NSRP とは、
複数台の SSG から成るグループに 1 つの仮想 IP アドレスを持たせる機能。
正常時は、仮想 IP アドレスに対するトラフィックは master と呼ばれる SSG が処理する。
そして master がダウンしても
他の SSG が仮想 IP アドレスに対するトラフィックの処理を引き継ぐ。
こうすることによって、仮想 IP アドレスはダウンせずに済む。
Cisco で言う HSRP のような機能。
設定方法は次の通り。
SSG5-ISDN extended 2 台を使用。
それぞれをSSG5-ISDN#1,SSG5-ISDN#2とする。
まずは、インターフェースの IP アドレスを全て同じに設定する。
これが仮想 IP アドレスに当たる。
SSG5-ISDN#1,#2
bgroup0 : 1.1.1.100
ethernet0/0 : 2.2.2.100
ethernet0/1 : 3.3.3.100
各 SSG にアクセスしたい場合は、次のように
インターフェースの [Manage IP] に各管理用 IP アドレスを設定する。
WAN 側など物理インターフェースにアクセスする必要が無い場合は、
[Manage IP] には IP アドレスを設定しない。
SSG5-ISDN#1
bgroup0 : 1.1.1.1
ethernet0/0 : 2.2.2.1
ethernet0/1 : 3.3.3.1
SSG5-ISDN#2
bgroup0 : 1.1.1.2
ethernet0/0 : 2.2.2.2
ethernet0/1 : 3.3.3.2
SSG5-ISDN#1 の設定
[Network] --> [NSRP] --> [Cluster]
[Cluster ID] を 1 として設定する。
NSRP Protocol Version 2.0
● Cluster ID : 1
○ Not in Cluster
Local Unit 11111111 Active Units Discovered 11111111
Number of Gratuitous ARP's to Resend : 4 (デフォルト)
□ NSRP Authentication Password :
□ NSRP Encryption Password :
[Network] --> [NSRP] --> [VSD Group]
SSG5-ISDN#1 をプライマリとする。
SSG5-ISDN#1 が正常な時には常にこちらをプライマリにしたいので、
[Enable Preempt] にチェックを入れる。
デフォルトで用意されている Group 0 を使う。
[Edit] をクリックして以下のように編集。
Group ID : 0
Priority : 100
Enable Preempt : 〆
Preempt Hold-Down Time (sec) : 3 (デフォルト)
Status : init
[Network] --> [NSRP] --> [Monitor] --> [Interface]
WAN 側インターフェース ethernet0/0
管理用インターフェース bgroup0
LAN 側インターフェース ethernet0/1
いずれか 1 つがダウンしたらフェールオーバーするように設定する。
VSD ID: Device Edit Interface をクリック
Interface Name Wetght(1〜255)
〆 ethernet0/0 255
〆 ethernet0/1 255
〆 bgroup0 255
[Network] --> [NSRP] --> [Link]
SSG 同士の NSRP のやり取りを行うインターフェースを決める。
管理用インターフェース ethernet0/1 を使うように設定する。
ethernet0/1 の障害時などに使用されるセカンダリインターフェースは bgroup0 とする。
その切替は NSRP のやり取りを 1 秒間隔で実施して 5 回失敗すると切替る。
NSRP Interface : ethernet0/1
Secondary Link : bgroup0
Enable HA Link Probe 〆
Interval : 1 (1〜255) (デフォルト)
Threshold : 5 (1〜255) (デフォルト)
[Network] --> [NSRP] --> [Synchronization]
□ NSRP RTO Synchronization (デフォルト)
〆 NSRP Session Synchronization (デフォルト)
□ NSRP Backup Session Timeout Acknowledge (デフォルト)
□ Non-vsi Session Synchronization (デフォルト)
SSG5-ISDN#2 の設定
[Network] --> [NSRP] --> [Cluster]
[Cluster ID] を 1 として設定する。
NSRP Protocol Version 2.0
● Cluster ID : 1
○ Not in Cluster
Local Unit 22222222 Active Units Discovered 22222222
Number of Gratuitous ARP's to Resend : 4 (デフォルト)
□ NSRP Authentication Password :
□ NSRP Encryption Password :
[Network] --> [NSRP] --> [VSD Group]
デフォルトで用意されている Group 0 を使う。
SSG5-ISDN#2 をセカンダリとする。
SSG5-ISDN#2 は Priority が低いので、
[Enable Preempt] にチェックを入れても意味がない。
[Edit] をクリックして以下のように編集
Group ID : 0
Priority : 110
Enable Preempt : □
Preempt Hold-Down Time (sec) : 3 (デフォルト)
Status : init
[Network] --> [NSRP] --> [Monitor] --> [Interface]
WAN 側インターフェース ethernet0/0
管理用インターフェース bgroup0
LAN 側インターフェース ethernet0/1
いずれか 1 つがダウンしたらフェールオーバーするように設定する。
VSD ID: Device Edit Interface をクリック
Interface Name Wetght(1〜255)
〆 ethernet0/0 255
〆 ethernet0/1 255
〆 bgroup0 255
[Network] --> [NSRP] --> [Link]
SSG 同士の NSRP のやり取りを行うインターフェースを決める。
管理用インターフェース ethernet0/1 を使うように設定する。
ethernet0/1 の障害時などに使用されるセカンダリインターフェースは bgroup0 とする。
その切替は NSRP のやり取りを 1 秒間隔で実施して 5 回失敗すると切替る。
NSRP Interface : ethernet0/1
Secondary Link : bgroup0
Enable HA Link Probe 〆
Interval : 1 (1〜255) (デフォルト)
Threshold : 5 (1〜255) (デフォルト)
[Network] --> [NSRP] --> [Synchronization]
□ NSRP RTO Synchronization (デフォルト)
〆 NSRP Session Synchronization (デフォルト)
□ NSRP Backup Session Timeout Acknowledge (デフォルト)
□ Non-vsi Session Synchronization (デフォルト)
これで、正常時は仮想 IP アドレスに対するトラフィックは、
SSG5-ISDN#1 が処理し、SSG5-ISDN#1 のインターフェースが 1 つでも
ダウンするとフェールオーバーして、
SSG5-ISDN#2 が仮想 IP アドレスに対するトラフィックを
処理するようになる。