NSRPとは
Netscreen Redundancy Protocol
複数のNetScreenからなるグループに仮想IPアドレス(VIP) 、仮想MACアドレスを持たせ冗長化する機能です
冗長化構成なので、master(稼動系)が落ちてもbackup(待機系)が存在するので、VIPはダウンしません
尚、VIP に関してはMaster/Backup機ともに同じものを設定します
NSRPはCiscoでいうHSRPみたいなものです
片方の機器に設定を追加/変更すれば、もう片方の機器にも設定が同期されます(一部同期しないものもあり)
通常、NSRPを設定するとデフォルトでport4がHAリンクとなります(機種依存あり)
NSRPの種類と機能
さらに、NSRPには以下の種類が存在します
NSRP-Lite(5GT-Extended,NS25)
簡易的なHAを提供、すなわちActive/Passiveのみの設定が可能である
Passiveに関してはトラフィックを通さない
NSRP(NS50,204から上位機種)
フェイルオーバー時にRTO同期を提供することができる
Active/Activeの設定が可能で帯域の負荷分散もできる(NS50以外)
RTO(ランタイムオブジェクト)とは
通常の動作時に作成されたオブジェクトのことです
| ・セッションテーブルエントリ ・ARPキャッシュエントリ ・DHCPリース ・IPSec SA(セキュリティアソシエーション) ・DNSキャッシュ ・L2TPセッション など |
■RTO同期を使用可能にしないとフェイルオーバー時にセッション、キャッシュ等が引き継がれない
> set nsrp rto-mirror sync
■RTO同期をする前提でセッションを引き継ぎたくない場合
> set policy ~ no-session-backup
↑ポリシーにオプションとして”no-session-backup”を入れる
(VPNセッションを張っているインターフェースがダウンしない場合)
つまり、Master/Backup機ともにVPNセッションが張られた状態になってしまいます
この状態の時は問題はないですがフェールバックしたときに通信断が発生してしまいます
しかし、この時Backup機のセッションを切断(”clear ike all”)すると通信が再び始まります
因みにNS50はVPNセッション が上記のように残ったままになったとしても Master/Backup機ともに通信は問題なくできます
つまり、これはNSRP-Liteの弊害・・・なのかな?
NSRPを構成するとプロンプトに以下の項目が追加されます
| 表示 | 状態 |
| (M) | master |
| (B) | primary backup |
| (I) | inoperable |
尚、LED種別については「LED解説」を参考にしてください
NSRPステータス表示
NetScreen(SSG)での冗長構成時に機器の状態等を確認するには以下のコマンドを使用します
まずは状態の確認方法を説明します
■現在の NSRP の状態を確認する
> get nsrp
~省略~
group priority preempt holddown inelig master PB other members
0 90 no 3 no myself 22222222
~省略~
<項目説明>
| group | 所属しているNSRPグループ(正式にはVSDグループという) |
| priority | 同グループ内で値が小さいほうがマスターとなる |
| preempt | 機器が追加されたとき(障害復旧時や新規追加時など) グループ内で再計算して、自動的に値が小さかったらmaster切り替わる |
| holddown | 切り替わりの遅延時間(秒) トラフィックの切り替えをするための措置 |
| inelig | グループ内のメンバーとして選定プロセスに参加させない |
| master | マスター機を表す この場合「myself」なので、自機がマスター機だとわかる |
| PB(primary backup) | Standby機 |
| other members | 異常時 |
上記の場合はログインしている機器(myself)が「master」となり
もう片方の機器(22222222)が「backup」になります
また、異常時には「other members」の項目に機器が表示され
必ず右横の丸かっこ内にに現在のステータスが表示されます(下記参照)
例:
ログインしている機器が異常、もう片方の機器が「master」機器の場合
master PB other members
11111111 none myself(inoperable)
ログインしている機器が状態変化中、もう片方の機器が「master」機器の場合
master PB other members
11111111 none myself(init)
inoperable からの状態遷移は次のようになります
inoperable → init → primary backup ※広義のbackup機という意味
コマンドでのフェイルオーバー機切り戻し
NetScreenの冗長構成においてNSRP設定の”preempt”が有効の場合は、priority値が低いものへと動的に切り替わります
つまり、障害などでダウンしていた 元Master機 を復旧させた場合などは自動で切り戻されます
また、”preempt”の設定が入ってないものは手動で切り戻さなくてはなりません
■preempt の設定
> set nsrp vsd-group id [ ID] preempt hold-down {0-255}
hold-down時間 は”0~255”までで指定可能
これは急激なフェールオーバーの繰り返しを防ぐため
■手動で切り戻しを行う場合(現Backup機で実行)
> exec nsrp vsd-group [ID] mode backup
正常に切り戻しが行われたかは、HAのステータスを確認してください
NSRP状態遷移時のログ
■イベントログにて NSRP の変移を確認します
> get event level critical
<前提条件>
[ns1] nsrp : master unit id : 11111111 マスター機
[ns2] nsrp : backup unit id : 22222222 バックアップ機
ns1 の eth1抜線の場合の ns1ログ
2020-11-07 20:47:59 system crit 00075 The local device 11111111 in the
Virtual Security Device group 0
changed state from master to
inoperable.
↑11111111(マスター機)がinoperable状態になる
Date Time Module Level Type Description
2020-11-07 20:48:00 system crit 00015 Peer device 22222222 in the Virtual
Security Device group 0 changed state
from primary backup to master.
↑22222222(バックアップ機)がマスターになる
ns1 の eth1抜線の場合の ns2ログ
2020-11-07 20:47:44 system crit 00015 Peer device 11111111 in the Virtual
Security Device group 0 changed state
from master to inoperable.
↑11111111(マスター機)がinoperable状態になる
Date Time Module Level Type Description
2020-11-07 20:47:44 system crit 00071 The local device 22222222 in the
Virtual Security Device group (0)
changed state from primary backup to
master, missing master.
↑マスター機が見えなくなったので
22222222(バックアップ機)がマスターになる
ns1 の eth1抜線し、さらに挿線時の場合の ns1ログ
2020-11-07 20:54:11 system crit 00070 The local device 11111111 in the
Virtual Security Device group 0
changed state from inoperable to init.
↑11111111(inoperable状態)がinit状態になる
Date Time Module Level Type Description
2020-11-07 20:54:16 system crit 00073 The local device 11111111 in the
Virtual Security Device group (0)
changed state from init to primary
backup, missing backup.
↑11111111(init状態)が復旧してマスター機になる
ns1 の eth1抜線し、さらに挿線時の場合の ns2ログ
2020-11-07 20:53:56 system crit 00015 Peer device 11111111 in the Virtual
Security Device group 0 changed state
from inoperable to init.
↑11111111(inoperable状態)がinit状態になる
Date Time Module Level Type Description
2020-11-07 20:54:01 system crit 00015 Peer device 11111111 in the Virtual
Security Device group 0 changed state
from init to primary backup.
↑11111111(init状態)が復旧してマスター機になる
ns2 が Master時 に
ns2 の eth1抜線 した場合の ns1ログ
2020-11-07 20:57:07 system crit 00015 Peer device 22222222 in the Virtual
Security Device group 0 changed state
from master to inoperable.
↑22222222(マスター機)がinoperable状態になる
Date Time Module Level Type Description
2020-11-07 20:57:07 system crit 00071 The local device 11111111 in the
Virtual Security Device group (0)
changed state from primary backup to
master, missing master.
↑マスター機が見えなくなったので
11111111(バックアップ機)がマスターになる
ns2 が Master時 に
ns2 の eth1抜線 した場合の ns2ログ
2020-11-07 20:56:51 system crit 00075 The local device 22222222 in the
Virtual Secruity Device group 0
changed state from master to
inoperable.
↑22222222(マスター機)がinoperable状態になる
Date Time Module Level Type Description
2020-11-07 20:56:52 system crit 00015 Peer device 11111111 in the Virtual
Security Device group 0 changed state
from primary backup to master.
↑11111111(init状態)が復旧してマスター機になる
<勉強のおともに>
