Cisco NAC アプライアンス ハードウェア インスト レーション ガイド
ハイ アベイラビリティ(HA)の設定
ハイ アベイラビリティ(HA)の設定
発行日;2012/01/10 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ハイ アベイラビリティ(HA)の設定

ネットワークへのハイ アベイラビリティ Cisco NAC アプライアンスの追加

CAM のハイ アベイラビリティ ペアの導入

概要

準備

CAM マシンの接続

シリアル接続

HA プライマリ CAM の設定

HA セカンダリ CAM の設定

設定の完了

既存のフェールオーバー ペアのアップグレード

HA CAM ペアのフェールオーバー

ハイ アベイラビリティ ペアの CAM Web コンソールへのアクセス

アクティブ CAM とスタンバイ CAM の判別

プライマリ CAM とセカンダリ CAM の判別

CAS のハイ アベイラビリティ ペアの導入

概要

CAS ハイ アベイラビリティの要件

準備

ハートビート UDP インターフェイスの選択および設定

シリアル ポートの HA 接続

ハイ アベイラビリティの設定

HA プライマリ CAS の設定

HA セカンダリ CAS の設定

CAS の接続および設定の完了

HA CAS ペアのフェールオーバー

CAS ハイ アベイラビリティ設定の変更

HA-CAS の IP 設定の変更手順

既存のフェールオーバー ペアのアップグレード

HA の便利な CLI コマンド

Clean Access Manager(CAM)

CAS

HA CAS 設定ステータス

ハートビート接続とリンクベース接続

リンク検出インターフェイス

アクティブ/スタンバイ ステータス

ハイ アベイラビリティ ペアの CAS Web コンソールへのアクセス

アクティブ CAS とスタンバイ CAS の判別

プライマリ CAS とセカンダリ CAS の判別

ネットワークへのハイ アベイラビリティ Cisco NAC アプライアンスの追加

次の図は、HA CAM および HA CAS をコア ディストリビューション アクセス ネットワーク(ディストリビューション レイヤとアクセス レイヤに Catalyst 6500 を装備)の例に追加する方法を示します。

図 4-1 に、Cisco NAC アプライアンスを装備していないネットワーク トポロジを示します。コア レイヤおよびディストリビューション レイヤは Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)を実行し、アクセス スイッチはディストリビューション スイッチにデュアルホーム接続しています。

図 4-1 Cisco NAC アプライアンスを追加する前のコア ディストリビューション アクセス ネットワーク例

 

図 4-2 に、HA CAM をコア ディストリビューション アクセス ネットワークに追加する方法を示します。この例では、HA ハートビート接続はシリアル インターフェイスと eth1 インターフェイスの両方で設定されます。

図 4-2 ネットワークへの HA CAM の追加

 

図 4-3 に、HA CAS をコア ディストリビューション アクセス ネットワークに追加する方法を示します。この例では、CAS は中央配置の L2 OOB バーチャル ゲートウェイとして設定されます。HA ハートビート接続はシリアル インターフェイスと専用 eth2 インターフェイスの両方で設定されます。リンク障害ベースのフェールオーバー接続もまた、eth0 インターフェイスと eth1 インターフェイスで設定されます。


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に実装された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていません。


図 4-3 ネットワークへの HA CAS の追加

 

CAM のハイ アベイラビリティ ペアの導入

ここでは、ハイ アベイラビリティ構成のために、一組の CAM マシンをセットアップする方法について説明します。ハイ アベイラビリティモードで CAM を導入することで、予期せぬシャットダウンが発生した場合も重要な監視、認証、およびレポートの作業を継続できます。この章の内容は、次のとおりです。

「概要」

「準備」

「CAM マシンの接続」

「HA プライマリ CAM の設定」

「HA セカンダリ CAM の設定」

「既存のフェールオーバー ペアのアップグレード」

「HA CAM ペアのフェールオーバー」

「ハイ アベイラビリティ ペアの CAM Web コンソールへのアクセス」


) CAM または CAS の HA ペアを設定するためには、同じアプライアンス(たとえば NAC-3350 と NAC-3350)を使用する必要があります。


概要

次に、HA-CAM の動作の概要を示します。

CAM のハイアベイラビリティ モードは、スタンバイ CAM マシンがアクティブ CAM マシンのバックアップとして機能する、アクティブ/パッシブの 2 台のサーバ構成です。

アクティブ CAM は、システムのすべての作業を実行します。スタンバイ CAM は、アクティブな CAM を監視し、そのデータベースとアクティブな CAM のデータベースとの同期を維持します。


) HA ペアの一方の CAM から他方の CAM へ、CAM 許可設定が自動的に渡されることはありません。CAM の HA ペアで許可機能を使用する場合、1 つの CAM からそのハイ アベイラビリティの相手に許可設定を正確に複製できるようにするため、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従ってください。


CAM および CAS ではローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。HA 構成内で HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。

両方の CAM は、信頼できるインターフェイス(eth0)の仮想サービス IP を共有します。SSL 証明書には、サービス IP を使用する必要があります。

サービス IP アドレスは CAM に送信されるすべてのメッセージとリクエストに使用されます。これには CAS および管理 Web コンソールからの通信が含まれます。

CAM では、CAS およびプロキシ認証メッセージに対して送信されるすべての通信に個別の(eth0)IP アドレスを使用します。

プライマリおよびセカンダリ CAM マシンは UDP ハートビート パケットを 2 秒ごとに交換します。ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

FIPS 140-2 に準拠するために、HA CAM/CAS は IPSec トンネルを自動的に確立します。これにより、ネットワークにおける HA ペア アプライアンス間のすべての通信の安全性が確実に維持されます。

アクティブな CAM を常に利用可能な状態にしておくには、その信頼できるインターフェイス(eth0)をアップ状態にする必要があります。CAM はアクティブであるが、その CAM に信頼できるインターフェイスを介してアクセスできない(つまり、スタンバイ CAM がアクティブな CAM からハートビート パケットを受信しても、アクティブ CAM の eth0 インターフェイスに障害がある)という状況を回避するために、リンク検出メカニズムによって、スタンバイ CAM は、アクティブ CAM の eth0 インターフェイスがいつ利用不可能となったかを把握することができます。

CAM も CAS もハード ドライブの障害時には自動的にリブートするように設計されているため、スタンバイ CAM または CAS への自動的なフェールオーバーが開始されます。

新しい Cisco NAC-3310 CAM/CAS は 160 GB のハード ドライブを装備しています。従来の NAC-3310 には元々出荷時には 80 GB ハード ドライブが装備されていました。これらのハード ドライブのサイズは両方ともハイ アベイラビリティ(HA)構成をサポートしており、160 GB モデルを 80 GB モデルと一緒に HA ペアとして導入できます。

eth1 インターフェイスについては、[Administration] > [CCA Manager] > [Failover] ページで自動設定するよう選択できますが、その他の(eth2 または eth3)HA インターフェイスについては CAM で HA を設定する前に IP アドレスやネットマスクなどを使用して手動で設定する必要があります。

ハートビート パケットおよびデータベース同期のために eth0、eth1、および eth2/eth3 インターフェイスを使用することができます。さらに、ハートビート パケットに対しては、空いているシリアル(COM)インターフェイスも使用できます。これらのインターフェイスを複数使用した場合は、すべてのハートビート インターフェイスに障害が起こるとフェールオーバーが発生します。


) CAM を HA 構成に設定する場合は、ハートビートおよびデータベース同期のために eth1 を使用する必要があります。この目的では、その他のすべてのイーサネット インターフェイス(eth0 および eth2/eth3)はオプションになります。



) WAN を通じて CAM/CAS を配置する場合は、すべての CAM/CAS トラフィックと SNMP トラフィックを優先し、HA ペアのサービス IP アドレスに加えて CAM および CAS の eth0/eth1 IP アドレスを含める必要があります。



注意 HA ペアの間の接続は、極めて信頼性が高く、HA ペアの間の通信が妨げられないことが必要です。ベスト プラクティスは、専用のイーサネット ケーブルを使用することです。HA ペア間の通信が途絶えると、2 つのノードがアクティブにはり、運用に重大な悪影響を及ぼしかねません。HA ペア間のリンクの重要な側面は、リンクがダウンした場合の復元能力です。復元は、設計によってはネットワークの安定性にとって欠かせません。

図 4-4 に、構成例を示します。

図 4-4 CAM のハイ アベイラビリティ構成例

 

CAM のハイアベイラビリティ モードは、スタンバイ CAM マシンがアクティブ CAM マシンのバックアップとして機能する、アクティブ/パッシブの 2 台のサーバ構成です。通常の条件下では、アクティブな CAM がほとんどの作業負荷を分担するが、スタンバイ側はそのアクティブ側を継続的に監視し、自分のデータ ストアとアクティブな CAM データとの同期を維持します。

フェールオーバー イベントが発生し、このアクティブ CAM がシャットダウンするか、ピアのハートビート信号への応答を停止した場合、スタンバイ CAM はアクティブ CAM の役割を引き継ぎます。

最初に HA ピアを設定するとき、HA プライマリ CAM と HA セカンダリ CAM を指定する必要があります。まず、HA プライマリがアクティブ CAM になり、HA セカンダリがスタンバイ(パッシブ)CAM になりますが、アクティブとパッシブのロールは永続的には割り当てられません。プライマリ CAM がダウンすると、セカンダリ(スタンバイ)CAM がアクティブ CAM になります。元のプライマリ CAM は再起動すると、バックアップの役割を担います。


) HA 構成の HA プライマリ CAM と HA セカンダリ CAM の両方で設定が失われた場合は、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Restoring Configuration from CAM Snapshot--HA-CAM or HA-CAS」に記載されているガイドラインを使用して、システムを復元することができます。


CAM は起動時に、ピアがアクティブであるかどうかを調べます。アクティブでない場合、起動中の CAM に、アクティブの役割を担います。一方、ピアがアクティブである場合、起動中の CAM はスタンバイになります。

2 台の CAM を HA ペアとして同時に設定することも、既存のスタンドアロン CAM に新しい CAM を追加してハイアベイラビリティ ペアを作成することもできます。このペアを 1 つのエンティティとしてネットワークに認識させるには、HA ペア用の信頼できるインターフェイス(eth0)アドレスとしてサービス IP アドレスが使用されるよう指定する必要があります。このサービス IP アドレスは、SSL 証明書を生成するためにも使用されます。

HA 情報交換のためのハートビート UDP インターフェイス リンクを作成するには、両方の CAM の eth1 ポートを接続し、組織内で現在ルーティングされていないプライベート ネットワーク アドレスを指定します(デフォルトのハートビート UDP インターフェイス IP アドレスは 192.168.0.252 です)。CAM は次に、セキュアなプライベート 2 ノード ネットワークを各 CAM の eth1 ポートに対して作成して、UDP ハートビート トラフィックの交換およびデータベースの同期化を行います。


) CAM は常に、eth1 を UDP ハートビート インターフェイスとして使用します。



) プライマリ eth1 リンクが切断され、シリアル リンクしか残っていない場合、CAM は HA の相手と同期できないことを示すデータベース エラーを返し、管理者向けの CAM Web コンソールには「WARNING! Closed connections to peer [standby IP] database! Please restart peer node to bring databases in sync!!」というエラーが表示されます。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。


) HA(HA CAM または HA CAS)のシリアル ケーブル接続の場合、シリアル ケーブルは「ヌル モデム」ケーブルにする必要があります。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


ここでは、ハイ アベイラビリティの設定手順について説明します。


) ここでの手順では、HA ペアをテスト ネットワークとして設定するために、CAM をスタンドアロン CAM に追加することを前提とします。


準備


警告 データベース同期時にデータの損失を防ぐには、アクティブ(プライマリ)CAM でフェールオーバーが発生する前に、必ずスタンバイ(セカンダリ)CAM が活動化し、稼動していることを必ず確認します。


ハイ アベイラビリティを設定する前に、次のことを確認してください。

ハイ アベイラビリティ(フェールオーバー)ライセンスが取得済みであること。


) CAM フェールオーバー(HA)ライセンスをインストールした場合は、最初にプライマリ CAM にフェールオーバー ライセンスをインストールしてから、その他のすべてのライセンスをロードしてください。


両方の CAM がインストールおよび設定されていること(「CAM の初期設定の実行」 を参照)。

HA ペアの 2 つの CAM が、ハートビート機能と同期機能をサポートするために、レイヤ 2 で隣接していること。

各 CAM に、ハートビートのために一意なホスト名(またはノード名)が指定されていること。HA CAM ペアの場合、このホスト名をピアに提供し、DNS を介して解決するか、ピアの /etc/hosts ファイルに追加する必要があります。

HA CAM ペアのサービス IP ついて CA 署名付き証明書を持っていること(テストの場合、HA プライマリ CAM の CA 署名付き証明書を使用できますが、これには、HA プライマリ CAM の IP をサービス IP として設定するための追加のステップが必要です)。

HA プライマリ CAM が、ランタイム オペレーションのために完全に設定されていること。つまり、認証ソース、ポリシー、ユーザ ロール、アクセス ポイントなどへの接続がすべて指定されています。この設定が、HA セカンダリ(スタンバイ)CAM に自動的に複製されます。

CAM の HA ペアで許可機能を使用する場合、1 つの CAM からそのハイ アベイラビリティの相手に許可設定を正確に複製できるようにするため、『 Cisco NAC Appliance - Clean Access Manager Installation and Configuration Guide, Release 4.7(1) 』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従ってください(HA ペアの一方の CAM から他方の CAM へ、CAM 許可設定が自動的に渡されることはありません)。

両方の CAM がネットワーク上でアクセス可能であること(PING を試行して接続をテストすること)。

CAM ソフトウェアを搭載しているマシンが少なくとも 1 つの空きイーサネット ポート(eth1)と少なくとも 1 つの空きシリアル ポートを備えていること。サーバ ハードウェアの仕様書を参照して、各マシンのシリアル ポート(ttyS0 または ttyS1)を識別してください。

アウトオブバンド配置で、CAS および CAM の接続先となるスイッチ インターフェイスでポート セキュリティがイネーブルでないこと。ポート セキュリティがイネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

次の手順では、CAM をリブートする必要があります。その場合、そのサービスがしばらく使用できなくなります。オンライン CAM の設定は、ダウンタイムによってユーザに及ぼされる影響が最も小さくなる時間帯に実行するようにします。


) Cisco NAC アプライアンス Web 管理コンソールでは、Internet Explorer 6.0 以降のブラウザをサポートします。


CAM マシンの接続

HA CAM ピアの間には 2 種類の接続があります。1 つは CAM アクティビティに関するランタイム データを交換するための接続であり、もう 1 つはハートビート信号のための接続です。ハイ アベイラビリティ構成において、CAM はデータ交換とハートビート UDP 交換の両方に対して eth1 インターフェイスを常に使用します。特定の期間内に UDP ハートビート信号の送信と受信に失敗した場合、スタンバイ システムが処理を引き継ぎます。ハートビートに冗長性を持たせるため、ハートビート交換用の eth1(必須)インターフェイスに加えてさらにイーサネット インターフェイスを使用することを推奨します。フェールオーバーが発生するには、設定されたすべてのインターフェイスがハートビート交換の失敗をレポートする必要があります(追加のハートビート インターフェイスについては、eth0 と eth2/eth3 を使用できます)。ただし、CAM ピア間の eth1 接続は必須です。

ピア CAM を次のように物理的に接続します。

クロス ケーブルを使用して、CAM マシンの eth1 イーサネット ポートを接続します。この接続は、フェールオーバー ピア間のハートビート UDP インターフェイスおよびデータ交換(データベース ミラーリング)に使用されます。

ヌル モデム シリアル ケーブルを使用してシリアル ポートを接続します(強く推奨)。

任意で、クロス ケーブルを使用またはインライン スイッチを介して、CAM 上の eth2 または eth3 インターフェイスを HA ピア上の相手のインターフェイスに接続します(CAM を HA に設定する前にこれらのインターフェイスを手動で設定する必要があります)。


) HA のシリアル ケーブル接続の場合、シリアル ケーブルは「ヌル モデム」ケーブルにする必要があります。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


シリアル接続

デフォルトでは、CAM サーバで検出された最初のシリアル ポートがコンソール入出力用に設定されます(インストールおよびその他のタイプの管理アクセス用)。

マシンにシリアル ポートが 1 つしかない(COM1 または ttyS0)場合、ハイ アベイラビリティ ハートビート接続として機能するようにポートを再設定できます。これにより、CAM ソフトウェアをインストールした後、SSH または KVM コンソールを使用して、CAM のコマンドライン インターフェイスにアクセスすることができます。


) プライマリ eth1 リンクが切断され、シリアル リンクしか残っていない場合、CAM は HA の相手と同期できないことを示すデータベース エラーを返し、管理者向けの CAM Web コンソールには「WARNING! Closed connections to peer [standby IP] database! Please restart peer node to bring databases in sync!!」というエラーが表示されます。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。

HA プライマリ CAM の設定

前提条件を確認したら、次の手順を実行し、ハイ アベイラビリティ ペアの HA プライマリとして CAM を設定します。ハイ アベイラビリティの構成例については、図 4-4 を参照してください。


ステップ 1 HA プライマリとして指定する CAM の Web 管理コンソールを開き、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動して、プライマリ CAM の SSL 証明書を設定します。


) この章の HA 設定では、一時証明書が HA プライマリ CAM から HA セカンダリ CAM へエクスポートされることを前提とします。


HA ペアに一時証明書を使用する場合:

a. [Generate Temporary Certificate] をクリックし、フォームのすべてのフィールドに情報を入力して、[Generate] をクリックします。証明書には、HA ペアのサービス IP アドレスを対応付ける必要があります。

b. 一時証明書の生成が終了したら、証明書と秘密鍵のチェックボックスをクリックし、テーブル中で強調表示します。

c. [Export] をクリックして証明書と秘密鍵をローカル マシンに保存します。証明書と秘密鍵はあとで HA セカンダリ CAM を設定するときにインポートする必要があります。

HA ペアに CA 署名付き証明書を使用する場合:


) このプロセスでは、Certificate Signing Request(CSR; 証明書署名要求)と対応する秘密鍵をすでに生成してあり、要求を Certificate Authority(CA; 認証局)に送信済みで、CA 署名付き証明書を受信してあるものとします。CAS 用の CA 署名付き証明書をまだ取得していない場合、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Manage CAM SSL Certificates」に記載された手順に必ず従ってください。


a. [Browse] をクリックし、ローカル マシン上の CA 署名付き証明書と秘密鍵が格納されているディレクトリに移動します。

b. [Import] をクリックします。あとで、この証明書を HA セカンダリ CAS にインポートする必要があります。

ステップ 2 [Administration] > [CCA Manager] に進み、[Failover] タブをクリックします。[HA-Primary] オプションを [Clear Access Manager Mode] ドロップダウン メニューから選択します。ハイ アベイラビリティ設定が表示されます。

図 4-5 HA プライマリ CAM のフェールオーバー設定

 

ステップ 3 [Administration] > [CCA Manager] > [Network] で [IP Address] フィールドから値をコピーし、それを [Service IP Address] フィールドに入力します。ネットワーク設定の IP アドレスは、プライマリ CAM の既存の IP アドレスです。ここでは、CAS が認識済みのこの IP アドレスを、CAS が CAM ペアに対して使用する仮想サービス IP アドレスに変更します。

ステップ 4 [Administration] > [CCA Manager] > [Network] の [IP address] を使用可能なアドレス(たとえば、 x . x . x .121)に変更します。

ステップ 5 (推奨)HA プライマリ CAM に関する eth0 リンク障害検出に基づいてフェールオーバーを有効にするパラメータを指定します。

a. プライマリ CAM からセカンダリ CAM へフェールオーバーするために HA ペアが使用するインターフェイスの IP アドレスを [Link-detect IP Address for eth0] フィールドに入力します。このフィールドに IP アドレスが入力されると、HA セカンダリ CAM は、指定された HA プライマリ CAM の IP アドレスに対する ping を実行して接続性を検証します。通常、HA プライマリ CAM と HA セカンダリ CAM の両方に同じ IP アドレスが入力されますが、ネットワーク トポロジで許されている場合は、各 CAM に異なるアドレスを指定することが できます

b. eth0 インターフェイスがダウンしたことを受けてセカンダリ CAM へのフェールオーバーの開始を決定する前に、CAM がリンク検出 IP アドレスの ping を継続する時間(秒)を、[Link-detect Timeout] フィールドに入力します。この設定の最小値は 10 秒ですが、少なくとも 25 秒のタイムアウト間隔を設定することを推奨します。


) アクティブ CAM の eth0 に接続されているスイッチ ポートでリンク障害またはスイッチ ポート障害が発生した場合に、アクティブ CAM がスタンバイ CAM にフェールオーバーできるようにするために、CAM(リリース 4.1(3) 以降)でのリンク検出設定が必要です。フェールオーバーが必要な場合は、リンク検出設定により、スタンバイ CAM はセカンダリ CAM eth0 インターフェイスがアップ状態であってアクティブ ロールの引き継ぎが可能なことを確認できます。


ステップ 6 各 CAM は、一意のホスト名を持つ必要があります( rjcam_1 rjcam_2 など)。[Administration] > [CCA Manager] > [Network] の [Host Name] フィールドに HA プライマリ CAM のホスト名を入力し、[Administration] > [CCA Manager] > [Failover] の [Peer Host Name] フィールドに HA セカンダリ CAM のホスト名を入力します。


) • [Host Name] の値は、ハイ アベイラビリティの設定時には必須であり、一方、[Host Domain] 名はオプションです。

[Host Name] と [Peer Host Name] フィールドには、大文字小文字の区別があります。ここで入力した内容と、後で HA セカンダリ CAM に対して入力する内容は必ず一致する必要があります。


 

ステップ 7 必須の eth1 UDP ハートビート インターフェイスに対してデフォルト設定を使用する場合は、[Auto eth1 Setup] チェックボックスをオン(チェックされた状態)のままにします。異なる [[Secondary] Heartbeat eth1 Address] を指定する場合は、[Auto eth1 Setup] チェックボックスをオフにし、[(peer IP on heartbeat udp interface on eth1)] フィールドに新しい IP アドレスを入力します。


) [Auto eth1 Setup] オプションは、192.168.0.254 をプライマリ CAM の eth1(ハートビート)インターフェイスとして自動的に割り当てて、ピア(セカンダリ) eth1 インターフェイスの IP アドレスを 192.168.0.253 と見なします。


警告 ステップ 9 で説明した冗長なフェールオーバー リンクを指定するには、HA をセットアップする前にまず CAM に適切なイーサネット インターフェイスを設定する必要があります。これらのインターフェイスの設定を試みる場合に、イーサネット インターフェイスが存在する NIC が正しく設定されていないと、リブート時に CAM はメンテナンス モードになります(適切にブートしない)。

ステップ 8 (任意)CAM eth0 インターフェイスを介して冗長なフェールオーバー ハートビートをセットアップする CAM の [Heartbeat UDP Interface 2] 機能を有効にする場合は、[eth0] チェックボックスをオンにして、[[Secondary] Heartbeat IP Address on eth0] フィールドに関連するピア IP アドレスを指定します。追加の UDP ハートビート インターフェイスを使用しない場合はこれを N/A のままとします。

ステップ 9 (任意)CAM の [Heartbeat UDP Interface 3] 機能を有効にする場合は、ドロップダウン メニューから [eth2] または [eth3] を選択し、[[Secondary] Heartbeat IP Address on interface 3] フィールドに関連するピア IP アドレスを指定します。追加の UDP ハートビート インターフェイスを使用しない場合はこれを N/A のままとします。


) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、[Heartbeat Serial Interface] 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


ステップ 10 HA プライマリ CAM に対して [Heartbeat Timeout] 値を指定します。これにより、CAM が HA ピアとの通信が失われたことを宣言して HA ペアのアクティブ CAM のロールを引き継ぐまでの CAM の待機時間が設定されます。デフォルトの [Heartbeat Timeout] 値は 30 秒です。


) Cisco NAC アプライアンス リリース 4.6(1) 以降、[Heartbeat Timeout] のデフォルト値は延長され 30 秒になっています。これにより、ネットワーク上で比較的に遠くに位置する CAM ピアにも対応しています。そのような CAM ピアでは、遅延の問題により、指定された [Heartbeat Timeout] 期間内に HA ピアからハートビート パケットを受信しないとスタンバイ HA CAM がアクティブ ロールを引き継ぐ場合があります。その結果、Cisco NAC アプライアンス機能を実行する「アクティブ」CAM が 2 つになる可能性があり、正しいプライマリ/セカンダリ HA ピア関係を再度確立するには両方の CAM をリブートする必要があります。


ステップ 11 [Update] をクリックし、次に [Reboot] をクリックして CAM を再起動します。

CAM の再起動後、CAM マシンが正常に動作していることを確認します。CAS が接続されており、新しいユーザの認証が行われるかどうかをチェックします。


 

HA セカンダリ CAM の設定


ステップ 1 HA セカンダリとして指定する CAM の Web 管理コンソールを開き、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動します。

ステップ 2 始める前に

セカンダリの CAM の秘密鍵をバックアップします。

サービス IP/HA プライマリ CAM と関連付けられた秘密鍵および SSL 証明書ファイルが利用できることを確認します(「HA プライマリ CAM の設定」 に従ってあらかじめエクスポートされている)。

ステップ 3 HA プライマリ CAM の秘密鍵ファイルおよび証明書を次のようにインポートします。

HA ペアに一時証明書を使用する場合:

a. [Browse] をクリックし、以前 HA プライマリ CAS からエクスポートした一時証明書と秘密鍵を保存したローカル マシン上の場所を参照します。

b. 証明書ファイルを選択し、[Import] をクリックします。

c. この手順を繰り返して秘密鍵をインポートします。

HA ペアに CA 署名付き証明書を使用する場合:

a. [Browse] をクリックし、CA から受け取った CA 署名付き証明書と、HA プライマリ CAS からエクスポートした関連する秘密鍵を保存したローカル マシン上の場所を参照します。

b. CA 署名付き証明書ファイルを選択し、[Import] をクリックします。

c. この手順を繰り返して秘密鍵をインポートします。

詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1) 』の「Manage CAM SSL Certificates」を参照してください。

ステップ 4 [Administration] > [CCA Manager] > [Network] に移動し、セカンダリ CAM の [IP Address] を、HA プライマリ CAM の IP アドレスおよびサービス IP アドレスとは異なるアドレス( x . x . x .122 など)に変更します。

図 4-6 HA セカンダリ CAM のフェールオーバー設定

 

ステップ 5 [Host Name] の値を、HA プライマリ CAM の設定の [Peer Host Name] と同じ値に設定します。図 4-4を参照してください。


) [Host Name] と [Peer Host Name] フィールドには、大文字小文字の区別があります。ここで入力した内容と、HA プライマリ CAM に対して入力した内容は必ず一致する必要があります。


ステップ 6 [Clean Access Manager Mode] ドロップダウン メニューから [HA-Secondary] を選択します。ハイ アベイラビリティ設定が表示されます。

ステップ 7 [Service IP Address] の値を、HA プライマリ CAM の設定の [Service IP Address] と同じ値に設定します。

ステップ 8 (推奨)HA セカンダリ CAM に関する eth0 リンク障害検出に基づいてフェールオーバーを有効にするパラメータを指定します。

a. プライマリ CAM からセカンダリ CAM へフェールオーバーするために HA ペアが使用するインターフェイスの IP アドレスを [Link-detect IP Address for eth0] フィールドに入力します。

b. eth0 インターフェイスがダウンしたことを受けてセカンダリ CAM へのフェールオーバーの開始を決定する前に、CAM がリンク検出 IP アドレスの ping を継続する時間(秒)を、[Link-detect Timeout] フィールドに入力します。この設定の最小値は 10 秒ですが、少なくとも 25 秒のタイムアウト間隔を設定することを推奨します。


) アクティブ CAM の eth0 に接続されているスイッチ ポートでリンク障害またはスイッチ ポート障害が発生した場合に、アクティブ CAM がスタンバイ CAM にフェールオーバーできるようにするために、CAM(リリース 4.1(3) 以降)でのリンク検出設定が必要です。フェールオーバーが必要な場合は、リンク検出設定により、スタンバイ CAM はセカンダリ CAM eth0 インターフェイスがアップ状態であってアクティブ ロールの引き継ぎが可能なことを確認できます。


ステップ 9 [[Primary] Peer Host Name] の値を、HA プライマリ CAM のホスト名に設定します。

ステップ 10 必須の eth1 UDP ハートビート インターフェイスに対してデフォルト設定を使用する場合は、[Auto eth1 Setup] チェックボックスをオン(チェックされた状態)のままにします。異なる [[Primary] Heartbeat eth1 Address] を指定する場合は、[Auto eth1 Setup] チェックボックスをオフにし、[(peer IP on heartbeat udp interface on eth1)] フィールドに新しい IP アドレスを入力します。


) [Auto eth1 Setup] オプションは、192.168.0.254 をプライマリ CAM の eth1(ハートビート)インターフェイスとして自動的に割り当てて、ピア(セカンダリ) eth1 インターフェイスの IP アドレスを 192.168.0.253 と見なします。


警告 ステップ 12 で説明した冗長なフェールオーバー リンクを指定するには、HA をセットアップする前にまず CAM に適切なイーサネット インターフェイスを設定する必要があります。ただし、これらのインターフェイスの設定を試みる場合に、イーサネット インターフェイスが存在する NIC が正しく設定されていないと、リブート時に CAM はメンテナンス モードになります(適切にブートしない)。

ステップ 11 (任意)HA プライマリ CAM の CAM eth0 インターフェイスを介して冗長なフェールオーバー ハートビートをセットアップする、HA プライマリ CAM の [Heartbeat UDP Interface 2] 機能を有効にした場合は、[eth0] チェックボックスをオンにしてから、[[Primary] Heartbeat IP Address on eth0] フィールドに HA プライマリ CAM と同じピア IP アドレスを指定します。

ステップ 12 (任意)HA プライマリ CAM の [Heartbeat UDP Interface 3] 機能を HA プライマリ CAM で有効にした場合は、ドロップダウン メニューから [eth2] または [eth3] を選択するとともに、[[Primary] Heartbeat IP Address on interface 3] フィールドに HA プライマリ CAM と同じ関連するピア IP アドレスを指定します。


) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、[Heartbeat Serial Interface] 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


ステップ 13 HA セカンダリ CAM に対して [Heartbeat Timeout] 値を指定します。これにより、CAM が HA ピアとの通信が失われたことを宣言して HA ペアのアクティブ CAM のロールを引き継ぐまでの CAM の待機時間が設定されます。デフォルトの [Heartbeat Timeout] 値は 30 秒です。


) Cisco NAC アプライアンス リリース 4.6(1) 以降、[Heartbeat Timeout] のデフォルト値は延長され 30 秒になっています。これにより、ネットワーク上で比較的に遠くに位置する CAM ピアにも対応しています。そのような CAM ピアでは、遅延の問題により、指定された [Heartbeat Timeout] 期間内に HA ピアからハートビート パケットを受信しないとスタンバイ HA CAM がアクティブ ロールを引き継ぐ場合があります。その結果、Cisco NAC アプライアンス機能を実行する「アクティブ」CAM が 2 つになる可能性があり、正しいプライマリ/セカンダリ HA ピア関係を再度確立するには両方の CAM をリブートする必要があります。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。

ステップ 14 [Update] をクリックし、次に [Reboot] をクリックします。

スタンバイ CAM は起動すると、そのデータベースをアクティブ CAM と自動的に同期させます。

ステップ 15 最後に、スタンバイ側の管理コンソールを再び開き、次のように設定を完了させます。スタンバイ CAM の管理コンソールに、制限付きの管理モジュールが表示されます(図 4-7 および図 4-8)。

図 4-7 スタンバイ Web 管理コンソールの例:[Summary] ページ

 

図 4-8 スタンバイ Web 管理コンソールの例:[CCA Manager] > [Network] ページ

 

設定の完了

アクティブ CAM とスタンバイ CAM について、[Failover] ページで設定を確認します。これで、ハイ アベイラビリティの設定は完了です。

既存のフェールオーバー ペアのアップグレード

既存のフェールオーバー ペアを新しい Cisco NAC アプライアンス リリースにアップグレードする手順については、『 Release Notes for Cisco NAC Appliance, Version 4.7(1) 』の「Upgrading High Availability Pairs」を参照してください。

HA CAM ペアのフェールオーバー


警告 データベース同期時にデータの損失を防ぐには、アクティブ CAM でフェールオーバーが発生する前に、必ずスタンバイ CAM がアップ状態にあり稼動していることを確認します。


HA CAM ペアをフェールオーバーするには、SSH を使用してペア内のアクティブ マシンに接続し、次のコマンドのいずれかを実行します。

shutdown または

reboot または

service perfigo stop

これにより、アクティブ マシン上のすべてのサービスが停止します。ハートビートが失敗すると、スタンバイ マシンがアクティブ ロールを引き継ぎます。停止状態のマシンでサービスを再開するには、 service perfigo start を実行します。これにより、停止状態のマシンはスタンバイ ロールを引き継ぎます。


) ハイ アベイラビリティ(フェールオーバー)をテストする際には、service perfigo restart は使用しないでください。代わりに、フェールオーバーをテストするマシンでは、「shutdown」または「reboot」の使用を推奨します。CLI コマンドを使用する場合は service perfigo stopservice perfigo start の使用を推奨します。「HA の便利な CLI コマンド」を参照してください。


ハイ アベイラビリティ ペアの CAM Web コンソールへのアクセス

アクティブ CAM とスタンバイ CAM の判別

HA ペア内の各 CAM の Web コンソールにアクセスするには、Web ブラウザの URL/アドレス フィールドに各 CAM の IP アドレス(サービス IP ではない)を入力します。2 つのブラウザを開いておく必要があります。スタンバイ(非アクティブ)CAM の Web コンソールでは、モジュール メニューのサブセットとアクティブ CAM で使用可能な個々のサブメニューを表示します。


) HA プライマリとして設定されている CAM は、現在アクティブな CAM でない可能性があります。


プライマリ CAM とセカンダリ CAM の判別

各 CAM の Web コンソールで、[Administration] > [CCA Manager] > [Failover] に移動します。

プライマリ CAM とは、最初に HA を設定したときに [HA-Primary] で設定した CAM です。

セカンダリ CAM とは、最初に HA を設定したときに [HA-Secondary] で設定した CAM です。


) 4.0(0) よりも前のリリースでは、セカンダリ CAM は初期 HA 設定で [HA-Standby](CAM)と表示されます。


CAS のハイ アベイラビリティ ペアの導入

この章では、HA(ハイ アベイラビリティ)モードの 2 つの Clean Access Server(CAS)を設定する方法について説明します。ハイ アベイラビリティモードで CAS を導入することで、予期せぬシャットダウンが発生した場合も重要なユーザ認証および接続作業を継続できます。この章の内容は、次のとおりです。

「概要」

「CAS ハイ アベイラビリティの要件」

「準備」

「ハイ アベイラビリティの設定」

「HA CAS ペアのフェールオーバー」

「CAS ハイ アベイラビリティ設定の変更」

「既存のフェールオーバー ペアのアップグレード」

「ハイ アベイラビリティ ペアの CAS Web コンソールへのアクセス」


) CAM または CAS の HA ペアを設定するためには、同じアプライアンス(たとえば NAC-3350 と NAC-3350)を使用する必要があります。


概要


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に実装された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていません。


次のキー ポイントでは、HA CAS 動作の概要を説明します。

CAS のハイアベイラビリティ モードは、スタンバイ CAS マシンがアクティブ CAS マシンのバックアップとして機能する、アクティブ/パッシブの 2 つのサーバ構成です。

アクティブ CAS は、システムのすべての作業を実行します。CAS の設定の大半は CAM に保存されているため、CAS のフェールオーバーが発生すると、CAM は設定を新しいアクティブ CAS にプッシュします。


) CAS の HA ペアで許可機能を使用する場合、1 つの CAS からそのハイ アベイラビリティの相手に許可設定を正確に複製できるようにするため、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従ってください。


CAM および CAS ではローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。HA 構成内で HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。

スタンバイ CAS はインターフェイスの間でパケットを転送しません。

スタンバイ CAS は、ハートビート インターフェイス(シリアルおよび 1 つ以上の UDP)経由でアクティブ CAS の状態を監視します。ハートビート パケットは、専用の eth2 インターフェイス、専用の eth3 インターフェイス、eth0 または eth1 インターフェイス(eth2 または eth3 インターフェイスが利用できない場合)上で送信できます。

プライマリおよびセカンダリ CAS マシンは UDP ハートビート パケットを 2 秒ごとに交換します。ハートビート タイマーの期限が切れると、ステートフル フェールオーバーが発生します。

ハートビートベースのフェールオーバーの他に、CAS は eth0 または eth1 リンク障害に基づいてリンクベースのフェールオーバーも提供します。CAS は、eth0 または eth1 インターフェイス経由で ICMP ping パケットを外部 IP アドレスに送信します。1 つの CAS だけが外部アドレスに ping を実行できる場合にフェールオーバーが発生します。


) スタンバイ CAS は、eth 0 または eth1 インターフェイスがダウンしても、他の使用可能なハートビート インターフェイス(たとえばシリアルや eth2)経由でアクティブ CAS からのハートビート パケットを受信できる場合があります。スタンバイ CAS がハートビート タイマーだけを使用してステートフル フェールオーバーを行う場合、アクティブ CAS がその主要な機能を実行できなくなっても、スタンバイ CAS がアクティブ ロールの役割を引き継ぐことはありません。リンクベースのフェールオーバーが設定されていると、アクティブおよびスタンバイの CAS は eth0 と eth1 のステータスをハートビート インターフェイス経由で交換するため、これら 2 つのインターフェイスのうちいずれかがダウンした場合、アクティブ CAS からのハートビートがフェールオーバー イベントを起動しなくても、スタンバイ CAS はアクティブ ロールの役割を引き継ぐことができます。


両方の CAS は、信頼できるインターフェイス(eth0)および信頼できないインターフェイス(eth1)に対して仮想サービス IP を共有します。サービス IP は SSL 証明書用に使用する必要があります。

新しい Cisco NAC-3310 CAM/CAS は 160 GB のハード ドライブを装備しています。従来の NAC-3310 には元々出荷時には 80 GB ハード ドライブが装備されていました。これらのハード ドライブのサイズは両方ともハイ アベイラビリティ(HA)構成をサポートしており、160 GB モデルを 80 GB モデルと一緒に HA ペアとして導入できます。

FIPS 140-2 に準拠するために、HA CAM/CAS は IPSec トンネルを自動的に確立します。これにより、ネットワークにおける HA ペア アプライアンス間のすべての通信の安全性が確実に維持されます。

リリース 4.5(1) から、スタンバイ CAS が DHCP アドレス管理を行っていてフォールバック状態になったアクティブ CAS の役割を引き継ぐとき、新しいアクティブ CAS はユーザ ログインに加えて DHCP 機能も引き継ぐようになりました。


注意 HA ペアの間の接続は、極めて信頼性が高く、HA ペアの間の通信が妨げられないことが必要です。ベスト プラクティスは、専用のイーサネット ケーブルを使用することです。HA ペア間の通信が途絶えると、2 つのノードがアクティブにはり、運用に重大な悪影響を及ぼしかねません。HA ペア間のリンクの重要な側面は、リンクがダウンした場合の復元能力です。復元は、設計によってはネットワークの安定性にとって欠かせません。

図 4-9 に、HA CAS の構成例における基本的な接続の例を示します。

図 4-9 CAS のハイ アベイラビリティ構成例

 


) 「プライマリ」および「セカンダリ」は、HA 用に設定されたときのサーバのモードを示します。「アクティブ」および「スタンバイ」はサーバの実行時ステータスを示します。


最初に HA ピアを設定するとき、HA プライマリ CAS と HA セカンダリ CAS を指定する必要があります。まず、HA プライマリ CAS がアクティブ CAS になり、HA セカンダリ CAS がスタンバイ(パッシブ)CAS になります。フェールオーバー イベントが発生し、このアクティブ CAS がシャットダウンするか、ピアのハートビート信号への応答を停止した場合、スタンバイ CAS はアクティブ CAS の役割を引き継ぎます。


) HA 構成の HA プライマリ CAS と HA セカンダリ CAS の両方で設定が失われた場合は、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.7(1)』の「Restoring Configuration from CAM Snapshot In HA Deployment」に記載されているガイドラインを使用して、システムを復元することができます。


CAS は再起動時に、ピアがアクティブであるかどうかを調べます。ピアがアクティブである場合、起動中の CAS はスタンバイになります。ピアがアクティブでない場合、起動中の CAS がアクティブの役割を担います。

一般的に、CAS は HA ペアとして同時に設定されます。ただし、新しい CAS を既存のスタンドアロン CAS に追加してハイアベイラビリティ ペアを作成することもできます。このペアを 1 つのエンティティとしてネットワークおよび Clean Access Manager(CAM)に認識させるには、ペアの信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)にサービス IP アドレスを指定する必要があります。

CAS のサービス IP を使用して CAS を CAM に追加します。図 4-10 は、HA ペアのアクティブ CAS が、CAM Web コンソールの [List of Servers] でペアのサービス IP の横のカッコに表示される様子を示します。さらに、信頼できるインターフェイスまたは信頼できないインターフェイスのサービス IP アドレスを使用して、SSL 認証を生成する必要があります。

図 4-10 HA ペアのアクティブ CAS

 


) CAS が事前に設定され、スタンドアロン CAS として CAM に追加されている場合、HA 用に設定する前に CAS を削除する必要があります。両方の CAS で HA 構成が完了したら、サービス IP を [New Server] フォームで入力し、HA CAS ペアを CAM に追加します。



) ハートビートの冗長性を保証するには、構成内の HA CAS 間にオプションのハートビート UDP インターフェイス 2 または 3 を設定することを推奨します。


フェールオーバー イベント

複数のハートビート UDP インターフェイスが設定されている場合、それらすべてに障害が発生するとスタンバイ システムは処理を引き継ぎます。詳細については、「物理的な接続」を参照してください。

CAS が CAM と通信できない場合、次のようになります。

すでに接続しているユーザは影響を受けません。

新規のユーザはログインできません。

リンクベースのフェールオーバーを設定できます。リンク検出用に CAS の外部の 2 つの IP アドレスが設定されます。1 つは信頼できるネットワーク上にあり、もう 1 つは信頼できないネットワーク上にあります。

アクティブおよびスタンバイ CAS は eth0 経由で ICMP ping パケットを信頼できるネットワーク上の IP アドレスに送信します。

アクティブおよびスタンバイ CAS は eth1 経由で ICMP ping パケットを信頼できないネットワーク上の IP アドレスに送信します。


) ネットワーク トポロジによって CAS HA ペア アプライアンス間のリンク検出機能が制限される場合は、/etc/ha.d/linkdetect.conf ファイルを使用して、eth0 または eth1 インターフェイスに対してリンク検出動作を強制することができます。詳細については、「リンク検出インターフェイス」を参照してください。


これらの ping パケットの状態がハートビート信号を介して CAS の間で伝達されます。

アクティブおよびスタンバイ CAS が 両方の外部 IP に ping を実行できる場合、フェールオーバーは発生しません。

アクティブおよびスタンバイ CAS が 外部 IP のいずれかに ping を実行できない場合、フェールオーバーは発生しません。

アクティブ CAS が 外部 IP のいずれかに ping を実行できず、スタンバイ CAS が ping を実行できる場合、フェールオーバーが発生します。

CAM も CAS もハード ドライブの障害時には自動的にリブートするように設計されているため、スタンバイ CAM または CAS への自動的なフェールオーバーが開始されます。

リンクベースのフェールオーバー用外部 IP の選択

CAS がトラフィックを開始したときに、パケットがデフォルト ゲートウェイ宛てでない限り、通常は信頼できない(eth1)インターフェイスからパケットが送信されます。そのため、eth0 インターフェイス経由で ping を実行する、CAS の信頼できるネットワークの外部 IP を選択する場合、CAS サブネット以外のサブネットに属する IP を選択します。

eth1 インターフェイス経由で ping を実行する、CAS の信頼できないネットワークの外部 IP を選択する場合、次の点に注意してください。

この IP は CAS 管理サブネット上にある必要があります。

CAS のデフォルト ゲートウェイであってはなりません。

CAS はこれらの ping パケットを eth1 インターフェイスから送信します。

eth1 インターフェイスで [Set Management VLAN ID] がイネーブルであるか確認します。このオプションがイネーブルでない場合、CAS は eth1 インターフェイス上でタグ付けせずにトラフィックを送信します。スイッチは、これらのパケットをネイティブ VLAN で受信する必要があるかどうか判断します。したがって、信頼できないインターフェイスでは、ネイティブ VLAN が転送されます。

外部 IP アドレスは CAS 管理サブネット内にありますが、信頼できない側にあるので、トラフィックはネイティブ VLAN の CAS から発信します。したがって、ネイティブ VLAN は外部 IP アドレスに向けて転送されます。

設定の詳細については、「c. HA プライマリ モードの設定および更新」および「c. HA セカンダリ モードの設定および更新」を参照してください。

CAS ハイ アベイラビリティの要件

ここでは、ハイ アベイラビリティを実装する場合のその他の検討上の考慮事項について説明します。


) 信頼できる(eth0)側で NAT を使用した CAS HA 配置では、-Dperfigo.nat.serviceip=<NAT 適用後のサービス IP または CAS サービス ホスト名> プロパティを、プライマリ CAS とセカンダリ CAS の両方で、starttomcat ファイルと restartweb ファイルで設定する必要があります。

たとえば、-Dperfigo.nat.serviceip=172.10.20.100 のように設定します。


物理的な接続

CAS のハイアベイラビリティ ペアのフェールオーバー ハートビート 専用 の接続を使用することを推奨します。次のものを使用できます。

専用のイーサネット NIC カード(CAS の eth2 または eth3 インターフェイスとして設定)


) 専用のイーサネット インターフェイス(たとえば eth2 または eth3)がサーバ マシンで利用できない場合は、eth0 および eth1 をハートビート UDP インターフェイスとして使用できます(ただし、この機能は、CAS をバーチャル ゲートウェイ モードで配置しており、かつ eth0 インターフェイスと eth1 インターフェイスの IP アドレスが同じ場合には適用されません)。「ハートビート UDP インターフェイスの選択および設定」を参照してください。


追加のネットワーク インターフェイス(たとえば eth2 や eth3)が利用できる場合は、それを eth0 の代わりに UDP ハートビートで使用できます。この場合は、2 つのマシンの eth2 または eth3 インターフェイスをクロス ケーブルで接続します。別のイーサネット インターフェイスを導入する場合は、インターフェイスの IP アドレスを設定します。手順については、「NIC カードの追加設定」を参照してください。

OOB 配置のスイッチ インターフェイス

アウトオブバンド配置の場合、CAS および CAM の接続先となるスイッチ インターフェイスでポート セキュリティがイネーブルでないことを確認します。ポート セキュリティがイネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

サービス IP アドレス

各 CAS の信頼できるインターフェイスおよび信頼できないインターフェイスの IP アドレスのほかに、CAS ペアの信頼できるインターフェイスおよび信頼できないインターフェイスのサービス IP アドレスを 2 つ指定する必要があります(設定例については、図 4-9 を参照してください)。サービス IP アドレスは、外部ネットワークがペアのアドレス指定に使用する共通の IP アドレスです。

さらに、信頼できるインターフェイスまたは信頼できないインターフェイスのサービス IP アドレスを使用して、SSL 認証を生成する必要があります。CAS が事前に設定され、スタンドアロン CAS として CAM に追加されている場合、HA 用に設定する前に CAS を削除する必要があります。

両方の CAS で HA 構成が完了したら、[New Server] フォームでサービス IP を使用して、HA CAS ペアを CAM に追加します。HA CAS ペアは自動的に同じサーバ タイプとして追加されることに注意してください(たとえば、アウトオブバンド バーチャル ゲートウェイ)。

ホスト名

各 CAS には、ハートビートのために一意なホスト名(またはノード名)が必要です。HA CAS ペアの場合、このホスト名をピアに提供し、DNS を介して解決するか、ピアの /etc/hosts ファイルに追加する必要があります。

DHCP 同期

HA ペアとしての構成において DHCP 機能も実行する 2 つの CAS を設定した場合、Cisco NAC アプライアンスは HA プライマリ CAS と HA セカンダリ CAS との間で必要な鍵を自動的に同期化および交換するので、フェールオーバー イベントの後で DHCP は適切に動作できます。

SSL 証明書

HA モードの CAS は、スタンドアロン モードの場合と同様に、自己署名付きの一時証明書または CA(認証局)署名付きの証明書のいずれかを使用できます。一時証明書は、テストまたは開発の場合に便利です。運用配置には、CA 署名付き証明書が必要です。いずれの場合も、次の考慮事項があります。

1. 一時証明書および CA 署名付き証明書では、(信頼できるインターフェイスまたは信頼できないインターフェイスの)サービス IP アドレスを使用したり、証明書ドメイン名としてドメイン名を使用することができます。

2. ドメイン名を使用して証明書を作成する場合は、DNS でサービス IP にドメイン名を対応付ける必要があります。証明書でドメイン名を使用しない場合は、DNS マッピングは不要です。

3. 一時証明書の場合は、CAS の 1 つで一時証明書を生成してから、CAS 間で転送します。

4. CA 署名付き証明書の場合は、ペア内の CAS ごとに CA 署名付き証明書をインポートする必要があります。


) CA 署名付き証明書は、サービス IP か、DNS を介してサービス IP に解決可能なホスト名またはドメイン名のいずれかに基づいている必要があります。



) CAS はフェールオーバー時にセッション情報を CAM から取得します。たとえば、ユーザ A がシステムにロール B でログインしている場合、フェールオーバーが発生しても、ユーザ A はログインしたままとなり、ロール B で指定されたアクセスが可能です。

CAS が DHCP サーバになっておりフェールオーバーが発生した場合も、ユーザ A に割り当てられた IP アドレスは保持されます。これは、HA CAS 同士が、DHCP フェールオーバー情報を直接交換するためです。



) HA CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS に対して行った CAS ネットワークの設定変更は、HA セカンダリ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』および「CAS ハイ アベイラビリティ設定の変更」を参照してください。


準備

1. 作業を開始する前に、両方の CAS がインストールされていて、ネットワークを介してアクセスできることを確認します。「CAS の初期設定の実行」を参照してください。

2. HA ペアの 2 つの CAS は、ハートビート機能と同期機能をサポートするために、レイヤ 2 で隣接している必要があります。

3. CSA が CAM の管理ドメインにすでに追加されている場合は、削除する必要があります。CAS を削除するには、[List of Servers] タブの [Delete] ボタンを使用します。

図 4-11 List of Servers

 


) Cisco NAC アプライアンスの Web コンソールは、Internet Explorer 6.0 および 7.0 のブラウザをサポートします。


ハートビート UDP インターフェイスの選択および設定


) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、[Heartbeat Serial Interface] 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


ハートビート UDP インターフェイスが指定されている場合は、ハイ アベイラビリティに関連する UDP ハートビート トラフィックがこのインターフェイスを使用して送信されます。使用されるインターフェイスは、サーバ マシンで使用可能なインターフェイス、および予測される負荷レベルによって決まります。このインターフェイスには、専用のイーサネット インターフェイス(eth2 や eth3 など)を使用するか、専用インターフェイスを使用できない場合は信頼できるインターフェイス(eth0)を使用できます。

追加のイーサネット インターフェイスを使用する場合は、CAS CLI を使用してインターフェイスを手動で設定する必要があります。CAS Web コンソールでは、eth2 または eth3 の設定(IP アドレス、ネットマスクなど)を行うことはできません。手順については、「NIC カードの追加設定」を参照してください。専用インターフェイスを使用する場合は、両方のマシンの専用インターフェイスをクロス ケーブルで接続する必要があります。

一般に、CAS が稼動しているサーバでは、eth0 を信頼できるネットワークのインターフェイスとして設定した状態で、使用可能なインターフェイス(eth0 または eth1)を両方とも使用します。ハートビートに冗長性を持たせるため、eth2 および eth3 インターフェイスを使用することを推奨します。そうすることで、eth0 および eth1 インターフェイスは Cisco NAC アプライアンスのトラフィックの処理に専念できるようになります。


) eth0 を UDP ハートビート インターフェイスとして使用する場合、CAS の管理インターフェイスが他のユーザ トラフィックのある VLAN 上ではなく、自身の VLAN 内にあることを確認します。これは、同じ物理インターフェイス上でフェールオーバー ハートビートを実行するときに、管理トラフィックを分割し保護できる一般的なベスト プラクティスです。


シリアル ポートの HA 接続

CAS ソフトウェアが稼動するマシンごとにシリアル ポートが 2 つある場合は、そのうちの 1 つをシリアル ケーブル接続に使用します。

デフォルトでは、サーバで検出された最初のシリアル コネクタがコンソール入出力用に設定されます(インストールおよびその他のタイプの管理アクセス用)。

警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『 Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access) 』を参照してください。

ハイ アベイラビリティ モードが選択されている場合、シリアル コンソール ログイン(ttyS0)は自動的にディセーブルになり、シリアル ポートが HA モード用に解放されます。ttyS0 をコンソール ログインとして再びイネーブルにするには、[Failover] > [General] タブの [Disable Serial Login] チェックボックスをオフにし、[Update]、[Reboot] の順にクリックします。詳細については、「c. HA プライマリ モードの設定および更新」および「c. HA セカンダリ モードの設定および更新」を参照してください。

ハイ アベイラビリティの設定


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に実装された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていません。


ここでは、ハイ アベイラビリティを設定する 5 つの一般的な手順を示します。

ステップ 1:「HA プライマリ CAS の設定」

ステップ 2:「HA セカンダリ CAS の設定」

ステップ 3:「CAS の接続および設定の完了」

ステップ 4:「HA CAS ペアのフェールオーバー」


) 「プライマリ」および「セカンダリ」は、HA 用に設定されたときのサーバのモードを示します。
「アクティブ」および「スタンバイ」はサーバの実行時ステータスを示します。


a.プライマリ CAS のダイレクト アクセス

CAS にはそれぞれ独自の Web 管理コンソールがあり、CAS の特定の管理設定値を直接設定できます。HA の CAS ペアを設定するには、CAS ダイレクト アクセス Web コンソールを使用する必要があります。

HA プライマリ CAS のダイレクト アクセス Web 管理コンソールにアクセスする手順は、次のとおりです。

1. Web ブラウザを開き、URL またはアドレス フィールドに CAS の信頼できる(eth0)インターフェイスの IP アドレス https://<primary_CAS_eth0_IP_address>/admin を入力します(たとえば https://172.16.1.2/admin )。

2. 一時証明書を受け入れ、初期設定時に指定した Web コンソール パスワードを使用してユーザ admin としてログインします。


) • 設定フォームとの間で値をコピー アンド ペーストするために、各 CAS(プライマリとセカンダリ)の Web コンソールは開いたままにしておくことを推奨します。また、「a. HA セカンダリ CAS のダイレクト アクセス」も参照してください。

セキュリティのために、CAS のデフォルト パスワードを変更することを推奨します。


 

b.HA プライマリ CAS のホスト情報の設定

3. [Network Settings] リンクをクリックしてから、[DNS] タブをクリックします。

4. [Host Name] フィールドに、HA プライマリ CAS のホスト名を入力します。[Host Domain] フィールドに cisco.com などのドメインが入力されていることを確認します。必要に応じて、ドメインを追加し、[Update] をクリックします。


) HA を設定するときには、HA ペアの各マシンのホスト名を必ず指定します。ホスト名では大文字と小文字が区別され、IP アドレスは指定できません。ホスト名は、HA プライマリと HA セカンダリの設定の [Local Host Name] フィールドと [Peer Host Name] フィールドで必要になります。[Local Host Name] と [Peer Host Name] は DNS で解決可能である必要はありませんが、大文字と小文字が区別され、マシンに対して指定したホスト名に一致する必要があります。


図 4-12 [DNS] タブ

 

c. HA プライマリ モードの設定および更新

5. [Failover] > [General] タブをクリックし、[Clean Access Server Mode] ドロップダウン メニューで [HA-Primary Mode] を選択します。

図 4-13 [Failover]:モード選択

 

6. 表示される [HA-Primary Mode] フォームの次のフィールドに値を入力します。

図 4-14 [Failover]:[HA-Primary Mode]

 

[Trusted-side Service IP Address]:信頼できるネットワークからペアをアドレス指定する場合の共通 IP アドレス(図 4-9 の例では 10.201.2.112)。

[Untrusted-side Service IP Address]:信頼できない(管理対象)ネットワークのペアに対する共通アドレス(例では 10.201.50.243)。

[Trusted-side Link-detect IP Address]:IP アドレス(上流のルータなど)をこのフィールドに任意で入力すると、CAS はこの外部アドレスに ping を試みます。一般的に、HA プライマリ CAS と HA セカンダリ CAS の両方で同じ信頼できる側のリンク検出アドレスを入力しますが、ネットワーク トポロジが異なれば CAS ごとに異なるアドレスを指定できます。

[Untrusted-side Link-detect IP Address]:IP アドレス(下流のスイッチなど)をこのフィールドに任意で入力すると、CAS はこの外部アドレスに ping を試みます。HA プライマリ CAS と HA セカンダリ CAS の両方で、同じまたは異なる信頼できない側のリンク検出アドレスを入力できます。


) ネットワーク トポロジによって CAS HA ペア アプライアンス間のリンク検出機能が制限される場合は、/etc/ha.d/linkdetect.conf ファイルを使用して、eth0 または eth1 インターフェイスに対してリンク検出動作を強制することができます。詳細については、「リンク検出インターフェイス」を参照してください。


[Link-detect Timeout (seconds)]:これは CAS が信頼できる側または信頼できない側のリンク検出アドレス IP アドレスに ping を試行する時間の長さを設定します。26 秒以上の時間を入力することを推奨します。CAS が指定された時間の間ノードに ping を実行できない場合、ノードは ping 不可と見なされます。


) UDP 設定のほかに、信頼できる側または信頼できない側のリンク障害にフェールオーバー イベントとして応答するよう CAS を設定することもできます。CAS は、指定された信頼できるまたは信頼できないリンク検出アドレスに ping を試行し、到達可能なノード数をカウントします。

0:アドレスなし

1:信頼できる、または信頼できないのいずれか

2:信頼できるおよび信頼できないの両方

スタンバイ CAS がアクティブ CAS よりも多くのノードに到達できた場合、スタンバイ CAS はアクティブ CAS の役割を引き継いでアクティブ CAS になります。両方の CAS が同じ数のアドレス(すべてのアドレスまたはアドレス 1 つのみ)に ping を実行できる場合、どちらの CAS も優位にないのでフェールオーバー イベントは発生しません。リンク検出をイネーブルにするには、各 CAS で少なくとも 1 つのリンク検出 IP アドレスとリンク検出タイムアウトを入力します。詳細については、「リンクベースのフェールオーバー用外部 IP の選択」を参照してください。



) スタンバイ CAS は、eth 0 または eth1 インターフェイスがダウンしても、他の使用可能なハートビート インターフェイス(たとえばシリアルや eth2)経由でアクティブ CAS からのハートビート パケットを受信できる場合があります。スタンバイ CAS がハートビート タイマーだけを使用してステートフル フェールオーバーを行う場合、アクティブ CAS がその主要な機能を実行できなくなっても、スタンバイ CAS がアクティブ ロールの役割を引き継ぐことはありません。リンクベースのフェールオーバーが設定されている場合、アクティブおよびスタンバイの CAS は eth0 と eth1 のステータスをハートビート インターフェイス経由で交換するため、これら 2 つのインターフェイスのうちいずれかがダウンした場合、アクティブ CAS からのハートビートがフェールオーバー イベントを起動しなくても、スタンバイ CAS はアクティブ ロールの役割を引き継ぐことができます。

CAS は、同じ間隔(約 1 ~ 2 秒ごと)でハートビート接続とリンク検出(任意)を実行します。


[[Primary] Local Host Name]:HA プライマリ CAS では、[Administration] > [Network Settings] > [DNS | Host Name] の設定値がデフォルトで設定されます(図 4-12 では「rjcas_1」)。

[[Primary] Local Serial No]:HA プライマリ CAS ではデフォルトで設定されます。CAM では、この CAS がローカル シリアル番号で識別されます(eth0 または eth1 の MAC アドレスで構成されます)。HA CAS ペアでは、プライマリ CAS のシリアル番号は、CAM データベースでこの CAS 特有の設定情報すべてを関連付けるためのキーとして使用されます。

[[Primary] Local MAC Address](信頼できる側のインターフェイス):デフォルトで、HA プライマリ CAS の eth0 インターフェイスの MAC アドレスが設定されます。

[[Primary] Local MAC Address](信頼できない側のインターフェイス):デフォルトで HA プライマリ CAS の eth1 インターフェイスの MAC アドレスが設定されます。


) • [[Primary] Local Host Name]、[[Primary] Local Serial No]、および [[Primary] Local MAC Address](信頼できる側/信頼できない側)の値は、テキスト ファイルにコピー アンド ペーストできます。これらの値は、あとで HA セカンダリ CAS を設定する際に必要になります。

HA セカンダリ CAS 情報を HA プライマリ CAS のフォームに入力するには、HA セカンダリ CAS Web コンソールの対応するフィールドからコピー アンド ペーストします。


 

[[Secondary] Peer Host Name]:HA セカンダリ CAS ピアのホスト名(例では「rjcas_2」)。セカンダリ ピア ホスト名では、大文字と小文字が区別され、ピア マシンの [DNS] タブ([Administration] > [Network Settings] > [DNS] | [Host Name])で指定された [Host Name] に正確に一致する必要があります。

[[Secondary] Peer MAC Address](信頼できる側のインターフェイス):HA セカンダリ CAS の信頼できる(eth0)側のピア MAC アドレスです。

[[Secondary] Peer MAC Address](信頼できない側のインターフェイス):HA セカンダリ CAS の信頼できない(eth1)側のピア MAC アドレスです。

[Heartbeat UDP Interface 1]:eth0 をこの CAS のフェールオーバー IP インターフェイスとして指定します。専用のイーサネット接続が利用できない場合。

[[Secondary] Heartbeat IP Address on eth0]:HA セカンダリ CAS の信頼できるインターフェイス(eth0)の IP アドレス。

[Heartbeat UDP Interface 2] eth1 をこの CAS のフェールオーバー IP インターフェイスとして指定します。プライマリ フェールオーバー ハートビート接続として eth0 を使用するように CAS HA システムを設定する場合、eth1 インターフェイスを冗長なハートビート モニタとして使用することもできます。

[[Secondary] Heartbeat IP Address on eth1]:HA セカンダリ CAS の信頼できないインターフェイス(eth1)の IP アドレス。

[Heartbeat UDP Interface 3]:N/A、eth2、eth3 の中から選択できます。専用のイーサネット接続を使用できない場合は、CAS を HA モードで設定するときに、ハートビート UDP インターフェイスに eth0 または別のイーサネット インターフェイスを使用することを推奨します。


) eth2 インターフェイスまたは eth3 インターフェイスを [Heartbeat UDP Interface 3] として指定する場合、CAS CLI を使用してインターフェイスを手動で設定する必要があります。CAS Web コンソールでは、eth2 または eth3 の設定(IP アドレス、ネットマスクなど)を行うことはできません。手順については、「NIC カードの追加設定」を参照してください。


[[Secondary] Heartbeat IP Address on Interface 3]:HA セカンダリ CAS で設定されている第 3 のフェールオーバー ハートビート リンクの IP アドレス。


) 追加のイーサネット インターフェイスの少なくとも 1 つを HA プライマリ CAM に設定して、HA セカンダリ CAM のピア インターフェイスとの接続を行い、HA の動作をサポートします。HA のシナリオでは、設定したイーサネット インターフェイスは、プライマリ CAS とセカンダリ CAS との間のデータ同期用のメディアとして動作します。



) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、[Heartbeat Serial Interface] 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


[Heartbeat Timeout (seconds)]:15 秒よりも大きい値を選択します。


) HA ペアとして構成された 2 つの CAS が同時にリブートし(たとえば、停電後、電源が復帰した場合)、両方の CAS が HA ペア内のアクティブ CAS として起動するのを回避するために、[Heartbeat Timeout] の値を 30 秒より長くすることを推奨します。このシナリオで考えられるネットワークへの影響は、ネットワークをすぐにダウン状態にするレイヤ 2 ブロードキャスト ループが 2 つの「アクティブ」CAS によって生じることです。

このシナリオを回避するために使用できる別の方法は、CAS の HA ペア ノードの間でハートビート モニタリングのために追加のイーサネット インターフェイス リンク(eth2、eth3)を使用することです。詳細については、上記の「Heartbeat UDP Interface 2」および「Heartbeat UDP interface 3」と、「NIC カードの追加設定」を参照してください。


[Update]:CAS をリブートせずに HA 設定情報を更新します。

[Reboot]:HA プライマリ CAS 設定の終了時に CAS をリブートする場合に使用します(この時点では、[Reboot] をクリック しないでください )。

d.SSL 証明書の設定

7. HA プライマリ CAS の SSL 証明書を設定します。[Administration] > [SSL] > [X509 Certificate] の順番に進みます。

図 4-15 [Administration] > [SSL] > [X509 Certificate]

 

8. 一時証明書、自己署名付き証明書、CA 署名付き証明書のどれを使用するかに応じて、次の手順の 1 つを実行します。

HA ペアに一時証明書を使用する場合:

a. [Generate Temporary Certificate] をクリックし、フォームのすべてのフィールドに情報を入力して、[Generate] をクリックします。証明書には、HA ペアのサービス IP アドレスを対応付ける必要があります。

b. 一時証明書の生成が終了したら、証明書と秘密鍵のチェックボックスをクリックし、テーブル中で強調表示します。

c. [Export] をクリックして証明書と秘密鍵をローカル マシンに保存します。証明書と秘密鍵はあとで HA セカンダリ CAS を設定するときにインポートする必要があります。

HA ペアに CA 署名付き証明書を使用する場合:


) このプロセスでは、Certificate Signing Request(CSR; 証明書署名要求)と対応する秘密鍵をすでに生成してあり、要求を Certificate Authority(CA; 認証局)に送信済みで、CA 署名付き証明書を受信してあるものとします。CAS 用の CA 署名付き証明書をまだ取得していない場合、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1)』の「Manage CAS SSL Certificates」に記載された手順に必ず従ってください。


a. [Browse] をクリックし、ローカル マシン上の CA 署名付き証明書と秘密鍵が格納されているディレクトリに移動します。

b. [Import] をクリックします。あとで、この証明書を HA セカンダリ CAS にインポートする必要があります。


) CA 署名付き証明書は、サービス IP か、DNS を介してサービス IP に解決可能なホスト名またはドメイン名のいずれかに基づいている必要があります。


e. HA プライマリ CAS のリブート

9. CAS ダイレクト アクセス インターフェイス([Network Settings] > [Failover] > [General] > [Reboot] ボタン)または CAM Web コンソール([Administration] > [CCA Manager] > [Network] > [Reboot] ボタン)で CAS を リブート します。

f.サービス IP を使用した CAM への CAS の追加

10. CAM Web コンソールで、[Device Management] > [CCA Servers] > [New Server] に進み、 サーバ IP アドレスとしてペアのサービス IP(10.201.2.112)を使用して CAS を CAM に追加します。

11. DHCP 設定など、必要なその他の設定値を設定して、CAS の実行時動作を制御します。

12. CAS の信頼できないインターフェイスに接続されたコンピュータから信頼できない(管理対象)ネットワークにログインして、設定をテストします。次のステップには、ネットワークへのアクセスに成功した場合だけ進んでください。

HA セカンダリ CAS の設定


) Cisco Integrated Services Routers(ISR; サービス統合型ルータ)に実装された Cisco NAC ネットワーク モジュールはハイ アベイラビリティをサポートしていません。


HA セカンダリ CAS を設定する一般的な手順は、次のとおりです。

「a. HA セカンダリ CAS のダイレクト アクセス」

「b. HA セカンダリ CAS のホスト情報の設定」

「c. HA セカンダリ モードの設定および更新」

「d. SSL 証明書の設定」

「e. HA セカンダリ CAS のリブート」

a. HA セカンダリ CAS のダイレクト アクセス

1. Web ブラウザを開き、URL またはアドレス フィールドに HA セカンダリ CAS の信頼できる(eth0)インターフェイスの IP アドレスを https://<standby_CAS_eth0_IP_address>/admin (例: https://172.16.1.3/admin )のように入力して、HA セカンダリ CAS の Web コンソールにアクセスします。

2. ユーザ admin でログインし正しいパスワードを入力します。


) • 設定フォームとの間で値をコピー アンド ペーストするために、各 CAS(プライマリとセカンダリ)の Web コンソールは開いたままにしておくことを推奨します。また、「a.プライマリ CAS のダイレクト アクセス」も参照してください。

セキュリティのために、CAS のデフォルト パスワードを変更することを推奨します。


 

b. HA セカンダリ CAS のホスト情報の設定

3. [Network Settings] ページの [DNS] タブを開きます。

4. ホスト名が HA セカンダリ CAS の一意のホスト名であることを確認します(たとえば「rjcas_2」)。このタブで指定するドメイン名は、プライマリ CAS に対して指定したドメイン名と同じでなければなりません(「b.HA プライマリ CAS のホスト情報の設定」を参照)。


) HA を設定するときには、HA ペアの各マシンのホスト名を必ず指定します。ホスト名では大文字と小文字が区別され、IP アドレスは指定できません。ホスト名は、HA プライマリと HA セカンダリの設定の [Local Host Name] フィールドと [Peer Host Name] フィールドで必要になります。[Local Host Name] と [Peer Host Name] は DNS で解決可能である必要はありませんが、大文字と小文字が区別され、マシンに対して指定したホスト名に一致する必要があります。


c. HA セカンダリ モードの設定および更新

5. [Failover] > [General] タブをクリックし、[Clean Access Server Mode] ドロップダウン メニューで [HA-Secondary Mode] を選択します。

図 4-16 [Failover]:[HA-Secondary Mode]

 

6. [HA-Secondary] フォームで、次のフィールドに入力します。

[Trusted-side Service IP Address]: 信頼できるネットワーク からペアをアドレス指定する場合の IP アドレス。プライマリ CAS と同じ値を使用します(図 4-9 の例では 10.201.2.112)。

[Untrusted-side Service IP Address]: 信頼できない (管理対象)ネットワークからペアをアドレス指定する場合の IP アドレス。プライマリ CAS と同じ値を使用します(例では 10.201.50.243)。

[Trusted-side Link-detect IP Address](任意):IP アドレス(上流のルータなど)をこのフィールドに任意で入力した場合、CAS はこのアドレスに ping を試みます。一般的に、HA プライマリ CAS と HA セカンダリ CAS の両方で同じ信頼できる側のリンク検出アドレスを入力しますが、ネットワーク トポロジが異なれば CAS ごとに異なるアドレスを指定できます。

[Untrusted-side Link-detect IP Address](任意):IP アドレス(下流のスイッチなど)をこのフィールドに任意で入力すると、CAS はこの外部アドレスに ping を試みます。HA プライマリ CAS と HA セカンダリ CAS の両方で、同じまたは異なる信頼できない側のリンク検出アドレスを入力できます。


) ネットワーク トポロジによって CAS HA ペア アプライアンス間のリンク検出機能が制限される場合は、/etc/ha.d/linkdetect.conf ファイルを使用して、eth0 または eth1 インターフェイスに対してリンク検出動作を強制することができます。詳細については、「リンク検出インターフェイス」を参照してください。


[Link-detect Timeout (seconds)](任意):これは CAS が信頼できる側または信頼できない側のリンク検出アドレス IP アドレスに ping を試行する時間の長さを設定します。26 秒以上の時間を入力します。CAS が指定された時間の間ノードに ping を実行できない場合、ノードは ping 不可と見なされます。


) スタンバイ CAS は、eth 0 または eth1 インターフェイスがダウンしても、他の使用可能なハートビート インターフェイス(たとえばシリアルや eth2)経由でアクティブ CAS からのハートビート パケットを受信できる場合があります。スタンバイ CAS がハートビート タイマーだけを使用してステートフル フェールオーバーを行う場合、アクティブ CAS がその主要な機能を実行できなくなっても、スタンバイ CAS がアクティブ ロールの役割を引き継ぐことはありません。リンクベースのフェールオーバーが設定されていると、アクティブおよびスタンバイの CAS は eth0 と eth1 のステータスをハートビート インターフェイス経由で交換するため、これら 2 つのインターフェイスのうちいずれかがダウンした場合、アクティブ CAS からのハートビートがフェールオーバー イベントを起動しなくても、スタンバイ CAS はアクティブ ロールの役割を引き継ぐことができます。

詳細については、「リンクベースのフェールオーバー用外部 IP の選択」を参照してください。


[[Secondary] Local Host Name]:HA セカンダリ CAS では、[Administration] > [Network Settings] > [DNS] | [Host Name] の設定値がデフォルトで設定されます(例では「rjcas_2」)。

[[Secondary] Local Serial No]:HA セカンダリ CAS ではデフォルトで設定されます。

[[Secondary] Local MAC Address](信頼できる側のインターフェイス):デフォルトで、HA セカンダリ CAS の eth0 インターフェイスの MAC アドレスが設定されます。

[[Secondary] Local MAC Address](信頼できない側のインターフェイス):デフォルトで HA セカンダリ CAS の eth1 インターフェイスの MAC アドレスが設定されます。


) • [[Secondary] Local Host Name]、[[Secondary] Local Serial No.]、および [[Secondary] Local MAC Address](信頼できる/信頼できない)の値は、テキスト ファイルにコピー アンド ペーストできます。これらの値は、HA プライマリ CAS を設定する場合に必要です。

HA プライマリ CAS 情報を HA セカンダリ CAS のフォームに入力するには、HA プライマリ CAS Web コンソールの対応するフィールドからコピー アンド ペーストします。


 

[[Primary] Peer Host Name]:HA プライマリ CAS のホスト名を入力します(図 4-12 では「rjcas_1」)。[[Primary] Peer Host Name] では、大文字と小文字が区別され、ピア マシンの [DNS] タブ([Administration] > [Network Settings] > [DNS] | [Host Name])で指定された ホスト名に正確に一致する必要があります。

[[Primary] Peer Serial No]:HA プライマリ CAS のシリアル番号。HA セカンダリ CAS がアクティブになると、CAS 設定情報にアクセスするため、HA プライマリ CAS のシリアル番号を使用して CAM に対して識別する必要があります。

[[Primary] Peer MAC Address](信頼できる側のインターフェイス):HA プライマリ CAS の信頼できる(eth0)側のピア MAC アドレス。

[[Primary] Peer MAC Address](信頼できない側のインターフェイス):HA プライマリ CAS の信頼できない(eth1)側のピア MAC アドレス。

[Heartbeat UDP Interface 1]:eth0 をこの CAS のフェールオーバー IP インターフェイスとして指定します。専用のイーサネット接続を使用できない場合は、CAS を HA モードで設定するときに、ハートビート UDP インターフェイスに eth0 を使用することを推奨します。

[[Primary] Heartbeat IP Address on eth0]:HA プライマリ CAS の信頼できるインターフェイス(eth0)側の IP アドレス。

[Heartbeat UDP Interface 2]:eth1 をこの CAS のフェールオーバー IP インターフェイスとして指定します。プライマリ フェールオーバー ハートビート接続として eth0 を使用するように CAS HA システムを設定する場合、eth1 インターフェイスを冗長なハートビート モニタとして使用することもできます。

[[Primary] Heartbeat IP Address on eth1]:HA プライマリ CAS の信頼できないインターフェイス(eth1)の IP アドレス。

[Heartbeat UDP Interface 3]:N/A、eth2、eth3 の中から選択できます。専用のイーサネット接続を使用できない場合は、CAS を HA モードで設定するときに、ハートビート UDP インターフェイスに eth0 または別のイーサネット インターフェイスを使用することを推奨します。


) eth2 インターフェイスまたは eth3 インターフェイスを [Heartbeat UDP Interface 3] として指定する場合、CAS CLI を使用してインターフェイスを手動で設定する必要があります。CAS Web コンソールでは、eth2 または eth3 の設定(IP アドレス、ネットマスクなど)を行うことはできません。手順については、「NIC カードの追加設定」を参照してください。


[[Primary] Heartbeat IP Address on Interface 3]:HA プライマリ CAS で設定されている第 3 のフェールオーバー ハートビート リンクの IP アドレス。


) 追加のイーサネット インターフェイスの少なくとも 1 つを HA プライマリ CAM に設定して、HA セカンダリ CAM のピア インターフェイスとの接続を行い、HA の動作をサポートします。HA のシナリオでは、設定したイーサネット インターフェイスは、プライマリ CAS とセカンダリ CAS との間のデータ同期用のメディアとして動作します。



) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、[Heartbeat Serial Interface] 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


[Heartbeat Timeout (seconds)]:15 秒よりも大きい値を選択します。


) HA ペアとして構成された 2 つの CAS が同時にリブートし(たとえば、停電後、電源が復帰した場合)、両方の CAS が HA ペア内のアクティブ CAS として起動するのを回避するために、[Heartbeat Timeout] の値を 30 秒より長くすることを推奨します。このシナリオで考えられるネットワークへの影響は、ネットワークをすぐにダウン状態にするレイヤ 2 ブロードキャスト ループが 2 つの「アクティブ」CAS によって生じることです。

このシナリオを回避するために使用できる別の方法は、CAS の HA ペア ノードの間でハートビート モニタリングのために追加のイーサネット インターフェイス リンク(eth2、eth3)を使用することです。詳細については、上記の「Heartbeat UDP Interface 2」および「Heartbeat UDP interface 3」と、「NIC カードの追加設定」を参照してください。


[Update]:CAS をリブートせずに HA 設定情報を更新します。

[Reboot]:HA プライマリ CAS 設定の終了時に CAS をリブートする場合に使用します(この時点では、[Reboot] をクリック しないでください )。

d. SSL 証明書の設定

7. HA セカンダリ CAS の SSL 証明書を設定します。[Administration] > [SSL] > [X509 Certificate] の順番に進み、以下の手順のいずれかを実行します。

HA ペアに一時証明書を使用する場合:

a. [Browse] をクリックし、以前 HA プライマリ CAS からエクスポートした一時証明書と秘密鍵を保存したローカル マシン上の場所を参照します。

b. 証明書ファイルを選択し、[Import] をクリックします。

c. この手順を繰り返して秘密鍵をインポートします。

HA ペアに CA 署名付き証明書を使用する場合:

a. [Browse] をクリックし、CA から受け取った CA 署名付き証明書と、HA プライマリ CAS からエクスポートした関連する秘密鍵を保存したローカル マシン上の場所を参照します。

b. CA 署名付き証明書ファイルを選択し、[Import] をクリックします。

c. この手順を繰り返して秘密鍵をインポートします。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Manage CAS SSL Certificates」を参照してください。

e. HA セカンダリ CAS のリブート

8. CAS ダイレクト アクセス インターフェイスの [Network Settings] > [Failover] > [General] で、[Reboot] ボタンをクリックして CAS をリブートします。

CAS の接続および設定の完了

1. HA プライマリ CAS マシンをシャットダウンし、 rjcas_1 および rjcas_2 マシンをシリアル ヌル モデム ケーブルで接続するか(空いているシリアル ポートを接続)、またはクロス ケーブルで接続します(フェールオーバー用の eth2 や eth3 など、イーサネット インターフェイスのペアを使用している場合に、イーサネット ポートを接続)。

2. CAM 管理コンソールを開きます。

3. [Device Management] > [CCA Servers] > [List of Servers] の順番に進みます。ハイ アベイラビリティ ペアのアクティブ CAS が、ペアに対応するサービス IP の横のカッコ内に表示されます(図 4-17 を参照)。HA プライマリ CAS は電源がオフになっているので、[List of Servers] のカッコ内に HA セカンダリ CAS の IP アドレスが表示され、ステータスが Connected になります。

図 4-17 HA ペアのアクティブ CAS

 

4. ペアの [Manage] ボタンをクリックします。HA セカンダリ CAS(現在はアクティブ CAS)の管理ページが表示されます。

5. CAS の信頼できないインターフェイスに接続されたクライアント コンピュータから、信頼できない(管理対象)ネットワークに許可ユーザとしてログオンして、設定をテストします。ログオンに成功した場合は、ログオンしたまま次のステップに進みます。

HA CAS ペアのフェールオーバー

HA システムをテストするには、次のステップを使用します。

1. HA プライマリ CAS マシンの電源を投入します。CAS が完全に起動し、機能していることを確認してから、先に進みます。

2. クライアント コンピュータからユーザ セッションをログオフし、信頼できない(管理対象)ネットワークにユーザとして再度ログオンします。

3. HA セカンダリ CAS マシンはアクティブで、ユーザにサービスを提供します。

4. HA セカンダリ CAS マシンをシャットダウンします。


) フェールオーバーをテストするマシンでは、「shutdown」または「reboot」の使用を推奨します。CLI コマンド を使用する場合も、service perfigo stopservice perfigo start の使用を推奨します。バーチャル ゲートウェイ CAS の場合、代わりに service perfigo maintenance を使用して CAS をメンテナンス モードにし、管理 VLAN へのネットワーク接続を可能にします。詳細については、「HA の便利な CLI コマンド」を参照してください。


5. 約 15 秒後に HA プライマリ CAS がアクティブ サーバになってサービスを提供し、ブラウズを継続できるようになります。

6. HA セカンダリ CAS マシン(スタンバイ サーバ)の電源を投入します。

7. CAM のイベント ログを調べます。CAS のステータスが正しく記録されている必要があります(例:「 rjcas_1 is dead.rjcas_2 is up 」)。

8. これで、ハイ アベイラビリティ設定のテストは完了です。

CAS ハイ アベイラビリティ設定の変更

ここでは、既存のハイ アベイラビリティ CAS ペアの設定を変更する手順について説明します。ハイアベイラビリティ ペアのサービス IP、サブネット マスク、またはデフォルト ゲートウェイを変更するには、CAM を更新して、CAS をリブートする必要があります。

また、サービス IP アドレスが変更されていて、CAS の SSL 証明書がこのサービス IP に基づいている場合は、ハイアベイラビリティ ペアの CAS ごとに新しい証明書を生成して、インポートする必要があります。SSL 証明書が CAS のホスト名に基づいている場合は、新しい証明書を生成する必要はありません。ただし、DNS サーバでそのホスト名の IP アドレスを変更する必要があります。

一般的な手順は次のとおりです。

1. 最初に CAM で CAS の設定を更新します(ただしリブートしません)。

2. プライマリ CAS のダイレクト アクセス Web コンソールで HA 設定を更新し、プライマリ CAS をリブートします。

3. プライマリ CAS のリブート中に、CAM の [List of Servers] でセカンダリ CAS がアクティブになるまで待機します。

4. セカンダリ CAS に対してステップ 1 ~ 3 を繰り返し、セカンダリ CAS をリブートします。

5. セカンダリ CAS のリブート中に、CAM でプライマリ CAS がアクティブになり、新しい設定が表示されます。

HA-CAS の IP 設定の変更手順

1. CAM Web 管理コンソールで、[Device Management] > [CCA Servers] の順番に進みます。

2. CAS の [Manage] ボタンをクリックします。

3. [Network] タブをクリックします。

4. 信頼できるインターフェイスまたは信頼できないインターフェイスの [IP Address]、[Subnet Mask]、または [Default Gateway] 設定を必要に応じて変更します。

5. [Update] ボタンだけをクリックします。


注意 この段階では、[Reboot] ボタンをクリックしないでください。

6. CAS の SSL 証明書が以前の IP アドレスに基づいている場合は、新たに設定された IP アドレスに基づく新しい SSL 証明書を生成する必要があります。この処理は、[Administration] > [SSL] > [X509 Certificate] で行うことができます。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.7(1) 』の「Manage CAS SSL Certificates」を参照してください。

7. SSL 証明書が CAS のホスト名に基づいていた場合は、新しい証明書を生成する必要はありません。ただし、DNS サーバでそのホスト名の IP アドレスを変更する必要があります。

8. 次に、以下の URL にアクセスして、 プライマリ CAS のダイレクト アクセス Web 管理コンソールを開きます。

https://<primary_CAS_eth0_IP_address>/admin
 

9. プライマリ CAS の IP フォームに、CAS Web コンソールの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] で行った変更内容が反映されます。

10. CAS ダイレクト アクセス コンソールで、[Network] > [Failover] > [General] タブをクリックします。

11. 必要に応じて以下の項目を変更します。

Trusted-side Service IP Address

Untrusted-side Service IP Address

[Secondary] Peer Host Name

[Secondary] Peer MAC Address(信頼できる側のインターフェイス)

[Secondary] Peer MAC Address(信頼できない側のインターフェイス)

[Secondary] Heartbeat IP Address

12. [Update] ボタンをクリックしてから、[Reboot] ボタンをクリックします。

13. CAM Web 管理コンソールから [Device Management] > [CCA Servers] の順番に進み、セカンダリ CAS がアクティブになるまで待機します(この処理に数分間かかることがあります)。ハイ アベイラビリティ ペアのアクティブ CAS が、ペアに対応するサービス IP の横のカッコ内に表示されます(図 4-9 を参照)。[List of Servers] のカッコ内にセカンダリ CAS の IP アドレスが表示され、ステータスが Connected になります。

14. セカンダリ CAS の IP アドレスが [List of Servers] のカッコ内に表示されて、CAS のステータスが Connected になったら、セカンダリ CAS にステップ 1 ~ 11 を繰り返します。

15. 変更して、セカンダリ CAS をリブートすると、[List of Servers] にプライマリ CAS がアクティブ サーバとして表示され、新しい IP 情報がすべて表示されます。

既存のフェールオーバー ペアのアップグレード

既存のフェールオーバー ペアを新しい NAC アプライアンス リリースにアップグレードするための手順については、『 Release Notes for Cisco NAC Appliance, Version 4.7(1) 』の「Upgrading High Availability Pairs」を参照してください。

HA の便利な CLI コマンド

Clean Access Manager(CAM)

CAM の HA について把握するには、次のファイルが役に立ちます。

/etc/ha.d/perfigo.conf

/etc/ha.d/ha.cf

次の例では、HA デバッグ/ログ ファイルの場所と、HA ペアの各 CAM(ノード)の名前を示します。

[root@rjcam_1 ha.d]# more ha.cf
# Generated by make-hacf.pl
udpport 694
bcast eth1
auto_failback off
apiauth default uid=root
log_badpack false
debug 0
debugfile /var/log/ha-debug
logfile /var/log/ha-log
#logfacility local0
watchdog /dev/watchdog
keepalive 2
warntime 10
deadtime 15
node rjcam_1
node rjcam_2

HA CAM でのアクティブ/スタンバイ実行時ステータスの確認

次の例では、CLI を使用して HA ペアの各 CAM の実行時ステータス(アクティブまたはスタンバイ)を判定する方法を示します。新しい CAM またはアップグレードした CAM では、 /perfigo/common/bin/ ディレクトリから fostate.sh コマンドを実行できます。

1. 1 番目の CAM で fostate.sh スクリプトを実行します。

[root@rjcam_1 ~]# ./fostate.sh
My node is active, peer node is standby
[root@rjcam_1 ~]#
 

この CAM は、HA ペアのアクティブ CAM です。

2. 2 番目の CAM で fostate.sh スクリプトを実行します。

[root@rjcam_2 ~]# ./fostate.sh
My node is standby, peer node is active
[root@rjcam_2 ~]#
 

この CAM は、HA ペアのスタンバイ CAM です。

CAS

CAS の HA について把握するには、次のファイルが役に立ちます。

「HA CAS 設定ステータス」 /etc/ha.d/perfigo.conf

「ハートビート接続とリンクベース接続」 /etc/ha.d/ha.cf

「リンク検出インターフェイス」 /etc/ha.d/linkdetect.conf

「アクティブ/スタンバイ ステータス」 /perfigo/common/bin/fostate.sh

HA CAS 設定ステータス

/etc/ha.d/perfigo.conf ファイルには、ホスト名(rjcas_1)、ピア ホスト名(rjcas_2)、HA モード(プライマリ)、ハートビート インターフェイス(UDP またはシリアル)、およびリンク検出インターフェイス情報を含めた、HA CAS に関するさまざまな設定情報が示されます。

[root@rjcas_1 ha.d]# more perfigo.conf
#linux-ha
#Mon Aug 28 18:50:15 PDT 2006
WIRELESS_SERVICEIP=10.10.20.4
PING_DEAD=25
HOSTNAME=rjcas_1
HA_DEAD=15
PEERGUSSK=
PEERMAC=00\:16\:35\:BF\:FE\:67
PEERHOSTNAME=rjcas_2
TRUSTED_PINGNODE=10.10.40.100
UNTRUSTED_PINGNODE=10.10.20.100
HAMODE=PRIMARY
PEERMAC0=00\:16\:35\:BF\:FE\:66
PEERHOSTIP=10.10.50.2
HA_FAILBACK=off
HA_UDP=eth2
WIRED_SERVICEIP=10.10.20.4
HA_SERIAL=ttyS0

ハートビート接続とリンクベース接続

/etc/ha.d/ha.cf ファイルでは、ハートビート接続とリンクベースの接続に関する追加情報が示されます。

[root@rjcas_1 ha.d]# more ha.cf
# Generated by make-hacf-ss.pl
udpport 694
ucast eth2 10.10.50.2
baud 19200
serial /dev/ttyS0
keepalive 2
deadtime 15
deadping 25
auto_failback off
apiauth default uid=root
respawn hacluster /usr/lib64/heartbeat/ipfail
ping 10.10.20.100
ping 10.10.40.100
 
log_badpack false
warntime 10
debug 0
debugfile /var/log/ha-debug
logfile /var/log/ha-log
watchdog /dev/watchdog
node rjcas_1
node rjcas_2

リンク検出インターフェイス

/etc/ha.d/linkdetect.conf ファイルは、ネットワーク トポロジにより、CAS HA ペア アプライアンス間のリンク検出機能のための外部(ping 可能)インターフェイスの設定が制限される場合に有効です。このファイルは、リンク検出機能のために監視する CAS ネットワーク インターフェイス(eth0、eth1、または両方)を指定します。監視対象のインターフェイスが、関連付けられている外部インターフェイスとの接続に失敗すると、アクティブ CAS がフェールオーバーし、スタンバイ CAS がアクティブの役割を引き継ぎます。

CAS で linkdetect.conf ファイルを作成または更新する手順は、次のとおりです。


ステップ 1 CAS ダイレクト コンソール CLI に root ユーザでログインします。

ステップ 2 CAS の /etc/ha.d/ ディレクトリに移動します。

ステップ 3 標準のテキスト エディタ(vi など)を使用し、linkdetect.conf ファイルを編集し、監視対象のインターフェイス名を追加するか、このディレクトリに linkdetect.conf ファイルを追加します(linkdetect.conf ファイルが現在 CAS にない場合)。

ステップ 4 ファイルの内容を確認します。

[root@rjcas_1 ha.d]# more linkdetect.conf
 
# The following network interfaces will be monitored for link healthiness
# The active CAS will change to standby mode when any link failure is detected
#
eth0
eth1
 

ステップ 5 新しい機能をイネーブル化するには、 service perfigo stop コマンドと service perfigo start コマンドを使用して CAS サービスを停止および再起動します。


 

上の linkdetect.conf ファイルの例で、CAS 上の eth0 インターフェイスと eth1 インターフェイスの両方でネットワーク接続性が監視されます。


linkdetect.conf で指定されている他の CAS インターフェイス(eth2 や eth3 など)は、リンク検出動作としては無視されます。


アクティブ/スタンバイ ステータス

次に、CLI を使用して、HA ペアの各 CAS の実行時ステータス(アクティブまたはスタンバイ)を判断する例を示します。新しい CAS またはアップグレードした CAS では、fostate.sh コマンドが /perfigo/common/bin/ ディレクトリにあります。

1. /perfigo/common/bin/ に移動し、最初の CAS で fostate.sh スクリプトを実行します。

[root@rjcas_1 bin]# ./fostate.sh
My node is active, peer node is standby
[root@rjcas_1 bin]#
 

この CAS は、HA ペアのアクティブ CAS です。

2. 2 番めの CAS で fostate.sh スクリプトを実行します。

[root@rjcas_2 bin]# ./fostate.sh
My node is standby, peer node is active
[root@rjcas_2 bin]#
 

この CAS は、HA ペアのスタンバイ CAS です。

ハイ アベイラビリティ ペアの CAS Web コンソールへのアクセス

アクティブ CAS とスタンバイ CAS の判別

CAM Web コンソールから、[Device Management] > [CCA Servers] > [List of Servers] の順番に進んで HA CAS ペアを表示します。[List of Servers] ページに、最初に CAS ペアの [Service IP] が表示され、そのあとにカッコ内にアクティブ CAS の IP アドレスが表示されます。セカンダリ CAS が引き継ぐと、その IP アドレスがアクティブ サーバとしてカッコ内に表示されます。


) HA プライマリ モードで設定されている CAS は、現在アクティブな CAS でない可能性があります。


プライマリ CAS とセカンダリ CAS の判別

ペア内の各 CAS のダイレクト アクセス コンソールを開くため、Web ブラウザの URL またはアドレス フィールドに次の URL を入力します(ブラウザは 2 つ開きます)。

プライマリ CAS で、 https:// <primary_CAS_eth0_IP_address> /admin と入力します。たとえば、 https://172.16.1.2/admin と入力します。

セカンダリ CAS で、 https:// <secondary_CAS_eth0_IP_address> /admin と入力します。たとえば、 https://172.16.1.3/admin と入力します。

各 CAS の Web コンソールで、[Administration] > [Network Settings] > [Failover] > [General] の順番に進みます。

プライマリ CAS は、最初に HA を設定したときに [HA-Primary Mode] で設定した CAS です。

セカンダリ CAS は、最初に HA を設定したときに [HA-Secondary Mode] で設定した CAS です。

4.0(0) よりも前のリリースでは、セカンダリ CAS は 初期 HA 設定で [HA-Standby Mode](CAS)と表示されます。