NetScreenでNSRP使用時のping監視について

２台でNSRPを使用してマスタ－バックアップ構成を取り、UntrustとTrustインタフェースの両方に管理IPを付与してみたのですが…

Trust側の端末からマスタ・バックアップ両方のTrust管理IPにPingが飛ぶのですが、バックアップのUntrust管理IPにはPingが飛びません。逆のUntrust側の端末からもやってみましたが、バックアップのTrust管理IPにPingが飛びません。

ファイアウォールを越えてバックアップ側の管理IPにはPingが飛ばないといったことはあるのでしょうか？

こういう仕様なのか、なにか設定や構成に原因があるのか、お分かりになる方いらっしゃいましたら教えて頂けないでしょうか。

No.2 回答者： kuma-ku 回答日時： 2006/05/23 20:44

こんばんは

仕様ですので、できなくて正解です。
NS5200 のNSRP 構成でNG なことは確認しています。

マニュアルやリリースノート等に記載がないため、
OS のバグである可能性も無くはないですが、
現状はできないことが仕様のようです。

No.1 回答者： chappychappy2 回答日時： 2006/05/22 13:35

まず、基本的な事ですが、以下のコマンドは適用させていますか？

set interface untrust manage ping
set interface trust manage ping
もっとも、それぞれのInterface側からはPingOKなので、適用済みとは思います。

NSRPをAct/Stby構成で動作させた場合、Stby側は自分宛のパケット以外は何も流さなくなります。
Trust側からのPCでStbyのUntrustへのPingは以下の経路になります。
TrustPC->Act-TrustInterface->Act-UntrustInterface->Stby-UntrustInterface
で戻りですが、Stby-UntrustInterface->Stby-TrustInterface->TrustPC
となります。
この戻りがNGなんじゃないかと思います。
ポリシーでそれぞれの通信をPermitしていますか？
手元に実験できる環境が無いので、試せませんがこの環境であれば、PingOKだったと記憶しています。

試しに、Stby-Untrust宛ての32BitのStaticルートをStby-Trustに向けて設定して、Pingを行ってみてください。
また、Act/Act構成であれば、PingOKとなると思います。
Pingが通らないところがあると監視で問題になる事とかありますので、解決しておいた方が良いですよね。