NSRPとは
Netscreen Redundancy Protocol
複数のNetScreenからなるグループに仮想IPアドレス(VIP) 、仮想MACアドレスを持たせ冗長化する機能です
冗長化構成なので、master(稼動系)が落ちてもbackup(待機系)が存在するので、VIPはダウンしません
尚、VIP に関してはMaster/Backup機ともに同じものを設定します
NSRPはCiscoでいうHSRPみたいなものです
片方の機器に設定を追加/変更すれば、もう片方の機器にも設定が同期されます(一部同期しないものもあり)
通常、NSRPを設定するとデフォルトでport4がHAリンクとなります(機種依存あり)
NSRPの種類と機能
さらに、NSRPには以下の種類が存在します
NSRP-Lite(5GT-Extended,NS25)
簡易的なHAを提供、すなわちActive/Passiveのみの設定が可能である
Passiveに関してはトラフィックを通さない
NSRP(NS50,204から上位機種)
フェイルオーバー時にRTO同期を提供することができる
Active/Activeの設定が可能で帯域の負荷分散もできる(NS50以外)
RTO(ランタイムオブジェクト)とは
通常の動作時に作成されたオブジェクトのことです
| ・セッションテーブルエントリ ・ARPキャッシュエントリ ・DHCPリース ・IPSec SA(セキュリティアソシエーション) ・DNSキャッシュ ・L2TPセッション など |
■RTO同期を使用可能にしないとフェイルオーバー時にセッション、キャッシュ等が引き継がれない
> set nsrp rto-mirror sync
■RTO同期をする前提でセッションを引き継ぎたくない場合
> set policy ~ no-session-backup
↑ポリシーにオプションとして”no-session-backup”を入れる
(VPNセッションを張っているインターフェースがダウンしない場合)
つまり、Master/Backup機ともにVPNセッションが張られた状態になってしまいます
この状態の時は問題はないですがフェールバックしたときに通信断が発生してしまいます
しかし、この時Backup機のセッションを切断(”clear ike all”)すると通信が再び始まります
因みにNS50はVPNセッション が上記のように残ったままになったとしても Master/Backup機ともに通信は問題なくできます
つまり、これはNSRP-Liteの弊害・・・なのかな?
NSRPを構成するとプロンプトに以下の項目が追加されます
| 表示 | 状態 |
| (M) | master |
| (B) | primary backup |
| (I) | inoperable |
尚、LED種別については「LED解説」を参考にしてください
コマンドでのフェイルオーバー機切り戻し
NetScreenの冗長構成においてNSRP設定の”preempt”が有効の場合は、priority値が低いものへと動的に切り替わります
つまり、障害などでダウンしていた 元Master機 を復旧させた場合などは自動で切り戻されます
また、”preempt”の設定が入ってないものは手動で切り戻さなくてはなりません
■preempt の設定
> set nsrp vsd-group id [ ID ] preempt hold-down {0-255}
hold-down時間 は”0~255”までで指定可能
これは急激なフェールオーバーの繰り返しを防ぐため
■手動で切り戻しを行う場合(現Backup機で実行)
> exec nsrp vsd-group [ID] mode backup
正常に切り戻しが行われたかは、HAのステータスを確認してください
