ネットワークテストは GARP 受信に対応していない
ポリシーテスト自動化アプライアンスである NEEDLEWORK には、ポリシーテストだけではなく、連続 Ping を実施して Ping 断時間の計測ができる「ネットワークテスト」という機能があります。
このネットワークテストを実際に使用して判明したことですが、ネットワークテスト中に NEEDLEWORK が GARP を受信しても、NEEDLEWORK からの Ping の宛先 MAC は更新されません。この仕様から、HA 構成の Active 機が切り替わった後、ネットワークテストの Ping が復旧しない場合があります。
以下をすべて満たす場合はネットワークテストでは対応できません。
- HA 構成の切り替わり時の Ping 断時間を計測したい場合
- かつ、HA 構成の Active 機が切り替わる際に、VIP の MAC アドレスも切り替わる場合
- Active 切り替わり時に、新 Active 機から VIP に関する GARP が送信される仕様の場合
- かつ、NEEDLEWORK が HA 構成機器と同じセグメント内に存在する場合
- HA 構成機器と NEEDLEWORK の間にルータを挟んでセグメント分けしていればこの問題は回避可能
以下、詳しく説明していきます。
HA の VIP の MAC アドレスの変化と GARP について
以下のような構成を考えます。
- ファイアウォールは 2 台 HA 構成です
- VIP の MAC アドレスは、Active 機のインターフェースの MAC アドレスと同じになる仕様
- ※機種や設定状況によっては VIP の MAC アドレスとして仮想 MAC が使用されますが、ここでは仮想 MAC を使用しない場合を考えます
- PC がファイアウォール VIP セグメントに直結している構成です
- PC のデフォルトゲートウェイはファイアウォールの VIP と設定しています
この構成から、例えば Active 機側のリンクダウンを発生させて Active を切り替えると以下の状況になります。
VIP の MAC アドレスは新 Active 機のインターフェースの MAC アドレスと同じ値へ変化します。
新たに Active に切り替わった機器からは、VIP に関する GARP が送信されます。この GARP を受信した隣接機器では、ARP テーブルの VIP に関するエントリが更新されます。これによって Active 機が切り替わり VIP の MAC アドレスが変化しても、隣接機器では通信を復旧できます。
NEEDLEWORK では GARP 受信後も宛先 MAC が変わらない
NEEDLEWORK のネットワークテストを試した際は以下のように、PC の代わりに NEEDLEWORK を接続した構成にしていました。
この構成から、例えば Active 機側のリンクダウンを発生させて Active を切り替えると、新 Active 機から GARP が送信されますが、ネットワークテスト実行中の NEEDLEWORK ではファイアウォールから GARP が送信された後でも Ping の宛先 MAC アドレスが変わらないことをパケットキャプチャにて確認しています。
このため、ファイアウォールの Active が切り替わり後は NEEDLEWORK のネットワークテスト画面上では Ping が断し続け、復旧しない状況になります。
以上の点から、ファイアウォールの VIP の MAC アドレスが Active 機の切り代わりに合わせて変化するような仕様の場合、NEEDLEWORK のネットワークテストでは Active 機切り替わり時の Ping 断時間の計測試験には対応できないといえます。
ちなみに、マニュアルをよく読んでみると制限事項欄にこれについての記載がありました。
HA構成で仮想MACアドレスがフェールオーバー後に変更となる機器の場合、フェールオーバー後の通信が正常に⾏えません。
https://support.needlework.jp/manual/
※この制限を受けるのは、NEEDLEWORKとHA構成のテスト対象機器が同じセグメントにいる場合のみです
(NEEDLEWORKとテスト対象機器の間にルーティングデバイスが接続されている場合は制限を受けません)
