブ)に使用します。

任意で、クロスオーバー ケーブルを使用するかインライン スイッチを介して、CAM の eth2 や eth3 インターフェイスを HA ピアの相手側のインターフェイスに接続します (HA 用に CAM を設定する前に、これらのインターフェイスを手動で設定する必要があることを忘れないでください)。


) HA のシリアル ケーブル接続の場合は、必ず、「ヌル モデム」ケーブルを使用してください。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


シリアル接続

CAM ソフトウェアが稼動しているマシンにシリアル ポートが 2 つ装備されている場合は、追加ポートを使用して、シリアル ハートビート接続を確立できます。デフォルトでは、CAM サーバで検出された最初のシリアル ポートがコンソール入出力用に設定されます(インストールおよびその他のタイプの管理アクセス用)。

マシンにシリアル ポートが 1 つ(COM1 または ttyS0)しかない場合は、ハイ アベイラビリティ ハートビート接続として機能するようにポートを再設定できます。これは、CAM ソフトウェアのインストール後は、常に SSH または KVM コンソールを使用して CAM のコマンドライン インターフェイスにアクセスできるためです。


) プライマリ eth1 リンクが切断されて、シリアル リンクだけが残った場合、CAM は HA の相手方との同期ができないことを示すデータベース エラーを返し、管理者に対して CAM Web コンソールで次のエラーが表示されます。「WARNING!Closed connections to peer [standby IP] database!Please restart peer node to bring databases in sync!!」



警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルを介して接続する場合、NAC-3300 シリーズ アプライアンス、およびシリアル ポートへの BIOS リダイレクション機能をサポートしているその他のサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS リダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。


HA-Primary CAM の設定

前提条件を満たしていることを確認したら、次の手順に従い、CAM をハイ アベイラビリティ ペアの HA-Primary として設定します。ハイ アベイラビリティ設定の例については、図 17-1を参照してください。


ステップ 1 HA-Primary として指定する CAM に対して Web 管理コンソールを開き、[Administration] > [CCA Manager > SSL] > [X509 Certificate] に移動して、プライマリ CAM の SSL 証明書を設定します。


) この章の HA 設定手順は、一時証明書がすでに HA-Primary CAM から HA-Secondary CAM にエクスポートされていることを前提にしています。


HA ペアに一時証明書を使用する場合

a. [Generate Temporary Certificate] をクリックして、フォーム内のすべてのフィールドに情報を入力して、[Generate] をクリックします。証明書には、HA ペアのサービス IP アドレスを対応付ける必要があります。

b. 一時証明書の作成が完了したら、証明書と秘密鍵のチェックボックスをオンにして、テーブル内でこれらを強調表示させます。

c. [Export] をクリックして、証明書と秘密鍵をローカル マシンに保存します。HA-Secondary CAM を設定する際にこの証明書と秘密鍵をインポートする必要があります。

HA ペアに CA 署名付き証明書を使用する場合


) このプロセスは、すでに Certificate Signing Request を生成し、秘密鍵を添付し、要求を認証局に送信して、CA の署名付き証明書を取得しているものとします。CAS の CA 署名付き証明書がまだない場合の詳細については、「CAM SSL 証明書の管理」の手順に従ってください。


a. [Browse] をクリックして、CA 署名付き証明書と秘密鍵のあるローカル マシンのディレクトリに移動します。

b. [Import] をクリックします。後で同じ証明書を HA-Secondary CAS にインポートする必要があることに注意してください。

ステップ 2 [Administration] > [CCA Manager] に移動し、[Failover] タブをクリックします。[Clear Access Manager Mode] ドロップダウン メニューから [HA-Primary] オプションを選択します。ハイ アベイラビリティの設定が表示されます。

図 17-2 プライマリ CAM フェールオーバーの設定例

 

ステップ 3 [Administration] > [CCA Manager] > [Network] の [IP Address] フィールドの値をコピーして、[Service IP Address] フィールドに入力します。Network Settings の IP Address は、プライマリ CAM の既存の IP アドレスです。ここでは、CAS がすでに認識しているこの IP アドレスを、CAM ペアに使用する CAS の仮想サービス IP アドレスに設定します。

ステップ 4 [Administration] > [CCA Manager] > [Network] の [IP address] を使用可能なアドレスに変更します(たとえば x . x . x .121)。

ステップ 5 (推奨)HA-Primary CAM の eth0 リンク障害検出に基づいて、フェイルオーバーに使用できるパラメータを指定します。

a. HA ペアがプライマリ CAM からセカンダリ CAM へのフェイルオーバーに使用するインターフェイスの IP アドレスを、[Link-detect IP Address for eth0] フィールドに入力します。IP アドレスがこのフィールドに入力されると、HA-Secondary CAM は指定した HA-Primary CAM IP アドレスに ping して接続性を確認しようとします。一般的に、同じ IP アドレスが HA-Primary CAM と HA-Secondary CAM に入力されていますが、ネットワーク トポロジで可能であれば各 CAM に個別のアドレスを指定することができます。

b. eth0 インターフェイスがダウンした可能性があると判別するまで、つまりセカンダリ CAM へのフェイルオーバーを開始するまで CAM がリンク検出 IP アドレスに ping を付ける期間(秒数)を、[Link-detect Timeout] フィールドに指定します。この設定の最小値は 10 秒ですが、少なくとも 25 秒のタイムアウト間隔を指定することを推奨します。


) CAM(リリース 4.1(3) 以降)のリンク検出設定は、アクティブ CAM の eth0 に接続されたスイッチ ポートでのスイッチ ポート障害やリンク障害時に、アクティブ CAM がスタンバイ CAM にフェイルオーバーできるようになるために必要です。フェイルオーバーを実行しなければいけないイベントでは、リンク検出設定により、セカンダリ CAM eth0 インターフェイスが有効でアクティブ ロールを引き継ぐことができることをスタンバイ CAM が確認できるようになります。


ステップ 6 各 CAM には一意のホスト名を付ける必要があります( rjcam_1 rjcam_2 など)。[Administration] > [CCA Manager] > [Network] の [Host Name] フィールドに HA-Primary CAM のホスト名を入力し、[Administration] > [CCA Manager] > [Failover] の [Peer Host Name] フィールドに HA-Secondary CAM のホスト名を入力します。


) • ハイ アベイラビリティを設定する場合、[Host Name] 値は必須ですが、[Host Domain] 名は省略できます。

[Host Name] および [Peer Host Name] フィールドは大文字と小文字を区別します。ここで入力した名前と、後で HA-Secondary CAM 用に入力する名前は一致していなければなりません。


 

ステップ 7 必須 eth1 UDP ハートビート インターフェイスのデフォルト設定を使用している場合、[Auto eth1 Setup] チェックボックスをオンにしたままにしておきます。別の [[Secondary] Heartbeat eth1 Address] を指定した場合、[Auto eth1 Setup] チェックボックスをオフにして、[(peer IP on heartbeat udp interface on eth1)] フィールドに新規 IP アドレスを入力します。


) [Auto eth1 Setup] オプションは、自動的に 192.168.0.254 をプライマリ CAM の eth1(ハートビート)インターフェイスとして割り当て、ピア(セカンダリ) eth1 インターフェイスの IP アドレスを 192.168.0.253 と仮定しています。



警告 ステップ 9で説明しているような冗長フェイルオーバー リンクを指定するには、HA を設定する前にまず適切なイーサネット インターフェイスを CAM に設定する必要があります。これらのインターフェイスを設定しようとしていてイーサネット インターフェイスのある NIC が適切に設定されていない場合、再起動時に CAM は(適切に起動せず)メンテナンス モードになります。


ステップ 8 (任意)CAM eth0 インターフェイスを介して冗長フェイルオーバー ハートビートを設定する CAM の Heartbeat UDP Interface 2 機能をイネーブルにする場合、[eth0] チェックボックスをオンにして、[[Secondary] Heartbeat IP Address on eth0] フィールドに関連ピア IP アドレスを指定します。それ以外は、追加の UDP ハートビート インターフェイスを使用しない場合これを N/A のままにしておきます。

ステップ 9 (任意)CAM の Heartbeat UDP Interface 3 機能をイネーブルにする場合、[eth2] または [eth3] をドロップダウン メニューから選択して、[[Secondary] Heartbeat IP Address on interface 3] フィールドに関連ピア IP アドレスを指定します。それ以外は、追加の UDP ハートビート インターフェイスを使用しない場合これを N/A のままにしておきます。

ステップ 10 [Heartbeat Serial Interface] ドロップダウン メニューで、HA-Primary CAM のシリアル ケーブルを接続したシリアル ポートを選択します。シリアル接続を使用しない場合は、N/A のまま残します。このドロップダウン リストのオプションは、ハートビート インターフェイス接続に対して CAM においてイネーブルで使用可能なシリアル インターフェイスです。詳細については、「シリアル接続」を参照してください。

ステップ 11 [Update] をクリックしてから、[Reboot] をクリックして、CAM を再起動します。

CAM が再起動したら、CAM マシンが適切に機能しているか確認します。CAS が接続されていて、新しいユーザが認証されているか確認します。


 

HA-Secondary CAM の設定


ステップ 1 HA-Secondary として指定する CAM に対して Web 管理コンソールを開き、[Administration] > [CCA Manager] > [SSL] > [X509] に移動します。

ステップ 2 準備:

セカンダリの CAM の秘密鍵をバックアップします。

サービス IP/HA-Primary CAM に関連付けられた秘密鍵と SSL 証明書ファイルが使用可能であることを確認します(エクスポート済み。「HA-Primary CAM の設定」を参照)。

ステップ 3 HA-Primary CAM の秘密鍵ファイルと証明書を次の手順でインポートします。

HA ペアに一時証明書を使用する場合

a. [Browse] をクリックして、前に HA-Primary CAS からエクスポートした一時証明書と秘密鍵を保存したローカル マシンの場所に移動します。

b. 証明書ファイルを選択して、[Import] をクリックします。

c. 秘密鍵をインポートするプロセスを繰り返します。

HA ペアに CA 署名付き証明書を使用する場合

a. [Browse] をクリックして、認証局から受信した CA 署名付き証明書を保存し、HA-Primary CAS からエクスポートした関連秘密鍵を保存したローカル マシンの場所に移動します。

b. CA 署名付き証明書ファイルを選択して、[Import] をクリックします。

c. 秘密鍵をインポートするプロセスを繰り返します。

詳細については、「CAM SSL 証明書の管理」を参照してください。

ステップ 4 [Administration] > [CCA Manager] > [Network] に移動し、セカンダリ CAM の [IP Address] を、HA-Primary CAM の IP アドレスおよびサービス IP アドレスとは別のアドレスに変更します( x . x . x .122 など)。

図 17-3 Secondary CAM フェールオーバー設定

 

ステップ 5 [Host Name] の値を、HA-Primary CAM 設定の [Peer Host Name] と同じ値に設定します。図 17-1を参照してください。


) [Host Name] および [Peer Host Name] フィールドは大文字と小文字を区別します。ここで入力する名前と、HA-Primary CAM 用に入力した名前が一致していることを確認します。


ステップ 6 [Choose Clean Access Manager Mode] ドロップダウン メニューから [HA-Secondary] を選択します。 ハイ アベイラビリティ設定が表示されます。

ステップ 7 [Service IP Address] 値を、HA-Primary CAM 設定の [Service IP Address] と同じ値に設定します。

ステップ 8 (推奨)HA-Secondary CAM の eth0 リンク障害検出に基づいて、フェイルオーバーに使用できるパラメータを指定します。

a. HA ペアがプライマリ CAM からセカンダリ CAM へのフェイルオーバーに使用するインターフェイスの IP アドレスを、[Link-detect IP Address for eth0] フィールドに入力します。

b. eth0 インターフェイスがダウンした可能性があると判別するまで、つまりセカンダリ CAM へのフェイルオーバーを開始するまで CAM がリンク検出 IP アドレスに ping を付ける期間(秒数)を、[Link-detect Timeout] フィールドに指定します。この設定の最小値は 10 秒ですが、少なくとも 25 秒のタイムアウト間隔を指定することを推奨します。


) CAM(リリース 4.1(3) 以降)のリンク検出設定は、アクティブ CAM の eth0 に接続されたスイッチ ポートでのスイッチ ポート障害やリンク障害時に、アクティブ CAM がスタンバイ CAM にフェイルオーバーできるようになるために必要です。フェイルオーバーを実行しなければいけないイベントでは、リンク検出設定により、セカンダリ CAM eth0 インターフェイスが有効でアクティブ ロールを引き継ぐことができることをスタンバイ CAM が確認できるようになります。


ステップ 9 [[Primary] Peer Host Name] 値を、HA-Primary CAM のホスト名に設定します。

ステップ 10 必須 eth1 UDP ハートビート インターフェイスのデフォルト設定を使用している場合、[Auto eth1 Setup] チェックボックスをオンにしたままにしておきます。別の [[Primary] Heartbeat eth1 Address] を指定する場合、[Auto eth1 Setup] チェックボックスをオフにして、新しい IP アドレスを [(peer IP on heartbeat udp interface on eth1)] フィールドに入力します。


) [Auto eth1 Setup] オプションは、自動的に 192.168.0.254 をプライマリ CAM の eth1(ハートビート)インターフェイスとして割り当て、ピア(セカンダリ) eth1 インターフェイスの IP アドレスを 192.168.0.253 と仮定しています。



警告 ステップ 12で説明しているような冗長フェイルオーバー リンクを指定するには、HA を設定する前にまず適切なイーサネット インターフェイスを CAM に設定する必要があります。しかしこれらのインターフェイスを設定しようとしていてイーサネット インターフェイスのある NIC が適切に設定されていない場合、再起動時に CAM は(適切に起動せず)メンテナンス モードになります。


ステップ 11 (任意)HA-Primary CAM の CAM eth0 インターフェイスを介して冗長フェイルオーバー ハートビートを設定する HA-Primary CAM の Heartbeat UDP Interface 2 機能をイネーブルにする場合、[eth0] チェックボックスをオンにして、HA-Primary CAM のものと同じ ピア IP アドレスを ][Primary] Heartbeat IP Address on eth0] フィールドに指定します。

ステップ 12 (任意)HA-Primary CAM の HA-Primary CAM の Heartbeat UDP Interface 3 機能をイネーブルにする場合、ドロップダウン メニューから [eth2] または [eth3] を選択して、[[Primary] Heartbeat IP Address on interface 3] フィールドの関連ピア IP アドレスを HA-Primary CAM と同じものにします。

ステップ 13 [Heartbeat Serial Interface] ドロップダウン メニューで、HA-Primary CAM のシリアル ケーブルを接続したシリアル ポートを選択します。シリアル接続を使用しない場合は、N/A のまま残します。このドロップダウン リストのオプションは、ハートビート インターフェイス接続に対して CAM においてイネーブルで使用可能なシリアル インターフェイスです。詳細については、「シリアル接続」を参照してください。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルを介して接続する場合、NAC-3300 シリーズ アプライアンス、およびシリアル ポートへの BIOS リダイレクション機能をサポートしているその他のサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS リダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。


ステップ 14 [Update] をクリックしてから、[Reboot]をクリックします。

スタンバイ CAM が起動すると、アクティブ CAM とデータベースが自動的に同期します。

ステップ 15 最後に、スタンバイ CAM の管理コンソールを再び開いて、次のように設定を完了します。スタンバイ CAM の管理コンソールには、制限された管理モジュール(図 17-4 および図 17-5)が表示されていることを確認します。

図 17-4 スタンバイ Web 管理コンソール例 - [Summary] ページ

 

図 17-5 スタンバイ Web 管理コンソール例 - [CCA Manager] > [Network] ページ

 

設定の完了

アクティブおよびスタンバイ CAM の [Failover] ページにある設定を確認します。これで、ハイ アベイラビリティ設定は完了です。

既存のフェールオーバー ペアのアップグレード

既存のフェイルオーバー ペアを新しい Cisco NAC アプライアンス リリースにアップグレードする方法については、『 Release Notes for Cisco NAC Appliance, Version 4.5(1) 』の「Upgrading High Availability Pairs」を参照してください。

HA-CAM ペアのフェールオーバー


警告 データベース同期中のデータ消失を防止するために、必ずスタンバイ CAM が起動して、稼動していることを確認してから、アクティブ CAM をフェールオーバーしてください。


HA-CAM ペアをフェールオーバーするには、ペアのアクティブ マシンに SSH を介して接続し、次のコマンドのいずれかを実行します。

shutdown

reboot

service perfigo stop

これは、アクティブ マシン上のすべてのサービスを停止します。ハートビートが失敗した場合、スタンバイ マシンはアクティブ マシンの役割を担います。 service perfigo start を実行して、停止したマシン上のサービスを再開します。これにより、停止したマシンがスタンバイ マシンの役割を担います。


) ハイ アベイラビリティ(フェールオーバー)をテストする際には、service perfigo restart は使用しないでください。フェールオーバーをテストするマシンでは、代わりに「shutdown」または「reboot」、もしくは CLI コマンドの service perfigo stopservice perfigo start を使用することを推奨します。「CAM CLI コマンド」を参照してください。


HA 関連で役立つ CLI コマンド

CAM の HA に関連して、次のファイルを覚えておくと役立ちます。

/etc/ha.d/perfigo.conf

/etc/ha.d/ha.cf

次の例は、HA デバッグ/ログ ファイルの場所、および HA ペアの各 CAM(ノード)の名前を示しています。

[root@rjcam_1 ha.d]# more ha.cf
# Generated by make-hacf.pl
udpport 694
bcast eth1
auto_failback off
apiauth default uid=root
log_badpack false
debug 0
debugfile /var/log/ha-debug
logfile /var/log/ha-log
#logfacility local0
watchdog /dev/watchdog
keepalive 2
warntime 10
deadtime 15
node rjcam_1
node rjcam_2

HA CAM のアクティブ/スタンバイ実行時ステータスの確認

次の例は、CLI を使用して HA ペアの各 CAM の実行時ステータス(アクティブまたはスタンバイ)を判別する方法を示しています。新規およびアップグレード済みの CAM にある /perfigo/common/bin/ ディレクトリから fostate.sh コマンドを実行できます。

1. 1 番目の CAM で fostate.sh スクリプトを実行します。

[root@rjcam_1 ~]# ./fostate.sh
My node is active, peer node is standby
[root@rjcam_1 ~]#
 

この CAM が HA ペアのアクティブ CAM です。

2. 2 番目の CAM で fostate.sh スクリプトを実行します。

[root@rjcam_2 ~]# ./fostate.sh
My node is standby, peer node is active
[root@rjcam_2 ~]#
 

この CAM は HA ペアのスタンバイ CAM です。

ハイ アベイラビリティ ペア Web コンソールのアクセス

アクティブ CAM とスタンバイ CAM の判別

Web ブラウザの URL/アドレス フィールドに(サービス IP ではなく)各個別 CAMの IP アドレスを入力することで、HA ペアの 各 CAM の Web コンソールにアクセスします。2 つのブラウザを開く必要があります。Standby(非アクティブ)CAMの Web コンソールは、メディア メニューのサブセットおよびアクティブ CAM で使用可能な各サブメニューだけが表示されます。


) HA-Primary として設定された CAM が現在アクティブな CAM であるとは限りません。


プライマリおよびセカンダリ CAM の決定

各 CAM Web コンソールで、[Administration] > [CCA Manager] > [Failover] に移動します。

プライマリ CAM は、最初に HA を設定した際に [HA-Primary] として設定した CAM です。

セカンダリ CAM は、最初に HA を設定した際に [HA-Secondary] として設定された CAM です。


) 4.0(0) よりも前のリリースでは、セカンダリ CAM は初期 HA 設定で [HA-Standby](CAM)とラベルされています。


ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加

次の図は、HA-CAM および HA-CAS を例のコア/ディストリビューション/アクセス ネットワーク(ディストリビューション層とアクセス層に Catalyst 6500 を配置)に追加する方法を示しています。

図 17-6 は、Cisco NAC アプライアンスがない場合のネットワーク トポロジを示しています。コア層とディストリビューション層で Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)を稼動し、アクセス スイッチは複数の配信スイッチにデュアルホーム接続しています。

図 17-6 Cisco NAC アプライアンス使用前のコア/ディストリビューション/アクセス ネットワークの例

 

図 17-7 は、HA-CAM をコア/ディストリビューション/アクセス ネットワークに追加する方法を示しています。この例では、HA ハートビート接続はシリアル インターフェイスと eth1 インターフェイスの両方に設定されています。

図 17-7 HA CAM のネットワークへの追加

 

図 17-8 は、HA-CAS をコア/ディストリビューション/アクセス ネットワークに追加する方法を示しています。この例では、CAS は中央に配置する L2 OOB Virtual Gateway として設定されています。HA ハートビート接続は、シリアル インターフェイスと専用 eth2 インターフェイスの両方に設定されています。リンク障害に基づくフェールオーバー接続を eth0 および eth1 インターフェイス、またはいずれか一方のインターフェイスに設定することもできます。


) Cisco サービス統合型ルータ(ISR)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


図 17-8 HA CAS のネットワークへの追加