クイックツアー/AT-SESCの同期
AT-SESCシステムを2台用意し、認証データ(認証データベース)を同期することで、ネットワークの制御に冗長性を持たせることができます。
同期されたAT-SESCシステムは、一方をプライマリ、もう一方をセカンダリと呼び、プライマリのAT-SESCシステムのデータベースがセカンダリのAT-SESCシステムにコピーされます。
同期開始時は、IPアドレスが小さい方のAT-SESCシステムがプライマリに決定されます。
設定はプライマリのAT-SESCシステムに対して行います。セカンダリのAT-SESCシステムでは、情報の変更は行えません。
同期されるデータベースの情報は次のとおりです。
- デバイス
- 未認証グループ
- スイッチ
- セキュリティーポリシー
- ネットワーク
- ロケーション
- スケジュール
- アクション
「デバイス」/「接続中 デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容は、実際に管理中のOpenFlowスイッチからの情報を取得し、表示します。このため、設定によっては、同期中のAT-SESCのWeb設定画面にて、上記の内容が異なって表示される場合があります。
AT-SESCの冗長構成は、AMFアプリケーションプロキシーホワイトリスト機能では未サポートです。
同期に必要な要件
AT-SESCの同期を行う場合に必要な要件は次のとおりです。
- 同期に使用するインターフェースが、お互いに疎通可能なIPv4セグメントに接続されている必要があります。
同期に使用するインターフェースは、OpenFlowスイッチとの接続に使用するインターフェース(コントロールプレーンポート兼管理用ポート)と共用することができます。
また、別途インターフェースを追加することで、同期用の通信をOpenFlowスイッチとの通信から分けることができます。
AT-SESC-APLをお使いの場合、port1のみを使用するか、port1をコントロールプレーンポート兼管理用ポートとして、port2を認証データベースの同期用ポートとして使用できます(port3~6は未サポート)。
- インターフェース設定を除き、同じシステム設定を行っている必要があります。システム設定は同期によってコピーされません。
- 同じNTPサーバーに時刻を同期している必要があります。
また、あわせて、周辺の機器に対して、以下の設定を行うことをおすすめします。
- 管理下のOpenFlowスイッチに対して、OpenFlowコントローラーとして、2つのAT-SESCシステムのIPアドレスを設定してください。
一方のAT-SESCシステムのみをOpenFlowコントローラーとして指定している場合、2つのAT-SESCシステム間で、「デバイス」/「接続中 デバイス一覧」画面、「スイッチ」/「接続中 OpenFlow スイッチ一覧」画面の内容が異なって表示される場合があります。
- 連携アプリケーションを使用する場合は、SyslogメッセージまたはSNMPトラップの通知先として、2つのAT-SESCシステムのIPアドレスを設定してください。
一方のAT-SESCシステムのみをSyslogメッセージ/SNMPトラップの通知先に指定している場合、障害が発生すると、連携アプリケーションによるアクションの更新が正常に行われなくなることがあります。
通知先を1つしか設定できない場合は、その通知先のAT-SESCに「システム設定」/「トラップ監視設定」画面の「Syslog 転送先ホスト」「SNMP Trap 転送先ホスト」を設定しておくことで、アクションが更新できないケースを軽減することができます。
同期の設定
同期の設定は次の手順で行います。
同期の前に、必要に応じて、それぞれのAT-SESCシステムにて、認証データのダウンロードを行いバックアップを作成しておくことをおすすめします。
- 2台のAT-SESCシステムが疎通可能な状態にします。
- 「システム設定」/「ネットワーク設定」画面を表示します。

- 「認証データベースの同期を有効にします。」チェックボックスにチェックを付けます。
- 「自身の IPv4 アドレス」、「同期先 IPv4 アドレス」をそれぞれに入力します。

- 「登録」ボタンをクリックします。
上記の設定を、同期する2つのAT-SESCシステムのそれぞれに対して行います。
同期後は、AT-SESCのWeb設定画面にログインすると、「sesc /同期中 (プライマリ)」「sesc /同期中 (セカンダリ)」のように、画面右上のホスト名に続いて、同期状態が表示されるようになります。
また、「システム設定」/「システム情報」画面の「データベース同期」欄にも同様に「同期中 (プライマリ)」などの同期状態が表示されます。

同期に障害が発生した場合
同期に障害が発生した場合、AT-SESCシステムは以下のようにプライマリ/セカンダリを決定します。
- プライマリに電源断などの障害が発生してセカンダリのみの状態になった場合、セカンダリのAT-SESCシステムは自動的にプライマリに昇格し、OpenFlowスイッチに対する管理を引き継ぎます。
- 2つのAT-SESCシステムが正常に動作したまま同期用のリンク(通信)のみが途絶した場合は、それぞれがプライマリとして(セカンダリはプライマリに昇格して)、OpenFlowスイッチの管理を行います。
この際、Web設定画面から設定を変更したり、一方のシステムのみにSyslogメッセージまたはSNMPトラップが通知されたりしない限りは、2つのAT-SESCシステムは同じ情報に基づいてデバイスのフローを決定します。
- セカンダリに電源断などの障害が発生した場合は、プライマリのAT-SESCシステムが継続してOpenFlowスイッチに対する管理を行います。
復旧時
障害から復旧した際、対向の電源断によってセカンダリからプライマリに昇格したAT-SESCシステムが存在する場合、そのAT-SESCシステムがプライマリを継続します。
セカンダリに電源断などの障害が発生し、復旧した場合は、プライマリとセカンダリの変更は発生しません。
2つのAT-SESCシステムが正常に動作したまま同期用のリンク(通信)のみが途絶し、それぞれがプライマリとして動作していた場合は、障害から復旧した際にプライマリとセカンダリが入れ替わることがあります。
また、一方のAT-SESCシステムに機器障害が発生し、新しいAT-SESCシステムに機器を交換した場合などは、同期の再開が行えないことがあります。
入れ替わったプライマリとセカンダリを元に戻す場合、および再開が行えない同期を復旧させる場合は、プライマリとして動作中のAT-SESCシステムから認証データをダウンロードし、同期を再設定した後、認証データをアップロードします。
交換用のAT-SESCシステムに対して、以前のAT-SESCシステムと同様のシステム設定を設定しておく必要があります。
- プライマリとして動作中のAT-SESCのWeb設定画面にて、「システム設定」/「メンテナンス」画面を表示します。
- 「認証データをダウンロードします」の「ダウンロード」ボタンをクリックし、認証データをダウンロードします。
- 「システム設定」/「ネットワーク設定」画面を表示します。
- 「認証データベースの同期を有効にします。」チェックボックスのチェックをはずします。
- 「登録」ボタンをクリックします。
- クイックツアー「AT-SESCの同期」/「同期の設定」の手順に従って、2つのAT-SESCシステムに同期の設定を行います。
同期の際、プライマリとして動作していたAT-SESCの認証データが消去されることがあります。
- 再同期後、プライマリのAT-SESCシステムのWeb設定画面にて、「システム設定」/「メンテナンス」画面を表示します。
- 「認証データをインポートします。」の「参照」ボタンをクリックして、手順2.でダウンロードした認証データ(CSV形式)を選択し、「インポート」ボタンをクリックします。
復旧手順は以上です。
電源オフ・電源オン 手順
メンテナンス等で、同期中のAT-SESCの電源オフ・電源オンを行う場合の手順は次のとおりです。
電源オフ手順
- プライマリで稼働しているAT-SESCの「システム設定」/「メンテナンス」画面で、「この装置の電源を切ります」の「シャットダウン」ボタンをクリックして電源を切ります。
- AT-SESC-APLの場合は、背面の電源スイッチをオフにします。
- セカンダリとして稼働していたAT-SESCの「システム設定」/「SESC Log」画面を開き、「WARNING A synchronization of MongoDB is invalid」のログが記録されることを確認します。
手順1.を実施後、1分~1分30秒くらい掛かります。
- 手順1.と同じ手順で、セカンダリとして稼働していたAT-SESCの電源を切ります。
- AT-SESC-APLの場合は、背面の電源スイッチをオフにします。
電源オン手順
- プライマリで稼働していたAT-SESCの電源をオンにします。
- 「システム設定」/「SESC Log」画面を開き、「web INFO MongoDB become a Primary」のログが記録されることを確認します。
- セカンダリで稼働していたAT-SESCの電源をオンにします。
(C) 2015-2019 アライドテレシスホールディングス株式会社
PN: 613-002214 Rev.J