Cisco NAC アプライアンス ハードウェア インストレーション ガイド リリース 4.9
ハイ アベイラビリティ(HA)の設定
ハイ アベイラビリティ(HA)の設定
発行日;2012/05/09 | 英語版ドキュメント(2012/04/25 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 6MB) | フィードバック

目次

ハイ アベイラビリティ(HA)の設定

ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加

CAM のハイ アベイラビリティ ペアの導入

CAM ハイ アベイラビリティの概要

準備

CAM マシンの接続

シリアル接続

HA プライマリ CAM の設定

HA セカンダリ CAM の設定

設定の完了

既存のフェールオーバー ペアのアップグレード

HA-CAM ペアのフェールオーバー

ハイ アベイラビリティ ペアの CAM Web コンソールへのアクセス

アクティブ CAM とスタンバイ CAM の判別

プライマリおよびセカンダリ CAM の決定

CAS のハイ アベイラビリティ ペアの導入

CAS ハイ アベイラビリティの概要

CAS ハイ アベイラビリティの要件

準備

ハートビート UDP インターフェイスの選択および設定

シリアル ポートの HA 接続

ハイ アベイラビリティの設定

HA プライマリ CAS の設定

HA セカンダリ CAS の設定

CAS の接続および設定の完了

HA CAS ペアのフェールオーバー

CAS ハイ アベイラビリティ設定の変更

HA-CAS の IP 設定の変更手順

既存のフェールオーバー ペアのアップグレード

仮想ゲートウェイ モードのハイ アベイラビリティの設定

HA 関連で役立つ CLI コマンド

Clean Access Manager

Clean Access Server

HA CAS 設定ステータス

ハートビート接続とリンクベース接続

リンク検出インターフェイス

アクティブ/スタンバイ ステータス

ハイ アベイラビリティ ペアの CAS Web コンソールへのアクセス

アクティブ CAS とスタンバイ CAS の判別

プライマリ CAS とセカンダリ CAS の判別

ハイ アベイラビリティ Cisco NAC アプライアンスのネットワークへの追加

次の図は、HA CAM および HA CAS をコア ディストリビューション アクセス ネットワーク(ディストリビューション レイヤとアクセス レイヤに Catalyst 6500 を装備)の例に追加する方法を示します。

図 4-1 に、Cisco NAC アプライアンスを装備していないネットワーク トポロジを示します。コア レイヤおよびディストリビューション レイヤは Hot Standby Router Protocol(HSRP; ホットスタンバイ ルータ プロトコル)を実行し、アクセス スイッチはディストリビューション スイッチにデュアルホーム接続しています。

図 4-1 Cisco NAC アプライアンスを追加する前のコア ディストリビューション アクセス ネットワーク例

 


) HSRP は、信頼できないインターフェイスではサポートされません。


図 4-2 に、HA CAM をコア ディストリビューション アクセス ネットワークに追加する方法を示します。この例では、HA ハートビート接続はシリアル インターフェイスと eth1 インターフェイスの両方に設定されています。

図 4-2 HA CAM のネットワークへの追加

 

図 4-3 に、HA CAS をコア ディストリビューション アクセス ネットワークに追加する方法を示します。この例では、CAS は中央配置の L2 OOB 仮想ゲートウェイとして設定されます。HA ハートビート接続は、シリアル インターフェイスと専用 eth2 インターフェイスの両方に設定されています。リンク障害に基づくフェールオーバー接続を eth0 および eth1 インターフェイス、またはいずれか一方のインターフェイスに設定することもできます。


) Cisco Integrated Services Router(ISR; サービス統合型ルータ)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


図 4-3 HA CAS のネットワークへの追加

 

CAM のハイ アベイラビリティ ペアの導入

ここでは、ハイ アベイラビリティ構成のために、一組の CAM マシンをセットアップする方法について説明します。ハイ アベイラビリティ モードで Clean Access Manager を配置すると、予期せぬシャットダウンが発生した場合も、重要なモニタリング、認証、およびレポート タスクを継続できます。次の内容について説明します。

「CAM ハイ アベイラビリティの概要」

「準備」

「CAM マシンの接続」

「HA プライマリ CAM の設定」

「HA セカンダリ CAM の設定」

「既存のフェールオーバー ペアのアップグレード」

「HA-CAM ペアのフェールオーバー」

「ハイ アベイラビリティ ペアの CAM Web コンソールへのアクセス」


) Clean Access Manager(CAM)や Clean Access Server(CAS)のハイ アベイラビリティ(HA)ペアを設定するには、同一のアプライアンス(たとえば NAC-3350 と NAC-3350、NAC-3315 と NAC-3315 など)を使用する必要があります。


CAM ハイ アベイラビリティの概要


注意 SSL 証明書が失効すると、CAM と CAS の間の通信、HA-CAM または HA-CAS のピア通信が切断され、ネットワーク機能に悪影響を与える場合があります。『Release Notes for Cisco NAC Appliance, Version 4.9』の警告 CSCtb43264 を参照してください。

詳細については、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9』の「HA Active-Active Situation Due to Expired SSL Certificates」を参照してください。

次に、HA-CAM の動作の概要を示します。

Clean Access Manager のハイ アベイラビリティ モードは、アクティブ サーバとパッシブ サーバの 2 台のサーバで構成されます。スタンバイ CAM マシンは、アクティブ CAM マシンのバックアップとして機能します。

アクティブ Clean Access Manager はシステムのすべてのタスクを実行します。スタンバイ CAM は、アクティブ CAM をモニタし、自分のデータベースとアクティブ CAM のデータベースとの同期を維持します。


) CAM 許可設定は、ある CAM から HA ペアの別の CAM へ自動的に渡されることはありません。CAM の HA ペアで許可機能を使用する場合、1 つの CAM からそのハイ アベイラビリティの相手に許可設定を正確に複製できるようにするため、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従ってください。


CAM および CAS ではローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。マスター シークレット パスワードは、CAM-HA ペアのものと同じである必要があります。同様に、CAS-HA ペアも同じマスター シークレット パスワードを保持します。HA 構成内で HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。

両方の CAM で、信頼できる eth0 インターフェイスの仮想サービス IP を共有します。サービス IP は、SSL 証明書で使用される必要があります。

サービス IP アドレスは、CAS と管理 Web コンソールからの通信など、CAM に送信されるすべてのメッセージと要求に対して使用されます。

CAM では、CAS に送信されるすべての通信およびプロキシ認証メッセージに対して個別の(eth0)IP アドレスが使用されています。

プライマリ CAM マシンとセカンダリ CAM マシンは、2 秒ごとに UDP ハートビート パケットを交換します。ハートビート タイマーが期限切れになると、ステートフル フェールオーバーが実行されます。

HA CAM/CAS は IPSec トンネルを自動的に確立します。これにより、ネットワークにおける HA ペア アプライアンス間のすべての通信の安全性が確実に維持されます。

アクティブ CAM が常に利用可能であることを確認するために、インターフェイス(eth0)を有効にする必要があります。CAM がアクティブであるもののインターフェイスでアクセスできないような状況(つまり、スタンバイ CAM がアクティブ CAM からハートビート パケットを受信するもののアクティブ CAM の eth0 インターフェイスに障害が発生している状況)を避けるために、リンク検出メカニズムを使用して、アクティブ CAM の eth0 インターフェイスが使用不能になるときにそれをスタンバイ CAM が認識できるようになります。

Clean Access Manager および Clean Access Server は、ハードディスク ドライブ障害時に自動的に再起動するように設計されているため、スタンバイ CAM/CAS のフェールオーバーが自動的に開始されます。

Cisco NAC-3310 CAM/CAS は 160 GB または 80 GB のハード ドライブを装備しています。これらのハード ドライブのサイズは両方ともハイ アベイラビリティ(HA)構成をサポートしており、160 GB モデルを 80 GB モデルと一緒に HA ペアとして導入できます。

[Administration] > [CCA Manager] > [Failover] ページで、eth1 インターフェイスを「自動的に設定する」ことを選択できますが、CAM で HA を設定する前に、別の(eth2 や eth3)HA インターフェイスに IP アドレスやネットマスクなどを手動で設定する必要があります。インターフェイスの設定の詳細については、「HA プライマリ CAM の設定」を参照してください。

eth1 インターフェイスは、ハートビート パケットおよびデータベース同期に使用できます。eth0、eth1、eth2/eth3 インターフェイスは、ハートビート パケットに使用できます。さらに、使用可能なシリアル(COM)インターフェイスもハートビート パケットに使用することができます。これらのインターフェイスを複数使用する場合、すべてのハートビート インターフェイスをフェールオーバーの実行に使用できません。


) CAM を HA に設定している場合、ハートビートおよびデータベース同期用に eth1 を使用する必要があります。その他のすべてのイーサネット インターフェイス(eth0 および eth2/eth3)は、ハートビート パケットだけに使用できます。



) CAM HA では、複数のインターフェイスでハートビートが設定された状態で eth1 がダウンしている場合、スタンバイ CAM のデータベース同期は行われません。eth1 でだけデータベース同期が行われ、それがダウンすると、スタンバイ CAM の perfigo サービスが停止されます。CAM HA のハートビート インターフェイスには eth1 だけを使用し、複数の HA インターフェイスは使用しないことを推奨します。



) WAN で CAM/CAS を使用するときは、すべての CAM/CAS トラフィックと SNMP トラフィックにプライオリティを付け、HA ペア用のサービス IP アドレスに加えて、CAM と CAS の eth0/eth1 IP アドレスを組み入れる必要があります。プライオリティ付けにより、256 kbps の帯域幅(400 ミリ秒のラウンドトリップ遅延)を持たせることができます。



注意 HA ペア間の接続にはきわめて高い信頼性が必要で、また通信は妨げられないようにする必要があります。ベスト プラクティスは、専用イーサネット ケーブルを使用することです。HA ペア間の通信が切断されると、2 つのノードがアクティブになり、深刻な悪影響をもたらす可能性があります。HA ペア間のリンクにおける主要な要素は、ダウンしたリンクを元に戻す機能です。設計によっては、復元はネットワークの安定性の基礎となります。

図 4-4 に、構成例を示します。

図 4-4 Clean Access Manager のハイ アベイラビリティ構成例

 

Clean Access Manager のハイ アベイラビリティ モードは、アクティブ サーバとパッシブ サーバの 2 つのサーバで構成されます。スタンバイ Clean Access Manager マシンは、アクティブ Clean Access Manager マシンのバックアップとして機能します。アクティブ CAM は標準状態において、ほとんどの作業負荷を実行します。一方、スタンバイ CAM はアクティブ CAM を監視し、データ ストアをアクティブ CAM のデータと常に同期させます。

アクティブ CAM のシャットダウンやピアの「ハートビート」信号への応答の停止など、フェールオーバー イベントが発生すると、スタンバイ CAM はアクティブ CAM の役割を引き継ぎます。

HA ピアの初回設定時には、HA プライマリ CAM と HA セカンダリ CAM を指定する必要があります。最初は、HA プライマリがアクティブ CAM となり、HA セカンダリがスタンバイ(パッシブ)CAM となりますが、アクティブ/パッシブの役割は永続的に割り当てられるわけではありません。プライマリ CAM がダウンすると、セカンダリ(スタンバイ)CAM がアクティブ CAM になります。本来のプライマリ CAM が再起動すると、この CAM がバックアップの役割を担います。


) HA 構成の HA プライマリ CAM と HA セカンダリ CAM の両方で設定が失われた場合は、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9』の「Restoring Configuration from CAM Snapshot--HA-CAM or HA-CAS」に記載されているガイドラインを使用して、システムを復元することができます。


CAM は起動時に、ピアがアクティブであるかどうかを調べます。ピアがアクティブでない場合、起動中の CAM がプライマリの役割を担います。ピアがアクティブである場合は逆に、起動中の CAM がスタンバイになります。

2 台の Clean Access Manager を同時に HA ペアとして設定できます。また、新しい Clean Access Manager を既存のスタンドアロンの CAM に追加して、ハイアベイラビリティ ペアを作成することもできます。このペアを 1 つのエンティティとしてネットワークに認識させるには、信頼できるインターフェイス(eth0)アドレスとして HA ペアで使用されるサービス IP アドレスを指定する必要があります。このサービス IP アドレスは、SSL 証明書を生成する場合にも使用されます。

HA 情報が交換されるハートビート UDP インターフェイス リンクを作成するには、両方の CAM の eth1 ポートを接続し、組織内で現在ルーティングされていないプライベート ネットワーク アドレスを指定します(デフォルトのハートビート UDP インターフェイス IP アドレスは 192.168.0.252 です)。次に、Clean Access Manager は各 CAM の eth1 ポートにプライベートでセキュアな 2 ノード ネットワークを作成して、UDP ハートビート トラフィックを交換し、データベースを同期します。


) CAM は、UDP ハートビート インターフェイスとして常に eth1 を使用します。



) プライマリ eth1 リンクが切断されて、シリアル リンクだけが残った場合、CAM は HA の相手方との同期ができないことを示すデータベース エラーを返し、管理者に対して CAM Web コンソールで次のエラーが表示されます。「WARNING!Closed connections to peer [standby IP] database!Please restart peer node to bring databases in sync!!」



警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。



) HA 対応のシリアル ケーブル接続(HA-CAM または HA-CAS のいずれか)の場合、シリアル ケーブルは「ヌル モデム」ケーブルを使用する必要があります。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


ここでは、ハイ アベイラビリティの設定手順について説明します。


) ここでは、テスト ネットワーク用に HA ペアを設定するために、Clean Access Manager をスタンドアロン CAM に追加する場合の手順を示します。


準備


警告 データベース同期中のデータ消失を防止するために、必ずスタンバイ(セカンダリ)Clean Access Manager が起動して、稼動していることを確認してから、アクティブ(プライマリ)Clean Access Manager をフェールオーバーしてください。


ハイ アベイラビリティを設定する前に、次の点を確認してください。

ハイアベイラビリティ(フェールオーバー)ライセンスを保持している。


) CAM フェールオーバー(HA)ライセンスのインストール時には、最初にプライマリ CAM にフェールオーバー ライセンスをインストールし、その後、その他のすべてのライセンスをロードしてください。


両方の CAM がインストールおよび設定されていること(「CAM の初期設定の実行」 を参照)。

HA ペア内の 2 つの CAM が、ハートビートおよび同期機能をサポートするために隣接するレイヤ 2 に残っている。

ハートビート用に、各 CAM が一意のホスト名(またはノード名)を保持している。HA CAM ペアでは、このホスト名はピアに提供されます。提供されたピアは、DNS を介して解決するか、または /etc/hosts ファイルに追加する必要があります。

HA CAM ペアのサービス IP に対応する CA 署名付き証明書がある。(テスト目的で、HA プライマリ CAM の CA 署名付き証明書を使用できますが、この場合、HA プライマリ CAM の IP をサービス IP として設定するための追加の手順を実行する必要があります)。

HA プライマリ CAM に実行時動作が完全に設定されている。これは、認証元との接続、ポリシー、ユーザ ロール、アクセス ポイントなどがすべて指定されていることを意味します。この設定は、HA セカンダリ(スタンバイ)CAM に自動的に複製されます。

CAM の HA ペアで許可機能を使用する場合、1 つの CAM からそのハイ アベイラビリティの相手に許可設定を 正確に 複製できるようにするため、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従う(CAM 許可設定は、ある CAM から HA ペアの別の CAM へ自動的に渡されることはありません)。

ネットワーク上で両方の Clean Access Manager にアクセスできる(pinging を実行して接続をテストしてください)。

CAM ソフトウェアがインストールされているマシンには、少なくとも 1 つの空きイーサネット ポート(eth1)と 1 つの空きシリアル ポートが必要になる。各マシンのシリアル ポート(ttyS0 または ttyS1)を識別するには、サーバ ハードウェアの仕様書を参照してください。

アウトオブバンド配置の場合、CAS および CAM の接続先となるスイッチ インターフェイスでポート セキュリティがイネーブルになっていないこと。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

次の手順では、CAM をリブートする必要があります。リブート時は、サービスを短時間使用できなくなります。ダウンタイムがユーザにほとんど影響を与えない場合は、オンライン CAM を設定できます。


) Cisco NAC アプライアンス Web 管理コンソールは、Internet Explorer 6.0 以上をサポートします。


CAM マシンの接続

HA-CAM ピアの間には 2 種類の接続があり、1 つは Clean Access Manager アクティビティ関連の実行時データの交換用、もう 1 つはハートビート信号用です。ハイ アベイラビリティ構成の場合、Clean Access Manager はデータ交換とハートビート UDP 交換の両方に、常に eth1 インターフェイスを使用します。一定期間内に UDP ハートビート信号を送受信できない場合は、スタンバイ システムが処理を引き継ぎます。ハートビートに冗長性を持たせるため、ハートビート交換用の eth1(必須)インターフェイスに加えてさらにイーサネット インターフェイスを使用することを推奨します。フェールオーバーを実行するために、すべてのハートビート インターフェイスはハートビート交換失敗をレポートする必要があります(eth0 および eth2/eth3 を追加のハートビート インターフェイスに使用できます)。ただし、CAM ピア間の eth1 接続は必須であることに注意してください。

次の手順に従って、ピア Clean Access Manager を物理的に接続します。

クロス ケーブルを使用して、CAM マシンの eth1 イーサネット ポートを接続します。この接続は、フェールオーバー ピア間のハートビート UDP インターフェイスおよびデータ交換(データベース ミラーリング)に使用します。

ヌル モデム シリアル ケーブルを使用して、シリアル ポートに接続します(強く推奨します)。

任意で、クロスオーバー ケーブルを使用するかインライン スイッチを介して、CAM の eth2 や eth3 インターフェイスを HA ピアの相手側のインターフェイスに接続します(HA 用に CAM を設定する前に、これらのインターフェイスを手動で設定する必要があることを忘れないでください)。


) HA のシリアル ケーブル接続の場合は、必ず「ヌル モデム」ケーブルを使用してください。詳細については、http://www.nullmodem.com/NullModem.htm を参照してください。


シリアル接続

デフォルトでは、CAM サーバで検出された最初のシリアル ポートがコンソール入出力用に設定されます(インストールおよびその他のタイプの管理アクセス用)。

マシンにシリアル ポートが 1 つ(COM1 または ttyS0)しかない場合は、ハイアベイラビリティ ハートビート接続として機能するようにポートを再設定できます。これは、CAM ソフトウェアのインストール後は、常に SSH または KVM コンソールを使用して CAM のコマンドライン インターフェイスにアクセスできるためです。


) プライマリ eth1 リンクが切断されて、シリアル リンクだけが残った場合、CAM は HA の相手方との同期ができないことを示すデータベース エラーを返し、管理者に対して CAM Web コンソールで次のエラーが表示されます。「WARNING!Closed connections to peer [standby IP] database!Please restart peer node to bring databases in sync!!」



注意 ネットワーク セキュリティの潜在的な脅威を回避するために、接続を使用していないときは、Cisco NAC のコンソール管理ポートから物理的に切断しておくことを強く推奨します。詳細については、http://seclists.org/fulldisclosure/2011/Apr/55 を参照してください(Cisco ISE、Cisco NAC アプライアンス、および Cisco Secure ACS ハードウェア プラットフォームに適用されます)。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。


HA プライマリ CAM の設定

前提条件を満たしていることを確認したら、次の手順に従い、Clean Access Manager をハイ アベイラビリティ ペアの HA プライマリとして設定します。ハイアベイラビリティ設定の例については、図 4-4を参照してください。


ステップ 1 HA プライマリとして指定する Clean Access Manager に対して Web 管理コンソールを開き、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動して、プライマリ CAM の SSL 証明書を設定します。


) この章の HA 設定手順は、一時証明書がすでに HA プライマリ CAM から HA セカンダリ CAM にエクスポートされていることを前提にしています。


HA ペアに一時証明書を使用する場合:

a. [Generate Temporary Certificate] をクリックし、フォームのすべてのフィールドに情報を入力して、[Generate] をクリックします。証明書には、HA ペアのサービス IP アドレスを対応付ける必要があります。

b. 一時証明書の生成が終了したら、証明書と秘密キーのチェックボックスをクリックし、テーブル中で強調表示します。

c. [Export] をクリックして、証明書と秘密キーをローカル マシンに保存します。HA セカンダリ CAM を設定する際にこの証明書と秘密キーをインポートする必要があります。

HA ペアに CA 署名付き証明書を使用する場合:


) このプロセスでは、Certificate Signing Request(CSR; 証明書署名要求)と対応する秘密キーをすでに生成してあり、要求を Certificate Authority(CA; 認証局)に送信済みで、CA 署名付き証明書を受信してあるものとします。CAS 用の CA 署名付き証明書をまだ取得していない場合、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9』の「Manage CAM SSL Certificates」に記載された手順に必ず従ってください。


a. [Browse] をクリックして、CA 署名付き証明書と秘密キーのあるローカル マシンのディレクトリに移動します。

b. [Import] をクリックします。あとで、この証明書を HA セカンダリ CAS にインポートする必要があります。

ステップ 2 [Administration] > [CCA Manager] に移動し、[Failover] タブをクリックします。[Clear Access Manager Mode] ドロップダウン メニューから [HA-Primary] オプションを選択します。ハイ アベイラビリティ設定が表示されます。

図 4-5 HA プライマリ CAM のフェールオーバー設定

 

ステップ 3 [Administration] > [CCA Manager] > [Network] の [IP Address] フィールドの値をコピーして、[Service IP Address] フィールドに入力します。Network Settings の IP Address は、プライマリ Clean Access Manager の既存の IP アドレスです。ここでは、Clean Access Server がすでに認識しているこの IP アドレスを、Clean Access Manager ペアに使用する Clean Access Server の仮想サービス IP アドレスに設定します。

ステップ 4 [Administration] > [CCA Manager] > [Network] の [IP address] を使用可能なアドレスに変更します(たとえば x . x . x .121)。

ステップ 5 (推奨)HA プライマリ CAM の eth0 リンク障害検出に基づいて、フェールオーバーに使用できるパラメータを指定します。

a. HA ペアがプライマリ CAM からセカンダリ CAM へのフェールオーバーに使用するインターフェイスの IP アドレスを、[Link-detect IP Address for eth0] フィールドに入力します。IP アドレスがこのフィールドに入力されると、HA セカンダリ CAM は指定した HA プライマリ CAM IP アドレスに ping して接続性を確認しようとします。一般的に、同じ IP アドレスが HA プライマリ CAM と HA セカンダリ CAM に入力されていますが、ネットワーク トポロジで可能であれば各 CAM に個別のアドレスを指定することが できます

b. eth0 インターフェイスがダウンした可能性があると判別するまで、つまりセカンダリ CAM へのフェールオーバーを開始するまで CAM がリンク検出 IP アドレスに ping を付ける期間(秒数)を、[Link-detect Timeout] フィールドに指定します。この設定の最小値は 10 秒ですが、少なくとも 25 秒のタイムアウト間隔を指定することを推奨します。


) CAM(リリース 4.1(3) 以降)のリンク検出設定は、アクティブ CAM の eth0 に接続されたスイッチ ポートでのスイッチ ポート障害やリンク障害時に、アクティブ CAM がスタンバイ CAM にフェールオーバーできるようになるために必要です。フェールオーバーを実行しなければいけないイベントでは、リンク検出設定により、セカンダリ CAM eth0 インターフェイスが有効でアクティブ ロールを引き継ぐことができることをスタンバイ CAM が確認できるようになります。


ステップ 6 各 CAM には一意のホスト名を付ける必要があります( rjcam_1 rjcam_2 など)。[Administration] > [CCA Manager] > [Network] の [Host Name] フィールドに HA プライマリ CAM のホスト名を入力し、[Administration] > [CCA Manager] > [Failover] の [Peer Host Name] フィールドに HA セカンダリ CAM のホスト名を入力します。


) • ハイ アベイラビリティを設定する場合、[Host Name] 値は必須ですが、[Host Domain] 名は省略できます。

[Host Name] および [Peer Host Name] フィールドは大文字と小文字を区別します。ここで入力した名前と、後で HA セカンダリ CAM 用に入力する名前は一致していなければなりません。


 

ステップ 7 必須 eth1 UDP ハートビート インターフェイスのデフォルト設定を使用している場合、[Auto eth1 Setup] チェックボックスをオンにしたままにしておきます。別の [[Secondary] Heartbeat eth1 Address] を指定した場合、[Auto eth1 Setup] チェックボックスをオフにして、[(peer IP on heartbeat udp interface on eth1)] フィールドに新規 IP アドレスを入力します。


) [Auto eth1 Setup] オプションは、自動的に 192.168.0.254 をプライマリ CAM の eth1(ハートビート)インターフェイスとして割り当て、ピア(セカンダリ)eth1 インターフェイスの IP アドレスを 192.168.0.253 と仮定しています。



警告 ステップ 9で説明しているような冗長フェールオーバー リンクを指定するには、HA を設定する前にまず適切なイーサネット インターフェイスを CAM に設定する必要があります。これらのインターフェイスを設定しようとしていてイーサネット インターフェイスのある NIC が適切に設定されていない場合、再起動時に CAM は(適切に起動せず)メンテナンス モードになります。


ステップ 8 (任意)CAM eth0 インターフェイスを介して冗長フェールオーバー ハートビートを設定する CAM の Heartbeat UDP Interface 2 機能をイネーブルにする場合、[eth0] チェックボックスをオンにして、[[Secondary] Heartbeat IP Address on eth0] フィールドに関連ピア IP アドレスを指定します。それ以外は、追加の UDP ハートビート インターフェイスを使用しない場合、これを N/A のままにしておきます。

ステップ 9 (任意)CAM の Heartbeat UDP Interface 3 機能をイネーブルにする場合、[eth2] または [eth3] をドロップダウン メニューから選択して、[[Secondary] Heartbeat IP Address on interface 3] フィールドに関連ピア IP アドレスを指定します。それ以外は、追加の UDP ハートビート インターフェイスを使用しない場合、これを N/A のままにしておきます。


) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、Heartbeat Serial Interface 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


ステップ 10 HA プライマリ CAM に対して [Heartbeat Timeout] 値を指定します。これにより、CAM が HA ピアとの通信が失われたことを宣言して HA ペアのアクティブ CAM のロールを引き継ぐまでの CAM の待機時間が設定されます。デフォルトの [Heartbeat Timeout] 値は 30 秒です。


) Cisco NAC アプライアンス リリース 4.6(1) 以降、[Heartbeat Timeout] のデフォルト値は延長され 30 秒になっています。これにより、ネットワーク上で比較的に遠くに位置する CAM ピアにも対応しています。そのような CAM ピアでは、遅延の問題により、指定された [Heartbeat Timeout] 期間内に HA ピアからハートビート パケットを受信しないとスタンバイ HA CAM がアクティブ ロールを引き継ぐ場合があります。その結果、Cisco NAC アプライアンス機能を実行する「アクティブ」CAM が 2 つになる可能性があり、正しいプライマリ/セカンダリ HA ピア関係を再度確立するには両方の CAM をリブートする必要があります。


ステップ 11 [Update] をクリックしてから、[Reboot] をクリックして、Clean Access Manager を再起動します。

Clean Access Manager が再起動したら、CAM マシンが適切に機能しているか確認します。Clean Access Server が接続されていて、新しいユーザが認証されているか確認します。


 

HA セカンダリ CAM の設定


ステップ 1 HA セカンダリとして指定する Clean Access Manager に対して Web 管理コンソールを開き、[Administration] > [CCA Manager] > [SSL] > [X509 Certificate] に移動します。

ステップ 2 準備:

セカンダリの CAM の秘密キーをバックアップします。

サービス IP/HA プライマリ CAM に関連付けられた秘密キーと SSL 証明書ファイルが使用可能であることを確認します(エクスポート済み。「HA プライマリ CAM の設定」を参照)。

ステップ 3 HA プライマリ CAM の秘密キー ファイルと証明書を次の手順でインポートします。

HA ペアに一時証明書を使用する場合:

a. [Browse] をクリックし、以前 HA プライマリ CAS からエクスポートした一時証明書と秘密キーを保存したローカル マシン上の場所を参照します。

b. 証明書ファイルを選択し、[Import] をクリックします。

c. 秘密キーをインポートするプロセスを繰り返します。

HA ペアに CA 署名付き証明書を使用する場合:

a. [Browse] をクリックし、CA から受け取った CA 署名付き証明書と、HA プライマリ CAS からエクスポートした関連する秘密キーを保存したローカル マシン上の場所を参照します。

b. CA 署名付き証明書ファイルを選択し、[Import] をクリックします。

c. 秘密キーをインポートするプロセスを繰り返します。

詳細については、『 Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9 』の「Manage CAM SSL Certificates」を参照してください。

ステップ 4 [Administration] > [CCA Manager] > [Network] に移動し、セカンダリ CAM の [IP Address] を、HA プライマリ CAM の IP アドレスおよびサービス IP アドレスとは別のアドレスに変更します( x . x . x .122 など)。

図 4-6 HA セカンダリ CAM のフェールオーバー設定

 

ステップ 5 [Host Name] の値を、HA プライマリ CAM 設定の [Peer Host Name] と同じ値に設定します。図 4-4 を参照してください。


) [Host Name] および [Peer Host Name] フィールドは大文字と小文字を区別します。ここで入力する名前と、HA プライマリ CAM 用に入力した名前が一致していることを確認します。


ステップ 6 [Choose Clean Access Manager Mode] ドロップダウン メニューから [HA-Secondary] を選択します。ハイ アベイラビリティ設定が表示されます。

ステップ 7 [Service IP Address] 値を、HA プライマリ CAM 設定の [Service IP Address] と同じ値に設定します。

ステップ 8 (推奨)HA セカンダリ CAM の eth0 リンク障害検出に基づいて、フェールオーバーに使用できるパラメータを指定します。

a. HA ペアがプライマリ CAM からセカンダリ CAM へのフェールオーバーに使用するインターフェイスの IP アドレスを、[Link-detect IP Address for eth0] フィールドに入力します。

b. eth0 インターフェイスがダウンした可能性があると判別するまで、つまりセカンダリ CAM へのフェールオーバーを開始するまで CAM がリンク検出 IP アドレスに ping を付ける期間(秒数)を、[Link-detect Timeout] フィールドに指定します。この設定の最小値は 10 秒ですが、少なくとも 25 秒のタイムアウト間隔を指定することを推奨します。


) CAM(リリース 4.1(3) 以降)のリンク検出設定は、アクティブ CAM の eth0 に接続されたスイッチ ポートでのスイッチ ポート障害やリンク障害時に、アクティブ CAM がスタンバイ CAM にフェールオーバーできるようになるために必要です。フェールオーバーを実行しなければいけないイベントでは、リンク検出設定により、セカンダリ CAM eth0 インターフェイスが有効でアクティブ ロールを引き継ぐことができることをスタンバイ CAM が確認できるようになります。


ステップ 9 [[Primary] Peer Host Name] 値を、HA プライマリ CAM のホスト名に設定します。

ステップ 10 必須 eth1 UDP ハートビート インターフェイスのデフォルト設定を使用している場合、[Auto eth1 Setup] チェックボックスをオンにしたままにしておきます。別の [[Primary] Heartbeat eth1 Address] を指定する場合、[Auto eth1 Setup] チェックボックスをオフにして、新しい IP アドレスを [(peer IP on heartbeat udp interface on eth1)] フィールドに入力します。


) [Auto eth1 Setup] オプションは、自動的に 192.168.0.254 をプライマリ CAM の eth1(ハートビート)インターフェイスとして割り当て、ピア(セカンダリ)eth1 インターフェイスの IP アドレスを 192.168.0.253 と仮定しています。



警告 ステップ 12で説明しているような冗長フェールオーバー リンクを指定するには、HA を設定する前にまず適切なイーサネット インターフェイスを CAM に設定する必要があります。しかしこれらのインターフェイスを設定しようとしていてイーサネット インターフェイスのある NIC が適切に設定されていない場合、再起動時に CAM は(適切に起動せず)メンテナンス モードになります。


ステップ 11 (任意)HA プライマリ CAM の CAM eth0 インターフェイスを介して冗長フェールオーバー ハートビートを設定する HA プライマリ CAM の Heartbeat UDP Interface 2 機能をイネーブルにする場合、[eth0] チェックボックスをオンにして、HA プライマリ CAM のものと同じピア IP アドレスを [[Primary] Heartbeat IP Address on eth0] フィールドに指定します。

ステップ 12 (任意)HA プライマリ CAM の Heartbeat UDP Interface 3 機能をイネーブルにする場合、ドロップダウン メニューから [eth2] または [eth3] を選択して、[[Primary] Heartbeat IP Address on interface 3] フィールドの関連ピア IP アドレスを HA プライマリ CAM と同じものにします。


) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、Heartbeat Serial Interface 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


ステップ 13 HA セカンダリ CAM に対して [Heartbeat Timeout] 値を指定します。これにより、CAM が HA ピアとの通信が失われたことを宣言して HA ペアのアクティブ CAM のロールを引き継ぐまでの CAM の待機時間が設定されます。デフォルトの [Heartbeat Timeout] 値は 30 秒です。


) Cisco NAC アプライアンス リリース 4.6(1) 以降、[Heartbeat Timeout] のデフォルト値は延長され 30 秒になっています。これにより、ネットワーク上で比較的に遠くに位置する CAM ピアにも対応しています。そのような CAM ピアでは、遅延の問題により、指定された [Heartbeat Timeout] 期間内に HA ピアからハートビート パケットを受信しないとスタンバイ HA CAM がアクティブ ロールを引き継ぐ場合があります。その結果、Cisco NAC アプライアンス機能を実行する「アクティブ」CAM が 2 つになる可能性があり、正しいプライマリ/セカンダリ HA ピア関係を再度確立するには両方の CAM をリブートする必要があります。



警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。


ステップ 14 [Update] をクリックしてから、[Reboot] をクリックします。

スタンバイ CAM が起動すると、アクティブ CAM とデータベースが自動的に同期します。

ステップ 15 最後に、スタンバイ CAM の管理コンソールを再び開いて、次のように設定を完了します。スタンバイ CAM の管理コンソールには、制限された管理モジュール(図 4-7 および図 4-8)が表示されていることを確認します。

図 4-7 スタンバイ Web 管理コンソール例:[Summary] ページ

 

図 4-8 スタンバイ Web 管理コンソール例:[CCA Manager] > [Network] ページ

 

設定の完了

アクティブおよびスタンバイ CAM の [Failover] ページにある設定を確認します。これで、ハイ アベイラビリティ設定は完了です。

既存のフェールオーバー ペアのアップグレード

既存のフェールオーバー ペアを新しい Cisco NAC アプライアンス リリースにアップグレードする手順については、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading High Availability Pairs」を参照してください。

HA-CAM ペアのフェールオーバー


警告 データベース同期中のデータ消失を防止するために、必ずスタンバイ CAM が起動して、稼動していることを確認してから、アクティブ CAM をフェールオーバーしてください。


HA-CAM ペアをフェールオーバーするには、ペアのアクティブ マシンに SSH を介して接続し、次のコマンドのいずれかを実行します。

shutdown

reboot

service perfigo stop

これは、アクティブ マシン上のすべてのサービスを停止します。ハートビートが失敗した場合、スタンバイ マシンはアクティブ マシンの役割を担います。 service perfigo start を実行して、停止したマシン上のサービスを再開します。これにより、停止したマシンがスタンバイ マシンの役割を担います。


) ハイ アベイラビリティ(フェールオーバー)のテストの場合は、service perfigo restart は動作しません。フェールオーバーをテストするマシンでは、代わりに「shutdown」または「reboot」、もしくは CLI コマンドの service perfigo stopservice perfigo start を使用することを推奨します。「HA 関連で役立つ CLI コマンド」を参照してください。


ハイ アベイラビリティ ペアの CAM Web コンソールへのアクセス

アクティブ CAM とスタンバイ CAM の判別

Web ブラウザの URL/アドレス フィールドに(サービス IP ではなく)各個別 CAMの IP アドレスを入力することで、HA ペアの各 CAM の Web コンソールにアクセスします。2 つのブラウザを開く必要があります。スタンバイ(非アクティブ)CAMの Web コンソールは、メディア メニューのサブセットおよびアクティブ CAM で使用可能な各サブメニューだけが表示されます。


) HA プライマリとして設定された CAM が現在アクティブな CAM であるとは限りません。


プライマリおよびセカンダリ CAM の決定

各 CAM Web コンソールで、[Administration] > [CCA Manager] > [Failover] に移動します。

プライマリ CAM は、最初に HA を設定した際に [HA-Primary] として設定した CAM です。

セカンダリ CAM は、最初に HA を設定した際に [HA-Secondary] として設定された CAM です。


) 4.0(0) よりも前のリリースでは、セカンダリ CAM は初期 HA 設定で [HA-Standby](CAM)とラベルされています。


CAS のハイ アベイラビリティ ペアの導入

この章では、HA(ハイ アベイラビリティ)モードの 2 つの Clean Access Server(CAS)を設定する方法について説明します。ハイ アベイラビリティモードで CAS を導入することで、予期せぬシャットダウンが発生した場合も重要なユーザ認証および接続作業を継続できます。次の内容について説明します。

「CAS ハイ アベイラビリティの概要」

「CAS ハイ アベイラビリティの要件」

「準備」

「ハイ アベイラビリティの設定」

「HA CAS ペアのフェールオーバー」

「CAS ハイ アベイラビリティ設定の変更」

「既存のフェールオーバー ペアのアップグレード」

「ハイ アベイラビリティ ペアの CAS Web コンソールへのアクセス」


) Clean Access Manager(CAM)や Clean Access Server(CAS)のハイ アベイラビリティ(HA)ペアを設定するには、同一のアプライアンス(たとえば NAC-3350 と NAC-3350、NAC-3315 と NAC-3315 など)を使用する必要があります。


CAS ハイ アベイラビリティの概要


注意 SSL 証明書が失効すると、CAM と CAS の間の通信、HA-CAM または HA-CAS のピア通信が切断され、ネットワーク機能に悪影響を与える場合があります。『Release Notes for Cisco NAC Appliance, Version 4.9』の警告 CSCtb43264 を参照してください。

詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』の「HA Active-Active Situation Due to Expired SSL Certificates」の章を参照してください。


) Cisco Integrated Services Router(ISR; サービス統合型ルータ)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


次のキー ポイントでは、HA CAS 動作の概要を説明します。

CAS のハイアベイラビリティ モードは、スタンバイ CAS マシンがアクティブ CAS マシンのバックアップとして機能する、アクティブ/パッシブの 2 つのサーバ構成です。

アクティブ CAS は、システムのすべての作業を実行します。CAS の設定の大半は CAM に保存されているため、CAS のフェールオーバーが発生すると、CAM は設定を新しいアクティブ CAS にプッシュします。


) CAS の HA ペアで許可機能を使用する場合、1 つの CAS からそのハイ アベイラビリティの相手に許可設定を正確に複製できるようにするため、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9』の「Backing Up and Restoring CAM/CAS Authorization Settings」に示されているガイドラインに従ってください。


CAM および CAS ではローカル マスター シークレット パスワードを使用して、他のシステム パスワードなど、重要なデータを暗号化して保護します。マスター シークレット パスワードは、CAM-HA ペアのものと同じである必要があります。HA 構成内で HA ピア CAM/CAS へのフェールオーバーを確実に行えるように、割り当てられたマスター シークレット パスワードをきわめて正確に記録しておくことを推奨します(マスター シークレット パスワードが異なる場合、HA のセカンダリ CAM/CAS はフェールオーバー発生後に「アクティブ」ロールを引き継ぐことはできません)。

スタンバイ CAS はインターフェイスの間でパケットを転送しません。

スタンバイ CAS は、ハートビート インターフェイス(シリアルおよび 1 つ以上の UDP)経由でアクティブ CAS の状態を監視します。ハートビート パケットは、専用の eth2 インターフェイス、専用の eth3 インターフェイス、eth0 または eth1 インターフェイス(eth2 または eth3 インターフェイスが利用できない場合)上で送信できます。

プライマリおよびセカンダリ CAS マシンは UDP ハートビート パケットを 2 秒ごとに交換します。ハートビート タイマーが期限切れになると、ステートフル フェールオーバーが実行されます。

ハートビートベースのフェールオーバーの他に、CAS は eth0 または eth1 リンク障害に基づいてリンクベースのフェールオーバーも提供します。CAS は、eth0 または eth1 インターフェイス経由で ICMP ping パケットを外部 IP アドレスに送信します。1 つの CAS だけが外部アドレスに ping を実行できる場合にフェールオーバーが発生します。


) スタンバイ CAS は、eth 0 または eth1 インターフェイスがダウンしても、他の使用可能なハートビート インターフェイス(たとえばシリアルや eth2)経由でアクティブ CAS からのハートビート パケットを受信できる場合があります。スタンバイ CAS がハートビート タイマーだけを使用してステートフル フェールオーバーを行う場合、アクティブ CAS がその主要な機能を実行できなくなっても、スタンバイ CAS がアクティブ ロールの役割を引き継ぐことはありません。リンクベースのフェールオーバーが設定されていると、アクティブおよびスタンバイの CAS は eth0 と eth1 のステータスをハートビート インターフェイス経由で交換するため、これら 2 つのインターフェイスのうちいずれかがダウンした場合、アクティブ CAS からのハートビートがフェールオーバー イベントを起動しなくても、スタンバイ CAS はアクティブ ロールの役割を引き継ぐことができます。


両方の CAS は、信頼できるインターフェイス(eth0)および信頼できないインターフェイス(eth1)に対して仮想サービス IP を共有します。サービス IP は SSL 証明書用に使用する必要があります。

Cisco NAC-3310 CAM/CAS は 160 GB または 80 GB のハード ドライブを装備しています。これらのハード ドライブのサイズは両方ともハイ アベイラビリティ(HA)構成をサポートしており、160 GB モデルを 80 GB モデルと一緒に HA ペアとして導入できます。

HA CAM/CAS は IPSec トンネルを自動的に確立します。これにより、ネットワークにおける HA ペア アプライアンス間のすべての通信の安全性が確実に維持されます。

リリース 4.5(1) から、スタンバイ CAS が DHCP アドレス管理を行っていてフォールバック状態になったアクティブ CAS の役割を引き継ぐとき、新しいアクティブ CAS はユーザ ログインに加えて DHCP 機能も引き継ぐようになりました。


注意 HA ペア間の接続にはきわめて高い信頼性が必要で、また通信は妨げられないようにする必要があります。ベスト プラクティスは、専用イーサネット ケーブルを使用することです。HA ペア間の通信が切断されると、2 つのノードがアクティブになり、深刻な悪影響をもたらす可能性があります。HA ペア間のリンクにおける主要な要素は、ダウンしたリンクを元に戻す機能です。設計によっては、復元はネットワークの安定性の基礎となります。


ヒント HA ペアが 2 つのアクティブ ノードになるのを回避するために、ハートビート用の HA CAS に eth2/eth3 インターフェイスを設定することを推奨します。

図 4-9 に、HA CAS の構成例における基本的な接続の例を示します。

図 4-9 CAS のハイ アベイラビリティ構成例

 


) 「プライマリ」および「セカンダリ」は、HA 用に設定されたときのサーバのモードを示します。「アクティブ」および「スタンバイ」はサーバの実行時ステータスを示します。


最初に HA ピアを設定するとき、HA プライマリ CAS と HA セカンダリ CAS を指定する必要があります。まず、HA プライマリ CAS がアクティブ CAS になり、HA セカンダリ CAS がスタンバイ(パッシブ)CAS になります。フェールオーバー イベントが発生し、このアクティブ CAS がシャットダウンするか、ピアのハートビート信号への応答を停止した場合、スタンバイ CAS はアクティブ CAS の役割を引き継ぎます。


) HA 構成の HA プライマリ CAS と HA セカンダリ CAS の両方で設定が失われた場合は、『Cisco NAC Appliance - Clean Access Manager Configuration Guide, Release 4.9』の「Restoring Configuration from CAM Snapshot In HA Deployment」に記載されているガイドラインを使用して、システムを復元することができます。


CAS は再起動時に、ピアがアクティブであるかどうかを調べます。ピアがアクティブである場合、起動中の CAS はスタンバイになります。ピアがアクティブでない場合、起動中の CAS がアクティブの役割を担います。

一般的に、CAS は HA ペアとして同時に設定されます。ただし、新しい CAS を既存のスタンドアロン CAS に追加してハイアベイラビリティ ペアを作成することもできます。このペアを 1 つのエンティティとしてネットワークおよび Clean Access Manager(CAM)に認識させるには、ペアの信頼できるインターフェイス(eth0)と信頼できないインターフェイス(eth1)にサービス IP アドレスを指定する必要があります。

CAS のサービス IP を使用して CAS を CAM に追加します。図 4-10 は、HA ペアのアクティブ CAS が、CAM Web コンソールの [List of Servers] でペアのサービス IP の横のカッコに表示される様子を示します。さらに、信頼できるインターフェイスまたは信頼できないインターフェイスのサービス IP アドレスを使用して、SSL 認証を生成する必要があります。

図 4-10 HA ペアのアクティブ CAS

 


) CAS が事前に設定され、スタンドアロン CAS として CAM に追加されている場合、HA 用に設定する前に CAS を削除する必要があります。両方の CAS で HA 構成が完了したら、サービス IP を [New Server] フォームで入力し、HA CAS ペアを CAM に追加します。



) ハートビートの冗長性を保証するには、構成内の HA CAS 間にオプションのハートビート UDP インターフェイス 2 または 3 を設定することを推奨します。


フェールオーバー イベント

複数のハートビート UDP インターフェイスが設定されている場合、それらすべてに障害が発生するとスタンバイ システムは処理を引き継ぎます。詳細については、「物理的な接続」を参照してください。

CAS が CAM と通信できない場合、次のようになります。

すでに接続しているユーザは影響を受けません。

新規のユーザはログインできません。

リンクベースのフェールオーバーを設定できます。リンク検出用に CAS の外部の 2 つの IP アドレスが設定されます。1 つは信頼できるネットワーク上にあり、もう 1 つは信頼できないネットワーク上にあります。

アクティブおよびスタンバイ CAS は eth0 経由で ICMP ping パケットを信頼できるネットワーク上の IP アドレスに送信します。

アクティブおよびスタンバイ CAS は eth1 経由で ICMP ping パケットを信頼できないネットワーク上の IP アドレスに送信します。


) ネットワーク トポロジによって CAS HA ペア アプライアンス間のリンク検出機能が制限される場合は、/etc/ha.d/linkdetect.conf ファイルを使用して、eth0 または eth1 インターフェイスに対してリンク検出動作を強制することができます。詳細については、「リンク検出インターフェイス」を参照してください。


これらの ping パケットの状態がハートビート信号を介して CAS の間で伝達されます。

アクティブおよびスタンバイ CAS が両方の外部 IP に ping を実行できる場合、フェールオーバーは発生しません。

アクティブおよびスタンバイ CAS が外部 IP のいずれかに ping を実行できない場合、フェールオーバーは発生しません。

アクティブ CAS が外部 IP のいずれかに ping を実行できず、スタンバイ CAS が ping を実行できる場合、フェールオーバーが発生します。

Clean Access Manager および Clean Access Server は、ハードディスク ドライブ障害時に自動的に再起動するように設計されているため、スタンバイ CAM/CAS のフェールオーバーが自動的に開始されます。

リンクベースのフェールオーバー用外部 IP の選択

CAS がトラフィックを開始したときに、パケットがデフォルト ゲートウェイ宛てでない限り、通常は信頼できない(eth1)インターフェイスからパケットが送信されます。そのため、eth0 インターフェイス経由で ping を実行する、CAS の信頼できるネットワークの外部 IP を選択する場合、CAS サブネット以外のサブネットに属する IP を選択します。

外部 IP アドレスは、信頼できるインターフェイスおよび信頼できないインターフェイスの IP アドレスと異なる必要があります。

eth1 インターフェイス経由で ping を実行する、CAS の信頼できないネットワークの外部 IP を選択する場合、次の点に注意してください。

この IP は CAS 管理サブネット上にある必要があります。

CAS のデフォルト ゲートウェイであってはなりません。

CAS はこれらの ping パケットを eth1 インターフェイスから送信します。

eth1 インターフェイスで [Set Management VLAN ID] がイネーブルであるか確認します。このオプションがイネーブルでない場合、CAS は eth1 インターフェイス上でタグ付けせずにトラフィックを送信します。スイッチは、これらのパケットをネイティブ VLAN で受信する必要があるかどうか判断します。したがって、信頼できないインターフェイスでは、ネイティブ VLAN が転送されます。

外部 IP アドレスは CAS 管理サブネット内にありますが、信頼できない側にあるので、トラフィックはネイティブ VLAN の CAS から発信します。したがって、ネイティブ VLAN は外部 IP アドレスに向けて転送されます。

設定の詳細については、「c. HA プライマリ モードの設定および更新」および「c. HA セカンダリ モードの設定および更新」を参照してください。

CAS ハイ アベイラビリティの要件

ここでは、ハイ アベイラビリティを実装する場合のその他の検討上の考慮事項について説明します。


) 信頼できる(eth0)側で NAT を使用した CAS HA 配置では、-Dperfigo.nat.serviceip=<NAT 適用後のサービス IP または CAS サービス ホスト名> プロパティを、プライマリ CAS とセカンダリ CAS の両方で、starttomcat ファイルと restartweb ファイルで設定する必要があります

たとえば、-Dperfigo.nat.serviceip=172.10.20.100 のように設定します。


物理的な接続

CAS のハイアベイラビリティ ペアのフェールオーバー ハートビート 専用 の接続を使用することを推奨します。次を使用できます。

専用のイーサネット NIC カード(CAS の eth2 または eth3 インターフェイスとして設定)


) 専用のイーサネット インターフェイス(たとえば eth2 または eth3)がサーバ マシンで利用できない場合は、eth0 および eth1 をハートビート UDP インターフェイスとして使用できます(ただし、この機能は、CAS を仮想ゲートウェイ モードで配置しており、かつ eth0 インターフェイスと eth1 インターフェイスの IP アドレスが同じ場合には適用されません)。「ハートビート UDP インターフェイスの選択および設定」を参照してください。


追加のネットワーク インターフェイス(たとえば eth2 や eth3)が利用できる場合は、それを eth0 の代わりに UDP ハートビートで使用できます。この場合は、2 つのマシンの eth2 または eth3 インターフェイスをクロス ケーブルで接続します。別のイーサネット インターフェイスを導入する場合は、インターフェイスの IP アドレスを設定します。手順については、「追加 NIC カードの設定」を参照してください。

OOB 配置のスイッチ インターフェイス

アウトオブバンド配置の場合、CAS および CAM の接続先となるスイッチ インターフェイスでポート セキュリティがイネーブルでないことを確認します。イネーブルになっていると、CAS HA および DHCP デリバリに問題が生じることがあります。

サービス IP アドレス

各 CAS の信頼できるインターフェイスおよび信頼できないインターフェイスの IP アドレスのほかに、CAS ペアの信頼できるインターフェイスおよび信頼できないインターフェイスのサービス IP アドレスを 2 つ指定する必要があります(設定例については、図 4-9 を参照してください)。サービス IP アドレスは、外部ネットワークがペアのアドレス指定に使用する共通の IP アドレスです。

さらに、信頼できるインターフェイスまたは信頼できないインターフェイスのサービス IP アドレスを使用して、SSL 認証を生成する必要があります。CAS が事前に設定され、スタンドアロン CAS として CAM に追加されている場合、HA 用に設定する前に CAS を削除する必要があります。

両方の CAS で HA 構成が完了したら、[New Server] フォームでサービス IP を使用して、HA CAS ペアを CAM に追加します。HA CAS ペアは自動的に同じサーバ タイプとして追加されることに注意してください(たとえば、アウトオブバンド仮想ゲートウェイ)。

ホスト名

各 CAS には、ハートビートのために一意なホスト名(またはノード名)が必要です。HA CAS ペアの場合、このホスト名をピアに提供し、DNS を介して解決するか、ピアの /etc/hosts ファイルに追加する必要があります。

DHCP 同期

HA ペアとしての構成において DHCP 機能も実行する 2 つの CAS を設定した場合、Cisco NAC アプライアンスは HA プライマリ CAS と HA セカンダリ CAS との間で必要なキーを自動的に同期化および交換するので、フェールオーバー イベントの後で DHCP は適切に動作できます。

SSL 証明書

HA モードの CAS は、スタンドアロン モードの場合と同様に、自己署名付きの一時証明書または CA(認証局)署名付きの証明書のいずれかを使用できます。一時証明書は、テストまたは開発の場合に便利です。運用配置には、CA 署名付き証明書が必要です。いずれの場合も、次の考慮事項があります。

1. 一時証明書および CA 署名付き証明書では、(信頼できるインターフェイスまたは信頼できないインターフェイスの)サービス IP アドレスを使用したり、証明書ドメイン名としてドメイン名を使用することができます。

2. ドメイン名を使用して証明書を作成する場合は、DNS でサービス IP にドメイン名を対応付ける必要があります。証明書でドメイン名を使用しない場合は、DNS マッピングは不要です。

3. 一時証明書の場合は、CAS の 1 つで一時証明書を生成してから、CAS 間で転送します。

4. CA 署名付き証明書の場合は、ペア内の Clean Access Server ごとに CA 署名付き証明書をインポートする必要があります。


) CA 署名付き証明書は、サービス IP か、DNS を介してサービス IP に解決可能なホスト名またはドメイン名のいずれかに基づいている必要があります。



) CAS はフェールオーバー時にセッション情報を CAM から取得します。たとえば、ユーザ A がシステムにロール B でログインしている場合、フェールオーバーが発生しても、ユーザ A はログインしたままとなり、ロール B で指定されたアクセスが可能です。

CAS が DHCP サーバになっておりフェールオーバーが発生した場合も、ユーザ A に割り当てられた IP アドレスは保持されます。これは、HA CAS 同士が、DHCP フェールオーバー情報を直接交換するためです。



) HA CAS ペアの場合、CAS 管理ページまたは CAS ダイレクト アクセス Web コンソールによって HA プライマリ CAS に対して行った CAS ネットワークの設定変更は、HA セカンダリ CAS ユニットでもダイレクト アクセス Web コンソールによって繰り返す必要があります。これらの設定には、SSL 証明書、システム時刻、タイム ゾーン、DNS、またはサービス IP の更新が含まれます。詳細については、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』および「CAS ハイ アベイラビリティ設定の変更」を参照してください。


準備

1. 作業を開始する前に、両方の CAS がインストールされていて、ネットワークを介してアクセスできることを確認します。「CAS の初期設定の実行」を参照してください。

2. HA ペアの 2 つの CAS は、ハートビート機能と同期機能をサポートするために、レイヤ 2 で隣接している必要があります。

3. CSA が CAM の管理ドメインにすでに追加されている場合は、削除する必要があります。CAS を削除するには、[List of Servers] タブの [Delete] アイコンを使用します。

図 4-11 List of Servers

 


) Cisco NAC アプライアンスの Web コンソールは、Internet Explorer 6.0 および 7.0 のブラウザをサポートします。


ハートビート UDP インターフェイスの選択および設定


) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、Heartbeat Serial Interface 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


ハートビート UDP インターフェイスが指定されている場合は、ハイ アベイラビリティに関連する UDP ハートビート トラフィックがこのインターフェイスを使用して送信されます。使用されるインターフェイスは、サーバ マシンで使用可能なインターフェイス、および予測される負荷レベルによって決まります。このインターフェイスには、専用のイーサネット インターフェイス(eth2 や eth3 など)を使用するか、専用インターフェイスを使用できない場合は信頼できるインターフェイス(eth0)を使用できます。

追加のイーサネット インターフェイスを使用する場合は、CAS CLI を使用してインターフェイスを手動で設定する必要があります。CAS Web コンソールでは、eth2 または eth3 の設定(IP アドレス、ネットマスクなど)を行うことはできません。手順については、「追加 NIC カードの設定」を参照してください。専用インターフェイスを使用する場合は、両方のマシンの専用インターフェイスをクロス ケーブルで接続する必要があります。

一般に、CAS が稼動しているサーバでは、eth0 を信頼ネットワークのインターフェイスとして設定した状態で、使用可能なインターフェイス(eth0 または eth1)を両方とも使用します。ハートビートに冗長性を持たせるため、eth2 および eth3 インターフェイスを使用することを推奨します。そうすることで、eth0 および eth1 インターフェイスは Cisco NAC アプライアンスのトラフィックの処理に専念できるようになります。


) eth0 を UDP ハートビート インターフェイスとして使用する場合、CAS の管理インターフェイスが他のユーザ トラフィックのある VLAN 上ではなく、自身の VLAN 内にあることを確認します。これは、同じ物理インターフェイス上でフェールオーバー ハートビートを実行するときに、管理トラフィックを分割し保護できる一般的なベスト プラクティスです。


シリアル ポートの HA 接続

デフォルトでは、サーバで検出された最初のシリアル コネクタがコンソール入出力用に設定されます(インストールおよびその他のタイプの管理アクセス用)。


警告 ハイ アベイラビリティ(フェールオーバー)ペアをシリアル ケーブルで接続する場合、Cisco NAC アプライアンス CAM/CAS など、シリアル ポートへの BIOS リダイレクション機能をサポートしているサーバ ハードウェア プラットフォームでは、シリアル ポートへの BIOS のリダイレクションをディセーブルにする必要があります。詳細については、『Supported Hardware and System Requirements for Cisco NAC Appliance (Cisco Clean Access)』を参照してください。



注意 ネットワーク セキュリティの潜在的な脅威を回避するために、接続を使用していないときは、Cisco NAC のコンソール管理ポートから物理的に切断しておくことを強く推奨します。詳細については、http://seclists.org/fulldisclosure/2011/Apr/55 を参照してください(Cisco ISE、Cisco NAC アプライアンス、および Cisco Secure ACS ハードウェア プラットフォームに適用されます)。

ハイ アベイラビリティ モードが選択されている場合、シリアル コンソール ログイン(ttyS0)は自動的にディセーブルになり、シリアル ポートが HA モード用に解放されます。ttyS0 をコンソール ログインとして再びイネーブルにするには、[Failover] > [General] タブの [Disable Serial Login] チェックボックスをオフにし、[Update]、[Reboot] の順にクリックします。詳細については、「c. HA プライマリ モードの設定および更新」および「c. HA セカンダリ モードの設定および更新」を参照してください。

ハイ アベイラビリティの設定


) Cisco Integrated Services Router(ISR; サービス統合型ルータ)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


ここでは、ハイ アベイラビリティを設定する 5 つの一般的な手順を示します。

ステップ 1:「HA プライマリ CAS の設定」

ステップ 2:「HA セカンダリ CAS の設定」

ステップ 3:「CAS の接続および設定の完了」

ステップ 4:「HA CAS ペアのフェールオーバー」


) 「プライマリ」および「セカンダリ」は、HA 用に設定されたときのサーバのモードを示します。
「アクティブ」および「スタンバイ」はサーバの実行時ステータスを示します。


a.プライマリ CAS のダイレクト アクセス

CAS にはそれぞれ独自の Web 管理コンソールがあり、CAS の特定の管理設定値を直接設定できます。HA の CAS ペアを設定するには、CAS ダイレクト アクセス Web コンソールを使用する必要があります。

HA プライマリ Clean Access Server のダイレクト アクセス Web 管理コンソールにアクセスする手順は、次のとおりです。

1. Web ブラウザを開き、URL またはアドレス フィールドに CAS の信頼できる(eth0)インターフェイスの IP アドレス https://<primary_CAS_eth0_IP_address>/admin を入力します(たとえば https://172.16.1.2/admin )。

2. 一時証明書を受け入れ、初期設定時に指定した Web コンソール パスワードを使用してユーザ admin としてログインします。


) • 設定フォームとの間で値をコピー アンド ペーストするために、各 CAS(プライマリとセカンダリ)の Web コンソールは開いたままにしておくことを推奨します。「a. HA セカンダリ CAS のダイレクト アクセス」も参照してください。

セキュリティのために、CAS の初期パスワードを変更することを推奨します。


 

b.HA プライマリ CAS のホスト情報の設定

3. [Network Settings] リンクをクリックしてから、[DNS] タブをクリックします。

4. [Host Name] フィールドに、HA プライマリ CAS のホスト名を入力します。[Host Domain] フィールドに cisco.com などのドメインが入力されていることを確認します。必要に応じて、ドメインを追加し、[Update] をクリックします。


) HA を設定するときには、HA ペアの各マシンのホスト名を必ず指定します。ホスト名では大文字と小文字が区別され、IP アドレスは指定できません。ホスト名は、HA プライマリと HA セカンダリの設定の [Local Host Name] フィールドと [Peer Host Name] フィールドで必要になります。[Local Host Name] と [Peer Host Name] は DNS で解決可能である必要はありませんが、大文字と小文字が区別され、マシンに対して指定したホスト名に一致する必要があります。


図 4-12 [DNS] タブ

 

c. HA プライマリ モードの設定および更新

5. [Failover] > [General] タブをクリックし、[Clean Access Server Mode] ドロップダウン メニューで [HA-Primary Mode] を選択します。

図 4-13 [Failover]:モード選択

 

6. 表示される [HA-Primary Mode] フォームの次のフィールドに値を入力します。

図 4-14 [Failover]:[HA-Primary Mode]

 

[Trusted-side Service IP Address]:信頼ネットワークからペアをアドレス指定する場合の共通 IP アドレス(図 4-9 の例では 10.201.2.112)。

[Untrusted-side Service IP Address]:非信頼(管理対象)ネットワークのペアに対する共通アドレス(例では 10.201.50.243)。

[Trusted-side Link-detect IP Address] :IP アドレス(上流のルータなど)をこのフィールドに任意で入力すると、CAS はこの外部アドレスに ping を試みます。一般的に、HA プライマリ CAS と HA セカンダリ CAS の両方で同じ信頼できる側のリンク検出アドレスを入力しますが、ネットワーク トポロジが異なれば CAS ごとに異なるアドレスを指定できます。

[Untrusted-side Link-detect IP Address]:IP アドレス(下流のスイッチなど)をこのフィールドに任意で入力すると、CAS はこの外部アドレスに ping を試みます。HA プライマリ CAS と HA セカンダリ CAS の両方で、同じまたは異なる信頼できない側のリンク検出アドレスを入力できます。


) ネットワーク トポロジによって CAS HA ペア アプライアンス間のリンク検出機能が制限される場合は、/etc/ha.d/linkdetect.conf ファイルを使用して、eth0 または eth1 インターフェイスに対してリンク検出動作を強制することができます。詳細については、「リンク検出インターフェイス」を参照してください。


[Link-detect Timeout (seconds)]:これは CAS が信頼できる側または信頼できない側のリンク検出アドレス IP アドレスに ping を試行する時間の長さを設定します。26 秒以上の時間を入力することを推奨します。CAS が指定された時間の間ノードに ping を実行できない場合、ノードは ping 不可と見なされます。


) UDP 設定のほかに、信頼できる側または信頼できない側のリンク障害にフェールオーバー イベントとして応答するよう CAS を設定することもできます。CAS は、指定された信頼できるまたは信頼できないリンク検出アドレスに ping を試行し、到達可能なノード数をカウントします。

0:アドレスなし

1:信頼できる、または信頼できないのいずれか

2:信頼できるおよび信頼できないの両方

スタンバイ CAS がアクティブ CAS よりも多くのノードに到達できた場合、スタンバイ CAS はアクティブ CAS の役割を引き継いでアクティブ CAS になります。両方の CAS が同じ数のアドレス(すべてのアドレスまたはアドレス 1 つのみ)に ping を実行できる場合、どちらの CAS も優位にないのでフェールオーバー イベントは発生しません。リンク検出をイネーブルにするには、各 CAS で少なくとも 1 つのリンク検出 IP アドレスとリンク検出タイムアウトを入力します。詳細については、「リンクベースのフェールオーバー用外部 IP の選択」も参照してください。



) スタンバイ CAS は、eth 0 または eth1 インターフェイスがダウンしても、他の使用可能なハートビート インターフェイス(たとえばシリアルや eth2)経由でアクティブ CAS からのハートビート パケットを受信できる場合があります。スタンバイ CAS がハートビート タイマーだけを使用してステートフル フェールオーバーを行う場合、アクティブ CAS がその主要な機能を実行できなくなっても、スタンバイ CAS がアクティブ ロールの役割を引き継ぐことはありません。リンクベースのフェールオーバーが設定されていると、アクティブおよびスタンバイの CAS は eth0 と eth1 のステータスをハートビート インターフェイス経由で交換するため、これら 2 つのインターフェイスのうちいずれかがダウンした場合、アクティブ CAS からのハートビートがフェールオーバー イベントを起動しなくても、スタンバイ CAS はアクティブ ロールの役割を引き継ぐことができます。

CAS は、同じ間隔(約 1 ~ 2 秒ごと)でハートビート接続とリンク検出(任意)を実行します。


[[Primary] Local Host Name]:HA プライマリ CAS では、[Administration] > [Network Settings] > [DNS | Host Name] の設定値がデフォルトで設定されます(図 4-12 では「rjcas_1」)。

[[Primary] Local Serial No]:HA プライマリ CAS ではデフォルトで設定されます。CAM では、この CAS がローカル シリアル番号で識別されます(eth0 または eth1 の MAC アドレスで構成されます)。HA CAS ペアでは、プライマリ CAS のシリアル番号は、CAM データベースでこの CAS 特有の設定情報すべてを関連付けるためのキーとして使用されます。

[[Primary] Local MAC Address](信頼できる側のインターフェイス):デフォルトで、HA プライマリ CAS の eth0 インターフェイスの MAC アドレスが設定されます。

[[Primary] Local MAC Address](信頼できない側のインターフェイス):デフォルトで、HA プライマリ CAS の eth1 インターフェイスの MAC アドレスが設定されます。


) • [[Primary] Local Host Name]、[[Primary] Local Serial No]、および [[Primary] Local MAC Address](信頼できる/信頼できない)の値は、テキスト ファイルにコピー アンド ペーストできます。これらの値は、あとで HA セカンダリ CAS を設定する際に必要になります。

HA セカンダリ CAS 情報を HA プライマリ CAS のフォームに入力するには、HA セカンダリ CAS Web コンソールの対応するフィールドからコピー アンド ペーストします。


 

[[Secondary] Peer Host Name]:HA セカンダリ CAS ピアのホスト名(例では「rjcas_2」)。セカンダリ ピア ホスト名では、大文字と小文字が区別され、ピア マシンの [DNS] タブ([Administration] > [Network Settings] > [DNS] | [Host Name])で指定された [Host Name] に正確に一致する必要があります。

[[Secondary] Peer MAC Address](trusted-side interface):HA セカンダリ CAS の信頼できる(eth0)側のピア MAC アドレスです。

[[Secondary] Peer MAC Address](untrusted-side interface):HA セカンダリ CAS の信頼できない(eth1)側のピア MAC アドレスです。

[Heartbeat UDP Interface 1]:eth0 をこの CAS のフェールオーバー IP インターフェイスとして指定します。専用のイーサネット接続が利用できない場合。

[[Secondary] Heartbeat IP Address on eth0] :HA セカンダリ CAS の信頼できるインターフェイス(eth0)の IP アドレス。

[Heartbeat UDP Interface 2] eth1 をこの CAS のフェールオーバー IP インターフェイスとして指定します。プライマリ フェールオーバー ハートビート接続として eth0 を使用するように CAS HA システムを設定する場合、eth1 インターフェイスを冗長なハートビート モニタとして使用することもできます。

[[Secondary] Heartbeat IP Address on eth1] :HA セカンダリ CAS の信頼できないインターフェイス(eth1)の IP アドレス。

[Heartbeat UDP Interface 3] N/A、eth2、eth3 の中から選択できます。専用のイーサネット接続を使用できない場合は、CAS を HA モードで設定するときに、ハートビート UDP インターフェイスに eth0 または別のイーサネット インターフェイスを使用することを推奨します。


) eth2 インターフェイスまたは eth3 インターフェイスを [Heartbeat UDP Interface 3] として指定する場合、CAS CLI を使用してインターフェイスを手動で設定する必要があります。CAS Web コンソールでは、eth2 または eth3 の設定(IP アドレス、ネットマスクなど)を行うことはできません。手順については、「追加 NIC カードの設定」を参照してください。


[[Secondary] Heartbeat IP Address on Interface 3] :HA セカンダリ CAS で設定されている第 3 のフェールオーバー ハートビート リンクの IP アドレス。


) 追加のイーサネット インターフェイスの少なくとも 1 つを HA プライマリ CAM に設定して、HA セカンダリ CAM のピア インターフェイスとの接続を行い、HA の動作をサポートします。HA のシナリオでは、設定したイーサネット インターフェイスは、プライマリ CAS とセカンダリ CAS との間のデータ同期用のメディアとして動作します。



) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、Heartbeat Serial Interface 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


[Heartbeat Timeout (seconds)] :15 秒よりも大きい値を選択します。


) HA ペアとして構成された 2 つの CAS が同時にリブートし(たとえば、停電後、電源が復帰した場合)、両方の CAS が HA ペア内のアクティブ CAS として起動するのを回避するために、[Heartbeat Timeout] の値を 30 秒より長くすることを推奨します。このシナリオで考えられるネットワークへの影響は、ネットワークをすぐにダウン状態にするレイヤ 2 ブロードキャスト ループが 2 つの「アクティブ」CAS によって生じることです。

このシナリオを回避するために使用できる別の方法は、CAS の HA ペア ノードの間でハートビート モニタリングのために追加のイーサネット インターフェイス リンク(eth2、eth3)を使用することです。詳細については、上記の「Heartbeat UDP Interface 2」および「Heartbeat UDP interface 3」と、「追加 NIC カードの設定」を参照してください。


[Update] :CAS をリブートせずに HA 設定情報を更新します。

[Reboot] HA プライマリ CAS 設定の終了時に CAS をリブートする場合に使用します(この時点では、[Reboot] をクリック しないでください )。

d.SSL 証明書の設定

7. HA プライマリ CAS の SSL 証明書を設定します。[Administration] > [SSL] > [X509 Certificate] の順番に進みます。

図 4-15 [Administration] > [SSL] > [X509 Certificate]

 

8. 一時証明書、自己署名付き証明書、CA 署名付き証明書のどれを使用するかに応じて、次の手順の 1 つを実行します。

HA ペアに一時証明書を使用する場合:

a. [Generate Temporary Certificate] をクリックし、フォームのすべてのフィールドに情報を入力して、[Generate] をクリックします。証明書には、HA ペアのサービス IP アドレスを対応付ける必要があります。

b. 一時証明書の生成が終了したら、証明書と秘密キーのチェックボックスをクリックし、テーブル中で強調表示します。

c. [Export] をクリックして、証明書と秘密キーをローカル マシンに保存します。証明書と秘密キーはあとで HA セカンダリ CAS を設定するときにインポートする必要があります。

HA ペアに CA 署名付き証明書を使用する場合:


) このプロセスでは、Certificate Signing Request(CSR; 証明書署名要求)と対応する秘密キーをすでに生成してあり、要求を Certificate Authority(CA; 認証局)に送信済みで、CA 署名付き証明書を受信してあるものとします。CAS 用の CA 署名付き証明書をまだ取得していない場合、『Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9』の「Manage CAS SSL Certificates」に記載された手順に必ず従ってください。


a. [Browse] をクリックして、CA 署名付き証明書と秘密キーのあるローカル マシンのディレクトリに移動します。

b. [Import] をクリックします。あとで、この証明書を HA セカンダリ CAS にインポートする必要があります。


) CA 署名付き証明書は、サービス IP か、DNS を介してサービス IP に解決可能なホスト名またはドメイン名のいずれかに基づいている必要があります。


e. HA プライマリ CAS のリブート

9. CAS ダイレクト アクセス インターフェイス([Network Settings] > [Failover] > [General] > [Reboot] ボタン)または CAM Web コンソール([Administration] > [CCA Manager] > [Network] > [Reboot] ボタン)で CAS を リブート します。

f.サービス IP を使用した CAM への CAS の追加

10. CAM Web コンソールで、[Device Management] > [CCA Servers] > [New Server] に進み、 サーバ IP アドレスとしてペアのサービス IP(10.201.2.112)を使用して CAS を CAM に追加します。

11. DHCP 設定など、必要なその他の設定値を設定して、CAS の実行時動作を制御します。

12. CAS の信頼できないインターフェイスに接続されたコンピュータから非信頼(管理対象)ネットワークにログインして、設定をテストします。次のステップには、ネットワークへのアクセスに成功した場合だけ進んでください。

HA セカンダリ CAS の設定


) Cisco Integrated Services Router(ISR; サービス統合型ルータ)にインストールされている Cisco NAC ネットワーク モジュールは、ハイ アベイラビリティをサポートしていません。


HA セカンダリ CAS を設定する一般的な手順は、次のとおりです。

a. HA セカンダリ CAS のダイレクト アクセス

b. HA セカンダリ CAS のホスト情報の設定

c. HA セカンダリ モードの設定および更新

d. SSL 証明書の設定

e. HA セカンダリ CAS のリブート

a. HA セカンダリ CAS のダイレクト アクセス

1. Web ブラウザを開き、URL またはアドレス フィールドに HA セカンダリ CAS の信頼できる(eth0)インターフェイスの IP アドレスを https://<standby_CAS_eth0_IP_address>/admin (例: https://172.16.1.3/admin )のように入力して、HA セカンダリ CAS の Web コンソールにアクセスします。

2. ユーザ admin でログインし正しいパスワードを入力します。


) 設定フォームとの間で値をコピー アンド ペーストするために、各 CAS(プライマリとセカンダリ)の Web コンソールは開いたままにしておくことを推奨します。「a.プライマリ CAS のダイレクト アクセス」も参照してください。


b. HA セカンダリ CAS のホスト情報の設定

3. [Network Settings] ページの [DNS] タブを開きます。

4. ホスト名が HA セカンダリ CAS の一意のホスト名であることを確認します(たとえば「rjcas_2」)。このタブで指定するドメイン名は、プライマリ CAS に対して指定したドメイン名と同じでなければなりません(「b.HA プライマリ CAS のホスト情報の設定」を参照)。


) HA を設定するときには、HA ペアの各マシンのホスト名を必ず指定します。ホスト名では大文字と小文字が区別され、IP アドレスは指定できません。ホスト名は、HA プライマリと HA セカンダリの設定の [Local Host Name] フィールドと [Peer Host Name] フィールドで必要になります。[Local Host Name] と [Peer Host Name] は DNS で解決可能である必要はありませんが、大文字と小文字が区別され、マシンに対して指定したホスト名に一致する必要があります。


c. HA セカンダリ モードの設定および更新

5. [Failover] > [General] タブをクリックし、[Clean Access Server Mode] ドロップダウン メニューで [HA-Secondary Mode] を選択します。

図 4-16 [Failover]:[HA-Secondary Mode]

 

6. [HA-Secondary] フォームで、次のフィールドに入力します。

[Trusted-side Service IP Address]: 信頼 ネットワークからペアをアドレス指定する場合の IP アドレス。プライマリ CAS と同じ値を使用します(図 4-9 の例では 10.201.2.112)。

[Untrusted-side Service IP Address]: 非信頼 (管理対象)ネットワークからペアをアドレス指定する場合の IP アドレス。プライマリ CAS と同じ値を使用します(例では 10.201.50.243)。

[Trusted-side Link-detect IP Address](任意):IP アドレス(上流のルータなど)をこのフィールドに任意で入力した場合、CAS はこのアドレスに ping を試みます。一般的に、HA プライマリ CAS と HA セカンダリ CAS の両方で同じ信頼できる側のリンク検出アドレスを入力しますが、ネットワーク トポロジが異なれば CAS ごとに異なるアドレスを指定できます。

[Untrusted-side Link-detect IP Address](任意):IP アドレス(下流のスイッチなど)をこのフィールドに任意で入力すると、CAS はこの外部アドレスに ping を試みます。HA プライマリ CAS と HA セカンダリ CAS の両方で、同じまたは異なる信頼できない側のリンク検出アドレスを入力できます。


) ネットワーク トポロジによって CAS HA ペア アプライアンス間のリンク検出機能が制限される場合は、/etc/ha.d/linkdetect.conf ファイルを使用して、eth0 または eth1 インターフェイスに対してリンク検出動作を強制することができます。詳細については、「リンク検出インターフェイス」を参照してください。


[Link-detect Timeout (seconds)](任意):これは CAS が信頼できる側または信頼できない側のリンク検出アドレス IP アドレスに ping を試行する時間の長さを設定します。26 秒以上の時間を入力します。CAS が指定された時間の間ノードに ping を実行できない場合、ノードは ping 不可と見なされます。


) スタンバイ CAS は、eth 0 または eth1 インターフェイスがダウンしても、他の使用可能なハートビート インターフェイス(たとえばシリアルや eth2)経由でアクティブ CAS からのハートビート パケットを受信できる場合があります。スタンバイ CAS がハートビート タイマーだけを使用してステートフル フェールオーバーを行う場合、アクティブ CAS がその主要な機能を実行できなくなっても、スタンバイ CAS がアクティブ ロールの役割を引き継ぐことはありません。リンクベースのフェールオーバーが設定されていると、アクティブおよびスタンバイの CAS は eth0 と eth1 のステータスをハートビート インターフェイス経由で交換するため、これら 2 つのインターフェイスのうちいずれかがダウンした場合、アクティブ CAS からのハートビートがフェールオーバー イベントを起動しなくても、スタンバイ CAS はアクティブ ロールの役割を引き継ぐことができます。

詳細については、「リンクベースのフェールオーバー用外部 IP の選択」を参照してください。


[[Secondary] Local Host Name]:HA セカンダリ CAS では、[Administration] > [Network Settings] > [DNS] | [Host Name] の設定値がデフォルトで設定されます(例では「rjcas_2」)。

[[Secondary] Local Serial No]:HA セカンダリ CAS ではデフォルトで設定されます。

[[Secondary] Local MAC Address](信頼できる側のインターフェイス):デフォルトで、HA セカンダリ CAS の eth0 インターフェイスの MAC アドレスが設定されます。

[[Secondary] Local MAC Address](信頼できない側のインターフェイス):デフォルトで HA セカンダリ CAS の eth1 インターフェイスの MAC アドレスが設定されます。


) • [[Secondary] Local Host Name]、[[Secondary] Local Serial No.]、および [[Secondary] Local MAC Address](信頼できる/信頼できない)の値は、テキスト ファイルにコピー アンド ペーストできます。これらの値は、HA プライマリ CAS を設定する場合に必要です。

HA プライマリ CAS 情報を HA セカンダリ CAS のフォームに入力するには、HA プライマリ CAS Web コンソールの対応するフィールドからコピー アンド ペーストします。


 

[[Primary] Peer Host Name]:HA プライマリ CAS のホスト名を入力します(図 4-12 では「rjcas_1」)。[[Primary] Peer Host Name] では、大文字と小文字が区別され、ピア マシンの [DNS] タブ([Administration] > [Network Settings] > [DNS] | [Host Name])で指定された ホスト名に正確に一致する必要があります。

[[Primary] Peer Serial No] :HA プライマリ CAS のシリアル番号。HA セカンダリ CAS がアクティブになると、CAS 設定情報にアクセスするため、HA プライマリ CAS のシリアル番号を使用して CAM に対して識別する必要があります。

[[Primary] Peer MAC Address](trusted-side interface):HA プライマリ CAS の信頼できる(eth0)側のピア MAC アドレス。

[[Primary] Peer MAC Address](untrusted-side interface):HA プライマリ CAS の信頼できない(eth1)側のピア MAC アドレス。

[Heartbeat UDP Interface 1]:eth0 をこの CAS のフェールオーバー IP インターフェイスとして指定します。専用のイーサネット接続を使用できない場合は、CAS を HA モードで設定するときに、ハートビート UDP インターフェイスに eth0 を使用することを推奨します。

[[Primary] Heartbeat IP Address on eth0] :HA プライマリ CAS の信頼できるインターフェイス(eth0)側の IP アドレス。

[Heartbeat UDP Interface 2] eth1 をこの CAS のフェールオーバー IP インターフェイスとして指定します。プライマリ フェールオーバー ハートビート接続として eth0 を使用するように CAS HA システムを設定する場合、eth1 インターフェイスを冗長なハートビート モニタとして使用することもできます。

[[Primary] Heartbeat IP Address on eth1] :HA プライマリ CAS の信頼できないインターフェイス(eth1)の IP アドレス。

[Heartbeat UDP Interface 3] N/A、eth2、eth3 の中から選択できます。専用のイーサネット接続を使用できない場合は、CAS を HA モードで設定するときに、ハートビート UDP インターフェイスに eth0 または別のイーサネット インターフェイスを使用することを推奨します。


) eth2 インターフェイスまたは eth3 インターフェイスを [Heartbeat UDP Interface 3] として指定する場合、CAS CLI を使用してインターフェイスを手動で設定する必要があります。CAS Web コンソールでは、eth2 または eth3 の設定(IP アドレス、ネットマスクなど)を行うことはできません。手順については、「追加 NIC カードの設定」を参照してください。


[[Primary] Heartbeat IP Address on Interface 3] :HA プライマリ CAS で設定されている第 3 のフェールオーバー ハートビート リンクの IP アドレス。


) 追加のイーサネット インターフェイスの少なくとも 1 つを HA プライマリ CAM に設定して、HA セカンダリ CAM のピア インターフェイスとの接続を行い、HA の動作をサポートします。HA のシナリオでは、設定したイーサネット インターフェイスは、プライマリ CAS とセカンダリ CAS との間のデータ同期用のメディアとして動作します。



) NAC-3315/3355/3395 では HA ハートビート機能に対してシリアル インターフェイスを使用しないことを強く推奨します。この要素は CAM Web コンソールに表示されていますが、Heartbeat Serial Interface 機能は将来的に Cisco NAC アプライアンス リリースで廃止になります(しかし、関連する [Heartbeat Timeout] 値は、オプションのハートビート UDP インターフェイス 2 および 3 を使用する配置の場合、そのまま設定できます)。


[Heartbeat Timeout (seconds)]:15 秒よりも大きい値を選択します。


) HA ペアとして構成された 2 つの CAS が同時にリブートし(たとえば、停電後、電源が復帰した場合)、両方の CAS が HA ペア内のアクティブ CAS として起動するのを回避するために、[Heartbeat Timeout] の値を 30 秒より長くすることを推奨します。このシナリオで考えられるネットワークへの影響は、ネットワークをすぐにダウン状態にするレイヤ 2 ブロードキャスト ループが 2 つの「アクティブ」CAS によって生じることです。

このシナリオを回避するために使用できる別の方法は、CAS の HA ペア ノードの間でハートビート モニタリングのために追加のイーサネット インターフェイス リンク(eth2、eth3)を使用することです。詳細については、上記の「Heartbeat UDP Interface 2」および「Heartbeat UDP interface 3」と、「追加 NIC カードの設定」を参照してください。


[Update] :CAS をリブートせずに HA 設定情報を更新します。

[Reboot] HA プライマリ CAS 設定の終了時に CAS をリブートする場合に使用します(この時点では、[Reboot] をクリック しないでください )。

d. SSL 証明書の設定

7. HA セカンダリ CAS の SSL 証明書を設定します。[Administration] > [SSL] > [X509 Certificate] の順番に進み、以下の手順のいずれかを実行します。

HA ペアに一時証明書を使用する場合:

a. [Browse] をクリックし、以前 HA プライマリ CAS からエクスポートした一時証明書と秘密キーを保存したローカル マシン上の場所を参照します。

b. 証明書ファイルを選択し、[Import] をクリックします。

c. 秘密キーをインポートするプロセスを繰り返します。

HA ペアに CA 署名付き証明書を使用する場合:

a. [Browse] をクリックし、CA から受け取った CA 署名付き証明書と、HA プライマリ CAS からエクスポートした関連する秘密キーを保存したローカル マシン上の場所を参照します。

b. CA 署名付き証明書ファイルを選択し、[Import] をクリックします。

c. 秘密キーをインポートするプロセスを繰り返します。

詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Manage CAS SSL Certificates」を参照してください。

e. HA セカンダリ CAS のリブート

8. CAS ダイレクト アクセス インターフェイスの [Network Settings] > [Failover] > [General] で、[Reboot] ボタンをクリックして CAS をリブートします。

CAS の接続および設定の完了

1. HA プライマリ CAS マシンをシャットダウンし、 rjcas_1 および rjcas_2 マシンをシリアル ヌル モデム ケーブルで接続するか(空いているシリアル ポートを接続)、またはクロス ケーブルで接続します(フェールオーバー用の eth2 や eth3 など、イーサネット インターフェイスのペアを使用している場合に、イーサネット ポートを接続)。

2. CAM 管理コンソールを開きます。

3. [Device Management] > [CCA Servers] > [List of Servers] の順番に進みます。ハイ アベイラビリティ ペアのアクティブ CAS が、ペアに対応するサービス IP の横のカッコ内に表示されます(図 4-17 を参照)。HA プライマリ CAS は電源がオフになっているので、[List of Servers] のカッコ内に HA セカンダリ CAS の IP アドレスが表示され、ステータスが Connected になります。

図 4-17 HA ペアのアクティブ CAS

 

4. ペアの [Manage] アイコンをクリックします。HA セカンダリ CAS(現在はアクティブ CAS)の管理ページが表示されます。

5. Clean Access Server の信頼できないインターフェイスに接続されたクライアント コンピュータから、非信頼(管理対象)ネットワークに許可ユーザとしてログインして、設定をテストします。ログインに成功した場合は、ログインしたまま次のステップに進みます。

HA CAS ペアのフェールオーバー

HA システムをテストするには、次のステップを使用します。

1. HA プライマリ CAS マシンの電源を投入します。CAS が完全に起動し、機能していることを確認してから、先に進みます。

2. クライアント コンピュータからユーザ セッションをログオフし、非信頼(管理対象)ネットワークにユーザとして再度ログインします。

3. HA セカンダリ CAS マシンはアクティブで、ユーザにサービスを提供します。

4. HA セカンダリ CAS マシンをシャットダウンします。


) フェールオーバーをテストするマシンでは、「shutdown」または「reboot」の使用を推奨します。CLI コマンドを使用する場合も、service perfigo stopservice perfigo start の使用を推奨します。仮想ゲートウェイ CAS の場合、代わりに service perfigo maintenance を使用して CAS をメンテナンス モードにし、管理 VLAN へのネットワーク接続を可能にします。詳細については、「HA 関連で役立つ CLI コマンド」を参照してください。


5. 約 15 秒後に HA プライマリ CAS がアクティブ サーバになってサービスを提供し、ブラウズを継続できるようになります。

6. HA セカンダリ CAS マシン(スタンバイ サーバ)の電源を投入します。

7. CAM のイベント ログを調べます。Clean Access Server のステータスが正しく記録されている必要があります(例:「 rjcas_1 is dead.rjcas_2 is up 」)。

8. これで、ハイ アベイラビリティ設定のテストは完了です。

CAS ハイ アベイラビリティ設定の変更

ここでは、既存のハイ アベイラビリティ CAS ペアの設定を変更する手順について説明します。ハイアベイラビリティ ペアのサービス IP、サブネット マスク、またはデフォルト ゲートウェイを変更するには、CAM を更新して、CAS をリブートする必要があります。

また、サービス IP アドレスが変更されていて、CAS の SSL 証明書がこのサービス IP に基づいている場合は、ハイアベイラビリティ ペアの CAS ごとに新しい証明書を生成して、インポートする必要があります。SSL 証明書が CAS のホスト名に基づいている場合は、新しい証明書を生成する必要はありません。ただし、DNS サーバでそのホスト名の IP アドレスを変更する必要があります。

一般的な手順は次のとおりです。

1. 最初に CAM で CAS の設定を更新します(ただしリブートしません)。

2. プライマリ CAS のダイレクト アクセス Web コンソールで HA 設定を更新し、プライマリ CAS をリブートします。

3. プライマリ CAS のリブート中に、CAM の [List of Servers] でセカンダリ CAS がアクティブになるまで待機します。

4. セカンダリ CAS に対してステップ 1 ~ 3 を繰り返し、セカンダリ CAS をリブートします。

5. セカンダリ CAS のリブート中に、CAM でプライマリ CAS がアクティブになり、新しい設定が表示されます。

HA-CAS の IP 設定の変更手順

1. CAM Web 管理コンソールで、[Device Management] > [CCA Servers] の順番に進みます。

2. Clean Access Server の [Manage] アイコンをクリックします。

3. [Network] タブをクリックします。

4. 信頼できるインターフェイスまたは信頼できないインターフェイスの [IP Address]、[Subnet Mask]、または [Default Gateway] 設定を必要に応じて変更します。

5. [Update] ボタンだけをクリックします。


注意 この段階では、[Reboot] ボタンをクリックしないでください。

6. CAS の SSL 証明書が以前の IP アドレスに基づいている場合は、新たに設定された IP アドレスに基づく新しい SSL 証明書を生成する必要があります。この処理は、[Administration] > [SSL] > [X509 Certificate] で行うことができます。詳細については、『 Cisco NAC Appliance - Clean Access Server Configuration Guide, Release 4.9 』の「Manage CAS SSL Certificates」を参照してください。

7. SSL 証明書が CAS のホスト名に基づいていた場合は、新しい証明書を生成する必要はありません。ただし、DNS サーバでそのホスト名の IP アドレスを変更する必要があります。

8. 次に、以下の URL にアクセスして、 プライマリ CAS のダイレクト アクセス Web 管理コンソールを開きます。

https://<primary_CAS_eth0_IP_address>/admin
 

9. プライマリ CAS の IP フォームに、CAS Web コンソールの [Device Management] > [CCA Servers] > [Manage [CAS_IP]] > [Network] > [IP] で行った変更内容が反映されます。

10. CAS ダイレクト アクセス コンソールで、[Network] > [Failover] > [General] タブをクリックします。

11. 必要に応じて以下の項目を変更します。

Trusted-side Service IP Address

Untrusted-side Service IP Address

[Secondary] Peer Host Name

[Secondary] Peer MAC Address(trusted-side interface)

[Secondary] Peer MAC Address(untrusted-side interface)

[Secondary] Heartbeat IP Address

12. [Update] ボタンをクリックしてから、[Reboot] ボタンをクリックします。

13. CAM Web 管理コンソールから [Device Management] > [CCA Servers] の順番に進み、セカンダリ CAS がアクティブになるまで待機します(この処理に数分間かかることがあります)。ハイ アベイラビリティ ペアのアクティブ CAS が、ペアに対応するサービス IP の横のカッコ内に表示されます(図 4-9 を参照)。[List of Servers] のカッコ内にセカンダリ CAS の IP アドレスが表示され、ステータスが Connected になります。

14. セカンダリ CAS の IP アドレスが [List of Servers] のカッコ内に表示されて、CAS のステータスが Connected になったら、セカンダリ CAS にステップ 1 ~ 11 を繰り返します。

15. 変更して、セカンダリ CAS をリブートすると、[List of Servers] にプライマリ CAS がアクティブ サーバとして表示され、新しい IP 情報がすべて表示されます。

既存のフェールオーバー ペアのアップグレード

既存のフェールオーバー ペアを新しい NAC アプライアンス リリースにアップグレードするための手順については、『 Release Notes for Cisco NAC Appliance, Version 4.9 』の「Upgrading High Availability Pairs」を参照してください。

仮想ゲートウェイ モードのハイ アベイラビリティの設定

仮想ゲートウェイ モードについては、「CAM ハイ アベイラビリティの概要」および「CAS ハイ アベイラビリティの概要」で説明されている同じ手順を使用できます。

ただし、CAS を仮想ゲートウェイ モードで配置している場合は、信頼インターフェイスと非信頼インターフェイスの IP アドレスが同じになります。図 4-18 に例を示します。

図 4-18 Clean Access Server:ネットワークの設定

 


警告 仮想ゲートウェイ CAS 上の信頼できないネットワーク インターフェイス eth1(NIC2)は、正しく設定を行うまでは物理的に接続しないでください。詳細については、「CD-ROM からの CAS ソフトウェアのインストール」を参照してください。


両方の CAS で HA 構成が完了したら、[New Server] フォームでサービス IP を使用して、HA CAS ペアを CAM に追加します。HA CAS ペアは自動的に同じサーバ タイプとして追加されることに注意してください。たとえば、図 4-19 に示されるようなアウトオブバンド仮想ゲートウェイがあります。

図 4-19 仮想ゲートウェイでの HA ペア

HA 関連で役立つ CLI コマンド

Clean Access Manager

CAM の HA に関連して、次のファイルを覚えておくと役立ちます。

/etc/ha.d/perfigo.conf

/etc/ha.d/ha.cf

次の例は、HA デバッグ/ログ ファイルの場所、および HA ペアの各 CAM(ノード)の名前を示しています。

[root@rjcam_1 ha.d]# more ha.cf
# Generated by make-hacf.pl
udpport 694
bcast eth1
auto_failback off
apiauth default uid=root
log_badpack false
debug 0
debugfile /var/log/ha-debug
logfile /var/log/ha-log
#logfacility local0
watchdog /dev/watchdog
keepalive 2
warntime 10
deadtime 15
node rjcam_1
node rjcam_2

HA CAM のアクティブ/スタンバイ実行時ステータスの確認

次の例は、CLI を使用して HA ペアの各 CAM の実行時ステータス(アクティブまたはスタンバイ)を判別する方法を示しています。新規およびアップグレード済みの CAM にある /perfigo/common/bin/ ディレクトリから fostate.sh コマンドを実行できます。

1. 1 番目の CAM で fostate.sh スクリプトを実行します。

[root@rjcam_1 ~]# ./fostate.sh
My node is active, peer node is standby
[root@rjcam_1 ~]#
 

この CAM が HA ペアのアクティブ CAM です。

2. 2 番目の CAM で fostate.sh スクリプトを実行します。

[root@rjcam_2 ~]# ./fostate.sh
My node is standby, peer node is active
[root@rjcam_2 ~]#
 

この CAM は HA ペアのスタンバイ CAM です。

Clean Access Server

CAS の HA について把握するには、次のファイルが役に立ちます。

HA CAS 設定ステータス /etc/ha.d/perfigo.conf

ハートビート接続とリンクベース接続 /etc/ha.d/ha.cf

リンク検出インターフェイス /etc/ha.d/linkdetect.conf

アクティブ/スタンバイ ステータス /perfigo/common/bin/fostate.sh

HA CAS 設定ステータス

/etc/ha.d/perfigo.conf ファイルには、ホスト名(rjcas_1)、ピア ホスト名(rjcas_2)、HA モード(プライマリ)、ハートビート インターフェイス(UDP またはシリアル)、およびリンク検出インターフェイス情報を含めた、HA CAS に関するさまざまな設定情報が示されます。

[root@rjcas_1 ha.d]# more perfigo.conf
#linux-ha
#Mon Aug 28 18:50:15 PDT 2006
WIRELESS_SERVICEIP=10.10.20.4
PING_DEAD=25
HOSTNAME=rjcas_1
HA_DEAD=15
PEERGUSSK=
PEERMAC=00\:16\:35\:BF\:FE\:67
PEERHOSTNAME=rjcas_2
TRUSTED_PINGNODE=10.10.40.100
UNTRUSTED_PINGNODE=10.10.20.100
HAMODE=PRIMARY
PEERMAC0=00\:16\:35\:BF\:FE\:66
PEERHOSTIP=10.10.50.2
HA_FAILBACK=off
HA_UDP=eth2
WIRED_SERVICEIP=10.10.20.4
HA_SERIAL=ttyS0

ハートビート接続とリンクベース接続

/etc/ha.d/ha.cf ファイルでは、ハートビート接続とリンクベースの接続に関する追加情報が示されます。

[root@rjcas_1 ha.d]# more ha.cf
# Generated by make-hacf-ss.pl
udpport 694
ucast eth2 10.10.50.2
baud 19200
serial /dev/ttyS0
keepalive 2
deadtime 15
deadping 25
auto_failback off
apiauth default uid=root
respawn hacluster /usr/lib64/heartbeat/ipfail
ping 10.10.20.100
ping 10.10.40.100
 
log_badpack false
warntime 10
debug 0
debugfile /var/log/ha-debug
logfile /var/log/ha-log
watchdog /dev/watchdog
node rjcas_1
node rjcas_2

リンク検出インターフェイス

/etc/ha.d/linkdetect.conf ファイルは、ネットワーク トポロジにより、CAS HA ペア アプライアンス間のリンク検出機能のための外部(ping 可能)インターフェイスの設定が制限される場合に有効です。このファイルは、リンク検出機能のために監視する CAS ネットワーク インターフェイス(eth0、eth1、または両方)を指定します。監視対象のインターフェイスが、関連付けられている外部インターフェイスとの接続に失敗すると、アクティブ CAS がフェールオーバーし、スタンバイ CAS がアクティブの役割を引き継ぎます。

CAS で linkdetect.conf ファイルを作成または更新する手順は、次のとおりです。


ステップ 1 CAS ダイレクト コンソール CLI に root ユーザでログインします。

ステップ 2 CAS の /etc/ha.d/ ディレクトリに移動します。

ステップ 3 標準のテキスト エディタ(vi など)を使用し、linkdetect.conf ファイルを編集し、監視対象のインターフェイス名を追加するか、このディレクトリに linkdetect.conf ファイルを追加します(linkdetect.conf ファイルが現在 CAS にない場合)。

ステップ 4 ファイルの内容を確認します。

[root@rjcas_1 ha.d]# more linkdetect.conf
 
# The following network interfaces will be monitored for link healthiness
# The active CAS will change to standby mode when any link failure is detected
#
eth0
eth1
 

ステップ 5 新しい機能をイネーブル化するには、 service perfigo stop コマンドと service perfigo start コマンドを使用して CAS サービスを停止および再起動します。


 

上の linkdetect.conf ファイルの例で、CAS 上の eth0 インターフェイスと eth1 インターフェイスの両方でネットワーク接続性が監視されます。


linkdetect.conf で指定されている他の CAS インターフェイス(eth2 や eth3 など)は、リンク検出動作としては無視されます。


アクティブ/スタンバイ ステータス

次に、CLI を使用して、HA ペアの各 CAS の実行時ステータス(アクティブまたはスタンバイ)を判断する例を示します。新しい CAS またはアップグレードした CAS では、fostate.sh コマンドが /perfigo/common/bin/ ディレクトリにあります。

1. /perfigo/common/bin/ に移動し、最初の CAS で fostate.sh スクリプトを実行します。

[root@rjcas_1 bin]# ./fostate.sh
My node is active, peer node is standby
[root@rjcas_1 bin]#
 

この CAS は、HA ペアのアクティブ CAS です。

2. 2 番めの CAS で fostate.sh スクリプトを実行します。

[root@rjcas_2 bin]# ./fostate.sh
My node is standby, peer node is active
[root@rjcas_2 bin]#
 

この CAS は、HA ペアのスタンバイ CAS です。

ハイ アベイラビリティ ペアの CAS Web コンソールへのアクセス

アクティブ CAS とスタンバイ CAS の判別

CAM Web コンソールから、[Device Management] > [CCA Servers] > [List of Servers] の順番に進んで HA CAS ペアを表示します。[List of Servers] ページに、最初に CAS ペアの [Service IP] が表示され、そのあとにカッコ内にアクティブ CAS の IP アドレスが表示されます。セカンダリ CAS が引き継ぐと、その IP アドレスがアクティブ サーバとしてカッコ内に表示されます。


) HA プライマリ モードで設定されている CAS は、現在アクティブな CAS でない可能性があります。


プライマリ CAS とセカンダリ CAS の判別

ペア内の各 CAS のダイレクト アクセス コンソールを開くため、Web ブラウザの URL またはアドレス フィールドに次の URL を入力します(ブラウザは 2 つ開きます)。

プライマリ CAS で、 https:// <primary_CAS_eth0_IP_address> /admin と入力します。たとえば、 https://172.16.1.2/admin と入力します。

セカンダリ CAS で、 https:// <secondary_CAS_eth0_IP_address> /admin と入力します。たとえば、 https://172.16.1.3/admin と入力します。

各 CAS の Web コンソールで、[Administration] > [Network Settings] > [Failover] > [General] の順番に進みます。

プライマリ CAS は、最初に HA を設定したときに [HA-Primary Mode] で設定した CAS です。

セカンダリ CAS は、最初に HA を設定したときに [HA-Secondary Mode] で設定した CAS です。

4.0(0) よりも前のリリースでは、セカンダリ CAS は初期 HA 設定で [HA-Standby Mode(CAS)] と表示されます。