NSRP とは、
複数台の Netscreen から成るグループに 1 つの仮想 IP アドレスを持たせる機能。
正常時は、仮想 IP アドレスに対するトラフィックは master と呼ばれる Netscreen が処理する。
そして master がダウンしても
他の Netscreen が仮想 IP アドレスに対するトラフィックの処理を引き継ぐ。
こうすることによって、仮想 IP アドレスはダウンせずに済む。
Cisco で言う HSRP のような機能。
設定方法は次の通り。
NetScreen-5GT(NS5GT) extended 2 台を使用。
Port Mode は、Extended 。
まずは、インターフェースの IP アドレスを全て同じに設定する。
これが仮想 IP アドレスに当たる。
ethernet1 : 1.1.1.100
ethernet2 : 2.2.2.100
ethernet3 : 3.3.3.100
各 Netscreen にアクセスしたい場合は、
インターフェースの [Manage IP] に各管理用 IP アドレスを設定する。
WAN 側など物理インターフェースにアクセスする必要が無い場合は、
IP アドレスを 0.0.0.0 とする。
ethernet1 : 1.1.1.1
ethernet2 : 2.2.2.1
ethernet3 : 3.3.3.1
ethernet1 : 1.1.1.2
ethernet2 : 2.2.2.2
ethernet3 : 3.3.3.2
NetScreen#1
[Network] --> [NSRP] --> [Cluster]
[Cluster ID] を 1 として設定する。
NSRP Protocol Version 2.0
● Cluster ID : 1
○ Not in Cluster
Local Unit 11111111 Active Units Discovered 11111111
Number of Gratuitous ARP's to Resend : 4 (デフォルト)
□ NSRP Authentication Password :
□ NSRP Encryption Password :
[Network] --> [NSRP] --> [VSD Group]
Netscreen#1 をプライマリとする。
Netscreen#1 が正常な時には常にこちらをプライマリにしたいので、
[Enable Preempt] にチェックを入れる。
デフォルトで用意されている Group 0 を使う。
[Edit] をクリックして以下のように編集。
Group ID : 0
Priority : 100
Enable Preempt : 〆
Preempt Hold-Down Time (sec) : 3 (デフォルト)
Status : init
[Network] --> [NSRP] --> [Monitor] --> [Interface]
WAN 側インターフェース ethernet3
管理用インターフェース ethernet2
LAN 側インターフェース ethernet1
いずれか 1 つがダウンしたらフェールオーバーするように設定する。
VSD ID: Device Edit Interface をクリック
Interface Name Wetght(1〜255)
〆 ethernet1 255
〆 ethernet2 255
〆 ethernet3 255
[Network] --> [NSRP] --> [Link]
Netscreen 同士の NSRP のやり取りを行うインターフェースを決める。
管理用インターフェース ethernet2 を使うように設定する。
ethernet2 の障害時などに使用されるセカンダリインターフェースは ethernet1 とする。
その切替は NSRP のやり取りを 1 秒間隔で実施して 5 回失敗すると切替る。
NSRP Interface : ethernet2
Secondary Link : ethernet1
Enable HA Link Probe 〆
Interval : 1 (1〜255) (デフォルト)
Threshold : 5 (1〜255) (デフォルト)
NetScreen#2
[Network] --> [NSRP] --> [Cluster]
[Cluster ID] を 1 として設定する。
NSRP Protocol Version 2.0
● Cluster ID : 1
○ Not in Cluster
Local Unit 22222222 Active Units Discovered 22222222
Number of Gratuitous ARP's to Resend : 4 (デフォルト)
□ NSRP Authentication Password :
□ NSRP Encryption Password :
[Network] --> [NSRP] --> [VSD Group]
デフォルトで用意されている Group 0 を使う。
Netscreen#2 をセカンダリとする。
Netscreen#2 は Priority が低いので、
[Enable Preempt] にチェックを入れても意味がない。
[Edit] をクリックして以下のように編集
Group ID : 0
Priority : 110
Enable Preempt : □
Preempt Hold-Down Time (sec) : 3 (デフォルト)
Status : init
[Network] --> [NSRP] --> [Monitor] --> [Interface]
WAN 側インターフェース ethernet3
管理用インターフェース ethernet2
LAN 側インターフェース ethernet1
いずれか 1 つがダウンしたらフェールオーバーするように設定する。
VSD ID: Device Edit Interface をクリック
Interface Name Wetght(1〜255)
〆 ethernet1 255
〆 ethernet2 255
〆 ethernet3 255
[Network] --> [NSRP] --> [Link]
Netscreen 同士の NSRP のやり取りを行うインターフェースを決める。
管理用インターフェース ethernet2 を使うように設定する。
ethernet2 の障害時などに使用されるセカンダリインターフェースは ethernet1 とする。
その切替は NSRP のやり取りを 1 秒間隔で実施して 5 回失敗すると切替る。
NSRP Interface : ethernet2
Secondary Link : ethernet1
Enable HA Link Probe 〆
Interval : 1 (1〜255) (デフォルト)
Threshold : 5 (1〜255) (デフォルト)
[Network] --> [NSRP] --> [Synchronization]
□ NSRP RTO Synchronization (デフォルト)
〆 NSRP Session Synchronization (デフォルト)
[NSRP RTO Synchronization] にチェックを入れて [Apply] を押すと、
次のようなエラーメッセージがポップアップされて設定できない。
「set nsrp rto-mirror sync unknown keyword rto-mirror」
[NSRP Session Synchronization] にチェックが入っているが、
NS5GT extended ではセッション引継ぎはできない。
これで、正常時は仮想 IP アドレスに対するトラフィックをNetscreen#1 が処理し、
Netscreen#1 のインターフェースが 1 つでもダウンするとフェールオーバーして、
Netscreen#2 が仮想 IP アドレスに対するトラフィックを処理するようになる。