クイックツアー / AMF Securityの同期
AT-VST-APLを2台用意し、AMF Securityの認証データ(認証データベース)を同期することで、ネットワークの制御に冗長性を持たせることができます。
同期されたAMF Securityは、一方をプライマリ、もう一方をセカンダリと呼び、プライマリのAMF Securityのデータベースが、セカンダリのAMF Securityのデータベースにコピーされます。
設定はプライマリおよびセカンダリ両方のAMF Securityに対して行います。「データベース同期ノード設定」ダイアログで、両方のAMF SecurityのIPアドレスを指定して、プライマリまたはセカンダリのどちらにするかを選択します。
同期されるデータベースの情報は次のとおりです。
- デバイス
- 未認証グループ
- タグ
- スイッチ
- セキュリティーポリシー
- ネットワーク
- ロケーション
- スケジュール
- アクション
- アカウントグループ
「デバイス」/「接続中 デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容は、実際に管理中のOpenFlowスイッチからの情報を取得し、表示します。このため、設定によっては、同期中のAMF Securityの設定画面にて、上記の内容が異なって表示される場合があります。
AMF Securityの冗長構成は、AMFアプリケーションプロキシーホワイトリスト機能では未サポートです。
認証済みの端末が別のポートに移動した場合などでOpenFlowのパケット制御フロー(フローエントリー)の更新が行われた際に、フローエントリーが削除されたことを示すログが複数記録される場合がありますが、認証の動作に影響はありません。
データベース同期の設定は、「システム設定」/「システム情報」画面でエクスポート(ダウンロード)したファイルに含まれません。そのため、システム設定のファイルをインポートした後は、再度データベース同期の設定を行ってください。
2つのAMF Securityは、同じNTPサーバーに時刻を同期している必要があります。NTPサーバーの設定は、AT-VST-APLの設定画面で行います。設定方法は、弊社ホームページに掲載されている「AT-VST-APL リファレンスマニュアル」をご参照ください。
また、2つのAMF Securityのタイムゾーンも、同じ設定である必要があります。
認証データベースの同期開始後にシステム時刻が大きく変更された場合、認証データの変更を行えなくなることがあります。
この場合、各システムの認証データベースの同期を無効にして、システム時刻を正しく合わせた後に再度同期を有効にすることで復旧します。
同期に必要な要件
AMF Securityの同期を行う場合に必要な要件は次のとおりです。
- 2台のAT-VST-APLを使用します。セカンダリに使用するAT-VST-APLでは、AMF Securityアプリケーションの使用のみサポートしています。そのため、AT-VST-APLの設定画面でAMF Securityアプリケーション以外を停止する必要があります。
AT-VST-APLでのアプリケーションの停止方法については、弊社ホームページに掲載されている「AT-VST-APL リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。
- 同期に使用する2台のAT-VST-APLおよびAMF Securityが、互いに疎通可能なIPv4セグメントに接続されている必要があります。
- 同期に使用するインターフェースは、OpenFlowスイッチとの接続に使用するインターフェース(コントロールプレーンポート兼管理用ポート)と共用になります。
- 2つのAMF Securityは、同じシステム設定を行っている必要があります。システム設定は同期によってコピーされません。
- 2台のAT-VST-APLは、同じNTPサーバーに時刻を同期している必要があります。また、2つのAMF Securityのタイムゾーンも、同じ設定である必要があります。
また、あわせて、周辺の機器に対して、以下の設定を行うことをおすすめします。
- 管理下のOpenFlowスイッチに対して、OpenFlowコントローラーとして、2つのAMF SecurityのIPアドレスを設定してください。
一方のAMF SecurityのみをOpenFlowコントローラーとして指定している場合、2つのAMF Security間で、「デバイス」/「接続中 デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容が異なって表示される場合があります。
- 連携アプリケーションを使用する場合は、SyslogメッセージまたはSNMPトラップの通知先として、2つのAMF SecurityのIPアドレスを設定してください。
一方のAMF SecurityのみをSyslogメッセージ/SNMPトラップの通知先に指定している場合、障害が発生すると、連携アプリケーションによるアクションの更新が正常に行われなくなることがあります。
通知先を1つしか設定できない場合は、その通知先のAMF Securityに「システム設定」/「トラップ監視設定」画面の「Syslog 転送先ホスト」「SNMP Trap 転送先ホスト」を設定しておくことで、アクションが更新できないケースを軽減することができます。
「システム設定」/「トラップ監視設定」画面の「Syslog 転送先ホスト」で設定した転送先ホストには、TCPで受信したSyslogメッセージは転送できません。
同期の設定
同期の設定はセカンダリで使用する機器、その後にプライマリで使用する機器の順で行います。
同期の前に、必要に応じて、それぞれのAMF Securityにて、認証データのダウンロードを行いバックアップを作成しておくことをおすすめします。
- 2つのAMF Securityが疎通可能な状態にします。
- セカンダリで使用するAMF Securityで、「システム設定」/「ネットワーク設定」画面を表示して、「データベース同期」項目の「有効化」ボタンをクリックします。
- 「データベース同期ノード設定」ダイアログが表示されます。
- 「自身の IPv4 アドレス」および「同期先 IPv4 アドレス」を入力して、「セカンダリとして有効化」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、手順6のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
- ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目に設定が反映されたことを確認します。
(この時点では、プライマリの設定をしていないため、同期先の「状態」項目は「ダウン」と表示されています。)
手順4の画面で「セカンダリとして有効化」の設定を行いましたので、もう1つのAMF Securityで「プライマリとして有効化」の設定を行ってください。
同期後は、AMF Securityの設定画面にログインすると、「manager@sesc /同期中 (プライマリ)」「manager@sesc /同期中 (セカンダリ)」のように、画面右上のホスト名に続いて、同期状態が表示されるようになります。
また、「システム設定」/「システム情報」画面の「データベース同期」項目にも同様に「同期中 (プライマリ)」などの同期状態が表示されます。
同期に障害が発生した場合
同期に障害が発生した場合、AMF Securityは以下のようにプライマリまたはセカンダリを決定します。
- プライマリに電源断などの障害が発生してセカンダリのみの状態になった場合、セカンダリのAMF Securityは自動的にプライマリに昇格し、OpenFlowスイッチに対する管理を引き継ぎます。
- 2つのAMF Securityが正常に動作したまま同期用のリンク(通信)のみが途絶した場合は、それぞれがプライマリとして(セカンダリはプライマリに昇格して)、OpenFlowスイッチの管理を行います。この際、Web設定画面から設定を変更したり、一方のシステムのみにSyslogメッセージまたはSNMPトラップが通知されたりしない限りは、2つのAMF Securityが同じ情報に基づいてデバイスのフローを決定します。
- セカンダリに電源断などの障害が発生した場合は、プライマリのAMF Securityが継続してOpenFlowスイッチに対する管理を行います。
障害からの復旧時
障害から復旧した際、対向の電源断によってセカンダリからプライマリに昇格したAMF Securityが存在する場合、そのAMF Securityがプライマリを継続します。
セカンダリに電源断などの障害が発生し、復旧した場合は、プライマリとセカンダリの変更は発生しません。
2つのAMF Securityが正常に動作したままネットワークの経路断等が発生した場合や、同期用のリンク(通信)のみが途絶しそれぞれがプライマリとして動作していた場合は、障害から復旧した際にプライマリとセカンダリが入れ替わることがあります。
また、一方のAMF Securityに機器障害が発生し、新しいAMF Securityに機器を交換した場合などは、同期の再開が行えないことがあります。
同期の再開が行えなかった場合に、復旧する手順を以下に示します。
交換用のAMF Securityに対して、以前のAMF Securityと同様のシステム設定を設定しておく必要があります。
AMF Securityに機器障害が発生し、新しいAMF Securityに機器を交換した場合
次の手順で復旧します。
- プライマリとして動作中のAMF Securityの設定画面で、「システム設定」/「システム情報」画面を表示します。
- 「認証データ」の「エクスポート」ボタンをクリックし、認証データをダウンロードします。
- 「システム設定」/「ネットワーク設定」画面を表示します。
- 「データベース同期」の「無効化」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- クイックツアー「AMF Securityの同期」/「同期の設定」の手順に従って、2つのAMF Securityに同期の設定を行います。
同期の際、プライマリとして動作していたAMF Securityの認証データが消去されることがあります。
- 再同期後、プライマリのAMF Securityの設定画面で、「システム設定」/「システム情報」画面を表示します。
- 「認証データ」の「インポート」ボタンをクリックして、「認証データのアップロード」画面を開きます。
- 「ファイルを選択」ボタンをクリックし、手順2でダウンロードした認証データ(CSV形式)を選択して、「登録」ボタンをクリックします。
復旧手順は以上です。
経路断等や同期用のリンク(通信)のみが途絶後に復旧して、同期の再開が行えなかった場合
2つのAMF Securityの状態を確認し、「システム設定」/「ネットワーク設定」画面の「データベース同期」の「再接続」ボタンで復旧を行います。
同期の状態はそれぞれのAMF Securityで以下の2点を確認します。
「データベース同期」項目の「自身」が「ダウン」と表示されている場合
次の手順で復旧します。
- 「データベース同期」項目の「自身」が「ダウン」と表示されているAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
- 「データベース同期」の「再接続」ボタンをクリックします。
- 「データベース同期ノード再接続」ダイアログが表示されます。
- 「セカンダリとして再接続」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
- ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
- もう1つのAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
- 「データベース同期」項目の「再接続」ボタンをクリックします。
- 「データベース同期ノード再接続」ダイアログが表示されます。
- 「プライマリとして再接続」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
- ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
復旧手順は以上です。
「認証データ」の状態が「認証データベースの同期待ち状態です。」と表示されている場合
次の手順で復旧します。
- 「認証データ」の状態が「認証データベースの同期待ち状態です。」と表示されていないAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
「認証データベースの同期待ち状態です。」と表示されていないAMF Security側の操作になりますのでご注意ください。
- 「データベース同期」項目の「再接続」ボタンをクリックします。
- 「データベース同期ノード再接続」ダイアログが表示されます。
- 「セカンダリとして再接続」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
- ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
- もう1つのAMF Securityの「システム設定」/「ネットワーク設定」画面を表示します。
- 「データベース同期」項目の「再接続」ボタンをクリックします。
- 「データベース同期ノード再接続」ダイアログが表示されます。
- 「プライマリとして再接続」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- メッセージが表示された後、AMF Securityが再起動しますので、再度AMF Securityにログインします。
- ログイン後、「システム設定」/「ネットワーク設定」画面が表示されます。「データベース同期」項目の表示が以下のようになっていることを確認します。
- 「システム設定」/「システム情報」画面を表示します。
- 「認証データ」の項目にサイズと更新日時が表示されていることを確認します。
復旧手順は以上です。
プライマリとセカンダリを入れ替える場合
全体の手順としては同期の設定を一度無効にして再設定を行います。
- プライマリとして動作中のAMF Securityの設定画面で、「システム設定」/「システム情報」画面を表示します。
- 「認証データ」の「エクスポート」ボタンをクリックし、認証データをダウンロードします。
- セカンダリとして動作中のAMF Securityの設定画面で、「システム設定」/「ネットワーク設定」画面を表示します。
- 「データベース同期」の「無効化」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- プライマリとして動作中のAMF Securityの設定画面で、「システム設定」/「ネットワーク設定」画面を表示します。
- 「データベース同期」の「無効化」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- クイックツアー「AMF Securityの同期」/「同期の設定」の手順に従って、2つのAMF Securityに同期の設定を再度行ってください。
プライマリとセカンダリを入れ替える手順は以上です。
同期の設定の無効化
バージョンアップなどで、同期の設定の無効化を行う手順は次のとおりです。
- セカンダリで稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面で、「データベース同期」の「無効化」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
- プライマリとして稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面を開き、「データベース同期」項目の同期先が「ダウン」になることを確認します。
手順2を実施後、30秒~1分くらい掛かる場合があります。
- プライマリとして稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面で、「データベース同期」の「無効化」ボタンをクリックします。
- 「OK」ボタンをクリックします。
「OK」ボタンをクリック後、画面上部に「ネットワーク設定を更新しました。設定を反映させるため、30秒後にログアウトします。」のメッセージが表示されるまで、Web設定画面の操作は行わないでください。
なお、メッセージの表示までに30秒くらい掛かる場合があります。
AMF Securityの停止・起動の手順
メンテナンスなどで、同期中のAMF Securityの停止・起動を行う場合の手順は次のとおりです。
AMF Securityアプリケーションの停止の手順
- セカンダリで稼働している機器の「AMF Securityアプリケーション管理」画面で、「停止」ボタンをクリックしてAMF Securityアプリケーションを停止します。
AT-VST-APLでのアプリケーションの停止方法については、弊社ホームページに掲載されている「AT-VST-APL リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。
- プライマリとして稼働しているAMF Securityの「システム設定」/「ネットワーク設定」画面を開き、「データベース同期」項目の同期先が「ダウン」になることを確認します。
手順1を実施後、30秒~1分くらい掛かります。
- 手順1と同じ手順で、プライマリとして稼働している機器で、AMF Securityアプリケーションを停止します。
AMF Securityアプリケーションの起動の手順
- プライマリで稼働していた機器の「AMF Securityアプリケーション管理」画面で、「起動」ボタンをクリックしてAMF Securityアプリケーションを起動します。
AT-VST-APLでのアプリケーションの起動方法については、弊社ホームページに掲載されている「AT-VST-APL リファレンスマニュアル」の「クイックツアー」/「アプリケーションの設定と起動」をご参照ください。
- プライマリで稼働していたAMF Securityの「システム設定」/「ネットワーク設定」画面を開き、「データベース同期」項目の自身が「プライマリ」になることを確認します。
手順1を実施後、30秒~1分くらい掛かります。
- 手順1と同じ手順で、セカンダリとして稼働していた機器で、AMF Securityアプリケーションを起動します。