セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:アクティブ/スタンバイ フェールオーバーの設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 8 月 12 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

フェールオーバーの設定には、専用のフェールオーバー リンクおよび必要に応じてステートフル フェールオーバー リンクで相互に接続された 2 つのまったく同じセキュリティ アプライアンスが必要です。 アクティブなインターフェイスとユニットのヘルスを監視することにより、特定のフェールオーバー条件を満たすかどうかが判定されます。 これらの条件が満たされると、フェールオーバーが発生します。

セキュリティ アプライアンスでは、次の 2 つのフェールオーバー コンフィギュレーションをサポートしています。 アクティブで/アクティブなフェールオーバーおよびアクティブ/スタンバイ な フェールオーバー。 各フェールオーバー設定には、フェールオーバーを決定して実行する固有の方法があります。 アクティブ/アクティブ フェールオーバーの場合は、どちらのユニットもネットワーク トラフィックを渡すことができます。 これにより、ネットワークにロード バランシングを設定できます。 アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで稼働するユニットでのみ使用できます。 アクティブ/スタンバイ フェールオーバーの場合は、一方のユニットのみがトラフィックを渡すことができ、もう一方のユニットはスタンバイ状態で待機します。 アクティブ/スタンバイ フェールオーバーは、シングル コンテキスト モードかマルチ コンテキスト モードのどちらで稼働するユニットでも使用できます。 どちらのフェールオーバー設定でも、ステートフル フェールオーバーまたはステートレス(標準)フェールオーバーがサポートされます。

このドキュメントでは、PIX セキュリティ アプライアンスにアクティブ/スタンバイ フェールオーバーを設定する方法を中心に取り上げています。

注: マルチ コンテキスト では VPN はサポートされていないので、VPN フェールオーバーは、マルチ コンテキスト モードで稼動するユニットではサポートされていません。 VPN フェールオーバーは、シングル コンテキスト構成のアクティブ/スタンバイ フェールオーバー構成でのみ使用できます。

フェールオーバーには管理インターフェイスを使用しないことを推奨いたします。特に、ステートフル フェールオーバーの場合、一方のセキュリティ アプライアンスから他方のセキュリティ アプライアンスに常に接続情報が送信されるので、管理インターフェイスの使用は推奨されません。 フェールオーバー用のインターフェイスは、通常のトラフィックを渡すインターフェイスと少なくとも同じ容量である必要があります。さらに、ASA 5540 のインターフェイスはギガビットですが、管理インターフェイスは FastEthernet のみです。 管理インターフェイスは管理トラフィック専用の設計になっており、management0/0 と指定されます。 ただし、management-only コマンドを使用すると、任意のインターフェイスを管理専用インターフェイスとして設定できます。 また、Management 0/0 については、管理専用モードを無効にして、他のインターフェイスと同じようにトラフィックを受け渡すようにすることができます。 management-only コマンドの詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 8.0』を参照してください。

この設定ガイドでは、PIX/ASA 7.x のアクティブ/スタンバイ テクノロジーの概要と併せて、設定例を紹介しています。 このテクノロジーの基礎になっている理論背景についての詳細は、『ASA/PIX コマンド リファレンス ガイド』を参照してください。

前提条件

要件

ハードウェア要件

フェールオーバー設定に含める 2 台のユニットは、ハードウェア構成が同じである必要があります。 同じモデル、同じ数と種類のインターフェイス、さらに同じ大きさの RAM が使用されている必要があります。

注: 2 台のユニットのフラッシュ メモリのサイズは同一である必要はありません。 フェールオーバー設定内でフラッシュ メモリ サイズが異なるユニットを使用する場合は、フラッシュ メモリ サイズが小さい方のユニットに、ソフトウェア イメージ ファイルおよび設定ファイルを格納するのに十分な領域があることを確認してください。 十分な領域がない場合、フラッシュ メモリ サイズの大きい方のユニットから小さい方のユニットへの設定の同期が失敗します。

ソフトウェア要件

フェールオーバー設定に含める 2 台のユニットは、動作モード(ルーテッドまたはトランスペアレント、シングルまたはマルチ コンテキスト)が同じである必要があります。 両方のユニットではメジャー(1 番目の番号)およびマイナー(2 番目の番号)ソフトウェア バージョンが同じである必要がありますが、アップグレード プロセスの間は、異なるバージョンのソフトウェアを使用できます。 たとえば、1 つのユニットをバージョン 7.0(1) からバージョン 7.0(2) にアップグレードしても、フェールオーバーをアクティブに保つことができます。 ただし、長期的な互換性を保つため、両方のユニットを同じバージョンにアップグレードすることを推奨いたします。

フェールオーバー ペア上でのソフトウェアのアップグレードについての詳細は、『Cisco セキュリティ アプライアンス コマンドライン設定ガイド、バージョン 8.0』の「ダウンタイムを発生させないフェールオーバー ペアのアップグレードの実行」セクションを参照してください。

ライセンス要件

PIX セキュリティ アプライアンス プラットフォームでは、少なくとも 1 つのユニットに無制限(UR)ライセンスが備わっている必要があります。

注: 追加の機能と利点を取得するには、フェールオーバー ペア上のライセンスのアップグレードが必要になる場合があります。 アップグレードについての詳細は、『フェール オーバーペア上でのライセンス キー アップグレード』を参照してください。

注: フェールオーバーに関与する両方のセキュリティ アプライアンス上のライセンス済み機能(SSL VPN ピアやセキュリティ コンテキスト)は、同一である必要があります。

使用するコンポーネント

このドキュメントの情報は、バージョン 7.x 以降の PIX セキュリティ アプライアンスに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、ASA セキュリティ アプライアンス バージョン 7.x 以降にも適用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

アクティブ/スタンバイ フェールオーバー

このセクションではアクティブ/スタンバイ フェールオーバーについて説明されており、次のトピックが含まれています。

アクティブ/スタンバイ フェールオーバーの概要

アクティブ/スタンバイ フェールオーバーを利用すると、スタンバイ セキュリティ アプライアンスを使用して故障したユニットの機能を引き継ぐことができます。 アクティブなユニットが故障すると、そのユニットはスタンバイ状態に変わり、スタンバイ ユニットがアクティブ状態に変わります。 アクティブになったユニットは、故障したユニットの IP アドレス(または、透過型ファイアウォールの場合は管理 IP アドレス)と MAC アドレスを引き継ぎ、トラフィックの受け渡しを開始します。 スタンバイ状態になったユニットは、スタンバイ IP アドレスと MAC アドレスを受け継ぎます。 ネットワーク デバイスで認識される MAC と IP のアドレス対応は変わらないので、ネットワークのどこにも ARP エントリの変更やタイムアウトは発生しません。

注: マルチ コンテキスト モードでは、セキュリティ アプライアンスはユニット全体(すべてのコンテキストを含む)をフェールオーバーすることはできますが、個別のコンテキストを別々にフェールオーバーすることはできません。

プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

フェールオーバー ペアの 2 つのユニットの間の主な違いは、どちらのユニットがアクティブでどちらのユニットがスタンバイかということ、つまり、どの IP アドレスを使用し、どちらのユニットがプライマリでアクティブにトラフィックを受け渡すかということに関係します。

どちらのユニットがプライマリで(設定で指定)どちらがセカンダリかということに基づき、ユニットの間にはいくつかの違いが存在します。

  • 両方のユニットが同時に起動された場合(そして動作ヘルスが同等である場合)、常にプライマリ ユニットがアクティブ ユニットになります。

  • プライマリ ユニットの MAC アドレスが常に、アクティブな IP アドレスに結び付けられます。 セカンダリ ユニットがアクティブであり、フェールオーバー リンクを通してプライマリ MAC アドレスを取得できない場合は、このルールに対する例外が発生します。 この場合は、セカンダリ MAC アドレスが使用されます。

デバイスの初期化と設定の同期

フェールオーバー ペアの一方または両方のデバイスがブートすると、設定の同期が発生します。 設定は、常にアクティブ ユニットからスタンバイ ユニットに同期化されます。 スタンバイ ユニットでは初期起動が完了すると実行コンフィギュレーションがクリアされ(アクティブ ユニットとの通信に必要なフェールオーバー コマンドを除きます)、アクティブ ユニットから自身の設定全体がスタンバイ ユニットに送信されます。

アクティブ ユニットは次のようにして決定されます。

  • ユニットがブートして、ピアがすでにアクティブとして動作していることが検出されると、そのユニットはスタンバイ ユニットになります。

  • ユニットがブートして、ピアが検出されない場合、そのユニットはアクティブ ユニットになります。

  • 両方のユニットが同時にブートした場合は、プライマリ ユニットがアクティブ ユニットになり、セカンダリ ユニットがスタンバイ ユニットになります。

注: セカンダリ ユニットがブートして、プライマリ ユニットが検出されない場合は、セカンダリ ユニットがアクティブ ユニットになります。 自身の MAC アドレスをアクティブ IP アドレスとして使用します。 プライマリ ユニットが使用可能になると、セカンダリ ユニットでは MAC アドレスがプライマリ ユニットの MAC アドレスに変更されるので、ネットワーク トラフィックが中断する可能性があります。 この問題を回避するには、フェールオーバー ペアに仮想 MAC アドレスを設定します。 詳細は、このドキュメントの「ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定」セクションを参照してください。

複製が始まると、アクティブ ユニットのセキュリティ アプライアンス コンソールに「Beginning configuration replication:」というメッセージが表示されます。 Sending to mate」というメッセージが表示され、完了すると「End Configuration Replication to mate」というメッセージが表示されます。 複製の間は、アクティブ ユニットで入力したコマンドはスタンバイ ユニットに正しく複製できず、スタンバイ ユニットで入力されたコマンドは、アクティブ ユニットから複製される設定で上書きされる可能性があります。 コンフィギュレーションの複製プロセスに含まれるフェールオーバー ペアのいずれのユニットでも、コマンドを入力しないでください。 コンフィギュレーションのサイズにより、複製には数秒から数分かかる可能性があります。

セカンダリ ユニットでは、プライマリ ユニットからの複製メッセージを(同期動作に応じて)見ることができます。

pix> .

        Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

pix>

スタンバイ ユニットでは、コンフィギュレーションは実行メモリ上だけに存在しています。 同期の後でコンフィギュレーションをフラッシュ メモリに保存するには、次のコマンドを入力します。

  • シングル コンテキスト モードの場合は、アクティブ ユニットで copy running-config startup-config コマンドを入力します。 このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。

  • マルチ コンテキスト モードの場合は、アクティブ ユニットで、システム実行スペースおよびディスクの各コンテキスト内から、copy running-config startup-config コマンドを入力します。 このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。 外部サーバ上のスタートアップ コンフィギュレーションのコンテキストは、どちらのユニットからもネットワーク経由でアクセスできるので、ユニットごとに個別に保存する必要はありません。 または、アクティブ ユニットからディスク上のコンテキストを外部サーバにコピーした後、そのコンテキストをスタンバイ ユニットのディスクにコピーして、ユニットをリロードするときに利用できるようにすることもできます。

コマンドの複製

コマンドの複製は、常に、アクティブ ユニットからスタンバイ ユニットに向かって行われます。 コマンドがアクティブ ユニットで入力されると、フェールオーバー リンクを経由してスタンバイ ユニットに送られます。 コマンドを複製するために、アクティブなコンフィギュレーションをフラッシュ メモリに保存する必要はありません。

注: スタンバイ ユニットで行われた変更は、アクティブ ユニットへは複製されません。 スタンバイ ユニットでコマンドを入力すると、セキュリティ アプライアンスに「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit.」というメッセージが表示されます。 これでコンフィギュレーションは同期しません。 このメッセージは、コンフィギュレーションに影響を与えないコマンドを入力した場合でも表示されます。

アクティブ ユニットで write standby コマンドを入力すると、スタンバイ ユニットでは実行コンフィギュレーション(アクティブ ユニットとの通信に使用するフェールオーバー コマンドを除く)がクリアされ、アクティブ ユニットからコンフィギュレーション全体がスタンバイ ユニットに送信されます。

マルチ コンテキスト モードの場合、システム実行スペースで write standby コマンドを入力すると、すべてのコンテキストが複製されます。 コンテキスト内で write standby コマンドを入力した場合は、コンテキストのコンフィギュレーションのみが複製されます。

複製されたコマンドは、実行コンフィギュレーションに格納されます。 複製されたコマンドをスタンバイ ユニットのフラッシュ メモリに保存するには、次のコマンドを入力します。

  • シングル コンテキスト モードの場合は、アクティブ ユニットで copy running-config startup-config コマンドを入力します。 このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。

  • マルチ コンテキスト モードの場合は、アクティブ ユニットで、システム実行スペースおよびディスクの各コンテキスト内から、copy running-config startup-config コマンドを入力します。 このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。 外部サーバ上のスタートアップ コンフィギュレーションのコンテキストは、どちらのユニットからもネットワーク経由でアクセスできるので、ユニットごとに個別に保存する必要はありません。 または、アクティブ ユニットからディスク上のコンテキストを外部サーバにコピーした後、このコンテキストをスタンバイ ユニットのディスクにコピーすることもできます。

フェールオーバー トリガ

ユニットが障害状態になる可能性があるのは、次のいずれかのイベントが発生した場合です。

  • ユニットにハードウェア障害または電源障害がある。

  • ユニットにソフトウェア障害がある。

  • 多くの監視対象インターフェイスで障害が発生する。

  • アクティブ ユニットで no failover active コマンドが入力される。または、スタンバイ ユニットで failover active コマンドが入力される。

フェールオーバー アクション

アクティブ/スタンバイ フェールオーバーでは、フェールオーバーはユニット単位で発生します。 マルチ コンテキスト モードが稼働しているシステムであっても、個別のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

次の表に、それぞれの障害イベントでのフェールオーバー アクションを示してあります。 表では、障害イベントごとに、フェールオーバー ポリシー(フェールオーバーするかしないか)、アクティブ ユニットで実行されるアクション、スタンバイ ユニットで実行されるアクション、およびフェールオーバー条件とアクションに関する特別な注意事項が示されています。 表には、フェールオーバーの動作が示されています。

障害イベント ポリシー アクティブ アクション スタンバイ アクション 注意事項
アクティブ ユニットの障害(電源またはハードウェア) フェールオーバー 該当なし アクティブになる/ アクティブを障害としてマークする 監視対象インターフェイスまたはフェールオーバー リンクで hello メッセージを受信することはありません。
以前アクティブであったユニットの復旧 フェールオーバーなし スタンバイになる アクションなし なし
スタンバイ ユニットの障害(電源またはハードウェア) フェールオーバーなし スタンバイを障害としてマークする 該当なし スタンバイ ユニットが障害としてマークされると、アクティブ ユニットでは、インターフェイス障害のしきい値を超えてもフェールオーバーが試行されません。
動作中のフェールオーバー リンクの障害 フェールオーバーなし フェールオーバー インターフェイスを障害としてマークする フェールオーバー インターフェイスを障害としてマークする フェールオーバー リンクがダウンしている間は、ユニットはスタンバイ ユニットにフェールオーバーできないため、できる限り早くフェールオーバー リンクを復元する必要があります。
起動時のフェールオーバー リンクの障害 フェールオーバーなし フェールオーバー インターフェイスを障害としてマークする アクティブになる 起動時にフェールオーバー リンクがダウンすると、両方のユニットがアクティブになります。
ステートフル フェールオーバー リンクの障害 フェールオーバーなし アクションなし アクションなし ステート情報が古くなり、フェールオーバーが発生するとセッションが終了されます。
アクティブ ユニットでのインターフェイス障害がしきい値を超過 フェールオーバー アクティブを障害としてマークする アクティブになる なし
スタンバイ ユニットでのインターフェイス障害がしきい値を超過 フェールオーバーなし アクションなし スタンバイを障害としてマークする スタンバイ ユニットが障害としてマークされると、アクティブ ユニットでは、インターフェイス障害のしきい値を超えてもフェールオーバーが試行されません。

標準およびステートフル フェールオーバー

セキュリティ アプライアンスでは、標準とステートフルという 2 種類のフェールオーバーがサポートされています。 このセクションでは、次の項目について説明します。

標準フェールオーバー

フェールオーバーが発生すると、すべてのアクティブな接続が終了されます。 新しいアクティブ ユニットが引き継いだ後で、クライアントでは接続を再確立する必要があります。

ステートフル フェールオーバー

ステートフル フェールオーバーが有効になっていると、アクティブ ユニットからスタンバイ ユニットに対して接続ごとのステート情報が継続的に引き渡されます。 フェールオーバーが発生した後は、同じ接続情報を新しいアクティブ ユニットで使用できます。 サポート対象のエンドユーザ アプリケーションでは、同じ通信セッションを維持するために接続し直す必要はありません。

スタンバイ ユニットには次のようなステート情報が渡されます。

  • NAT 変換テーブル

  • TCP 接続状態

  • UDP 接続状態

  • ARP テーブル

  • レイヤ 2 ブリッジ テーブル(透過ファイアウォール モードで稼働している場合)

  • HTTP 接続状態(HTTP 複製が有効になっている場合)

  • ISAKMP および IPSec の SA テーブル

  • GTP PDP 接続データベース

ステートフル フェールオーバーが有効になっていても、次の情報はスタンバイ ユニットには渡されません。

  • HTTP 接続テーブル(HTTP 複製が有効になっていない場合)

  • ユーザ認証(uauth)テーブル

  • ルーティング テーブル

  • セキュリティ サービス モジュールのステート情報

注:  アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが発生すると、コール セッションのステート情報がスタンバイ ユニットに複製されるため、コールはアクティブのままになります。 コールが終了すると、IP SoftPhone クライアントでは CallManager との接続が失われます。 これが発生する理由は、スタンバイ ユニットには CTIQBE ハングアップ メッセージに関するセッション情報がないためです。 IP SoftPhone クライアントでは、一定の時間内に CallManager からの応答が受信されない場合、CallManager に到達できないものと判断されて登録が解除されます。

ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定(PIX セキュリティ アプライアンスのみ)

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/77809-pixfailover-01.gif

注: ケーブルベースのフェールオーバーが利用可能なのは PIX 500 シリーズ セキュリティ アプライアンスだけです。

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

フェールオーバー リンクにシリアル ケーブルを使用してアクティブ/スタンバイ フェールオーバーを設定するには、次の手順を実行します。 このタスクでのコマンドは、フェールオーバー ペアのプライマリ ユニットで入力します。 プライマリ ユニットは、Primary というラベルが付いたケーブルの端が接続されているユニットです。 マルチ コンテキスト モードのデバイスの場合、特に指示がない限り、コマンドはシステム実行スペースで入力します。

ケーブル ベースのフェールオーバーを使用する際には、フェールオーバー ペアのセカンダリ ユニットでブートストラップを実行する必要はありません。 電源をオンにするようにとの指示が出るまでは、セカンダリ ユニットの電源はオフにしておきます。

次の手順を実行して、ケーブルベースのアクティブ/スタンバイ フェールオーバーを設定します。

  1. フェールオーバー ケーブルを PIX セキュリティ アプライアンスに接続します。 「Primary」とマークされたケーブルの端をプライマリ ユニットとして使用するユニットに接続し、「Secondary」とマークされたケーブルの端を他方のユニットに接続します。

  2. プライマリ ユニットの電源を入れます。

  3. まだ行っていない場合は、各データ インターフェイス(ルーテッド モード)または管理インターフェイス(透過モード)に、アクティブとスタンバイの IP アドレスを設定します。 スタンバイ IP アドレスは、現在スタンバイ ユニットであるセキュリティ アプライアンスで使用されます。 これはアクティブ IP アドレスと同じサブネットにある必要があります。

    注: 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクに IP アドレスを設定しないでください。 専用ステートフル フェールオーバー インターフェイスを設定するには、後のステップで failover interface ip コマンドを使用します。

    hostname(config-if)#ip address <active_addr> <netmask> 
                              standby <standby_addr>
    
    

    この例では、プライマリ PIX の外部インターフェイスは次のように設定されています。

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    ここでは、172.16.1.1 がプライマリ ユニットの外部インターフェイスの IP アドレスに使用され、172.16.1.2 がセカンダリ(スタンバイ)ユニットの外部インターフェイスに割り当てられます。

    注: マルチ コンテキスト モードでは、各コンテキスト内からインターフェイス アドレスを設定する必要があります。 コンテキストを切り替えるには、changeto context コマンドを使用します。 コマンド プロンプトが hostname/context(config-if)# に変わりますが、この context 部分には現在のコンテキストが示されています。

  4. ステートフル フェールオーバーを有効にするには、ステートフル フェールオーバー リンクを設定します。

    1. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

       hostname(config)#failover link if_name phy_if
      
      

      この例では、ステートフル フェールオーバー リンクのステート情報を交換するのに Ethernet2 インターフェイスが使用されています。

      hostname(config)#failover link state Ethernet2
      

      nameif 引数により、phy_if 引数で指定されているインターフェイスに論理名が割り当てられます。 phy_if 引数には Ethernet1 のような物理ポート名を指定できますが、Ethernet0/2.3 のような事前に作成されたサブインターフェイスを指定することもできます。 このインターフェイスは、他の目的に使用しないでください。

    2. ステートフル フェールオーバー リンクにアクティブおよびスタンバイIP アドレスを割り当てて下さい:

      hostname(config)#failover interface ip <if_name> <ip_addr> <mask> 
                             standby <ip_addr>
      
      

      次の例では、ステートフル フェールオーバー リンクのアクティブ IP アドレスとして 10.0.0.1 が使用され、スタンバイ IP アドレスとして 10.0.0.2 が使用されています。

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      注: ステートフル フェールオーバー リンクでデータ インターフェイスが使用されている場合は、この手順をスキップします。 インターフェイスのアクティブとスタンバイの IP アドレスはすでに定義してあります。

      スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネット内にある必要があります。 スタンバイ IP アドレスのサブネット マスクの識別は不要です。

      データ インターフェイスを使用していない場合、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスはフェールオーバー時には変化しません。 アクティブ IP アドレスは常にプライマリ ユニットに存在し、スタンバイ IP アドレスはセカンダリ ユニットに存在します。

    3. インターフェイスを有効にします。

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. フェールオーバーを有効にします。

    hostname(config)#failover
    
  6. セカンダリ ユニットの電源を入れ、まだ有効になっていない場合はセカンダリ ユニットでフェールオーバーを有効にします。

    hostname(config)#failover
    

    アクティブ ユニットから実行メモリ内のコンフィギュレーションがスタンバイ ユニットに送信されます。 コンフィギュレーションの同期が行われて、プライマリ コンソールに「Beginning configuration replication: sending to mate」および「End Configuration Replication to mate」というメッセージが表示されます。

    注: まず、プライマリ デバイスで failover コマンドを発行し、次にセカンダリ デバイスで発行します セカンダリ デバイス上で failover コマンドを発行した後、セカンダリ デバイスでは即座にプライマリ デバイスからコンフィギュレーションが取得され、スタンバイとしてセカンダリ デバイス自体が設定されます。 プライマリ ASA はアップしたままであり、トラフィックの受け渡しが正常に行われます。そのため、プライマリ ASA 自体がアクティブデバイスとしてマークされます。 この時点以降、アクティブ デバイス上で障害が発生する場合は、常にスタンバイ デバイスがアクティブになります。

  7. プライマリユニットでフラッシュ メモリに設定を保存して下さい。 プライマリ ユニットで入力されたコマンドはセカンダリ ユニットに複製されるので、セカンダリ ユニットでもコンフィギュレーションがフラッシュ メモリに保存されます。

    hostname(config)#copy running-config startup-config
    

    注: このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

設定

このドキュメントでは、次の設定を使用します。

PIX
pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.


interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!

!--- Output Suppressed

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

LAN ベースのアクティブ/スタンバイ フェールオーバーの設定

ネットワーク構成図

このドキュメントでは、次のネットワーク構成を使用しています。

http://www.cisco.com/c/dam/en/us/support/docs/security/pix-500-series-security-appliances/77809-pixfailover-02.gif

このセクションでは、イーサネット フェールオーバー リンクを使用してアクティブ/スタンバイ フェールオーバーを設定する方法を説明しています。 LAN ベースのフェールオーバーを設定する場合は、セカンダリ デバイスがプライマリ デバイスから実行コンフィギュレーションを取得できるように、先にセカンダリ デバイスでブートストラップを実行して、フェールオーバー リンクを認識させる必要があります。

注: シスコは、ユニットを直接リンクするためにイーサネット クロスケーブルを使用する代わりに、プライマリ ユニットとセカンダリ ユニットの間に専用のスイッチを使用することを推奨しています。

プライマリ ユニットの設定

LAN ベースのアクティブ/スタンバイ フェールオーバー設定でプライマリ ユニットを設定するには、次の手順を実行します。 この手順では、プライマリ ユニットでフェールオーバーを有効にするために必要な最低限の設定を行います。 マルチ コンテキスト モードの場合、特に指示がない限り、すべての手順をシステム実行スペースで実行します。

アクティブ/スタンバイ フェールオーバー ペアのプライマリ ユニットを設定するには、次の手順を実行します。

  1. まだ行っていない場合は、各インターフェイス(ルーテッド モード)または管理インターフェイス(透過モード)に、アクティブとスタンバイの IP アドレスを設定します。 スタンバイ IP アドレスは、現在スタンバイ ユニットであるセキュリティ アプライアンスで使用されます。 これはアクティブ IP アドレスと同じサブネットにある必要があります。

    注: 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクに IP アドレスを設定しないでください。 専用ステートフル フェールオーバー インターフェイスを設定するには、後のステップで failover interface ip コマンドを使用します。

    hostname(config-if)#ip address active_addr netmask 
                             standby standby_addr
    

    この例では、プライマリ PIX の外部インターフェイスは次のように設定されています。

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    ここでは、172.16.1.1 はプライマリユニット outside インターフェイス IP アドレスのために使用され、172.16.1.2 はセカンダリ(スタンバイ)ユニット outside インターフェイスに割り当てます。

    注: マルチ コンテキスト モードでは、各コンテキスト内からインターフェイス アドレスを設定する必要があります。 コンテキストを切り替えるには、changeto context コマンドを使用します。 コマンド プロンプトが hostname/context(config-if)# に変わりますが、この context 部分には現在のコンテキストが示されています。

  2. (PIX セキュリティ アプライアンス プラットフォームのみ)LAN ベースのフェールオーバーを有効にします。

    hostname(config)#failover lan enable
    
  3. ユニットをプライマリ ユニットとして指定します。

    hostname(config)#failover lan unit primary
    
  4. フェールオーバー インターフェイスを定義します。

    1. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

      hostname(config)#failover lan interface if_name phy_if
      
      

      このドキュメントでは、「failover」(Ethernet3 のインターフェイス名)がフェールオーバー インターフェイスに使用されています。

      hostname(config)#failover lan interface failover Ethernet3
      
      

      if_name 引数により、phy_if 引数で指定されているインターフェイスに名前が割り当てられます。 phy_if 引数には Ethernet1 のような物理ポート名を指定できますが、Ethernet0/2.3 のような事前に作成されたサブインターフェイスを指定することもできます。

    2. フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      このドキュメントでは、フェールオーバー リンクを設定するために、10.1.0.1 がアクティブ ユニットに使用され、10.1.0.2 がスタンバイ ユニットに使用され、「failover」が Ethernet3 のインターフェイス名になっています。

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネット内にある必要があります。 スタンバイ アドレスのサブネット マスクを指定する必要はありません。

      フェールオーバー リンクの IP アドレスと MAC アドレスはフェールオーバー時には変化しません。 フェールオーバー リンクのアクティブ IP アドレスは常にプライマリ ユニットに存在し、スタンバイ IP アドレスはセカンダリ ユニットに存在します。

    3. インターフェイスを有効にします。

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      

      次の例では、Ethernet3 がフェールオーバーに使用されます。

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  5. (オプション)ステートフル フェールオーバーを有効にするには、ステートフル フェールオーバー リンクを設定します。

    1. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

      hostname(config)#failover link if_name phy_if
      
      
      

      次の例では、フェールオーバー リンクのステート情報を交換するための Ethernet2 のインターフェイス名として「state」を使用しています。

      hostname(config)#failover link state Ethernet2
      

      注: ステートフル フェールオーバー リンクでフェールオーバー リンクまたはデータ インターフェイスを使用する場合に、指定する必要がある引数は if_name だけです。

      if_name 引数では、phy_if 引数で指定されているインターフェイスに論理名が割り当てられます。 phy_if 引数には Ethernet1 のような物理ポート名を指定できますが、Ethernet0/2.3 のような事前に作成されたサブインターフェイスを指定することもできます。 オプションでフェールオーバー リンクとして使用する場合を除き、このインターフェイスを他の目的に使用しないでください。

    2. ステートフル フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      注: ステートフル フェールオーバー リンクでフェールオーバー リンクまたはデータ インターフェイスが使用されている場合は、この手順をスキップします。 インターフェイスのアクティブとスタンバイの IP アドレスはすでに定義してあります。

      hostname(config)#failover interface ip if_name ip_addr 
                             mask standby ip_addr
      
      

      次の例では、ステートフル フェールオーバー リンクのアクティブ IP アドレスとして 10.0.0.1 が使用され、スタンバイ IP アドレスとして 10.0.0.2 が使用されています。

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネット内にある必要があります。 スタンバイ アドレスのサブネット マスクを指定する必要はありません。

      データ インターフェイスを使用していない場合、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスはフェールオーバー時には変化しません。 アクティブ IP アドレスは常にプライマリ ユニットに存在し、スタンバイ IP アドレスはセカンダリ ユニットに存在します。

    3. インターフェイスを有効にします。

      注: ステートフル フェールオーバー リンクでフェールオーバー リンクまたはデータ インターフェイスが使用されている場合は、この手順をスキップします。 インターフェイスはすでに有効になっています。

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      

      注: たとえば、このシナリオでは、Ethernet2 がステートフル フェールオーバー リンクに使用されています。

      hostname(config)#interface ethernet2
      
      hostname(config-if)#no shutdown
      
  6. フェールオーバーを有効にします。

    hostname(config)#failover
    

    注: まず、プライマリ デバイスで failover コマンドを発行し、次にセカンダリ デバイスで発行します セカンダリ デバイス上で failover コマンドを発行した後、セカンダリ デバイスでは即座にプライマリ デバイスからコンフィギュレーションが取得され、スタンバイとしてセカンダリ デバイス自体が設定されます。 プライマリ ASA はアップしたままであり、トラフィックの受け渡しが正常に行われます。そのため、プライマリ ASA 自体がアクティブデバイスとしてマークされます。 この時点以降、アクティブ デバイス上で障害が発生する場合は、常にスタンバイ デバイスがアクティブになります。

  7. システム コンフィギュレーションをフラッシュ メモリに保存します。

    hostname(config)#copy running-config startup-config
    

セカンダリ ユニットの設定

セカンダリ ユニットで必要な設定は、フェールオーバー インターフェイスについてだけです。 セカンダリ ユニットでは、最初にプライマリ ユニットと通信するためにこれらのコマンドが必要です。 プライマリ ユニットからコンフィギュレーションがセカンダリ ユニットに送信された後、2 つのコンフィギュレーションで永続的に異なっているのは、failover lan unit コマンドだけです。このコマンドにより、それぞれのユニットがプライマリまたはセカンダリとして指定されています。

マルチ コンテキスト モードの場合、特に指示がない限り、すべての手順をシステム実行スペースで実行します。

セカンダリ ユニットを設定するには、次の手順を実行します。

  1. (PIX セキュリティ アプライアンス プラットフォームのみ)LAN ベースのフェールオーバーを有効にします。

    hostname(config)#failover lan enable
    
  2. フェールオーバー インターフェイスを定義します。 プライマリ ユニットに使用したものと同じ設定を使用します。

    1. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

      hostname(config)#failover lan interface if_name phy_if
      
      

      このドキュメントでは、「failover」(Ethernet3 のインターフェイス名)が LAN フェールオーバー インターフェイスに使用されています。

      hostname(config)#failover lan interface failover Ethernet3
      
      

      if_name 引数により、phy_if 引数で指定されているインターフェイスに名前が割り当てられます。

    2. フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      このドキュメントでは、フェールオーバー リンクを設定するために、10.1.0.1 がアクティブ ユニットに使用され、10.1.0.2 がスタンバイ ユニットに使用され、「failover」が Ethernet3 のインターフェイス名になっています。

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      注: このコマンドは、プライマリ ユニットでフェールオーバー インターフェイスを設定した際に入力したものと厳密に一致するように入力します。

    3. インターフェイスを有効にします。

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      
      

      たとえば、このシナリオでは、Ethernet3 がフェールオーバーに使用されます。

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  3. (オプション)このユニットをセカンダリ ユニットとして指定します。

    hostname(config)#failover lan unit secondary
    

    注: ユニットは、前もって設定されていない限り、デフォルトでセカンダリとして指定されるため、この手順はオプションです。

  4. フェールオーバーを有効にします。

    hostname(config)#failover
    

    注: フェールオーバーを有効にすると、アクティブ ユニットでは実行メモリ内の設定がスタンバイ ユニットに送信されます。 設定が同期するように、コンフィギュレーション複写を始めるメッセージ:Sending to mate」および「End Configuration Replication to mate」というメッセージが表示されます。

  5. 実行コンフィギュレーションの複製が完了した後で、コンフィギュレーションをフラッシュ メモリに保存します。

    hostname(config)#copy running-config startup-config
    

設定

このドキュメントでは、次の設定を使用します。

プライマリ PIX
pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- Configure "no shutdown" in the stateful failover interface 
!--- of both Primary and secondary PIX.


interface Ethernet2 
nameif state

	 description STATE Failover Interface

interface ethernet3 
nameif failover

  description LAN Failover Interface

!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500

failover
failover lan unit primary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover link state Ethernet2
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

セカンダリ PIX
pix#show running-config 

failover
failover lan unit secondary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2

確認

show failover コマンドの使用

このセクションでは、show failover コマンドの出力について説明しています。 各ユニットで、show failover コマンドを使用してフェールオーバー ステータスを確認できます。

プライマリ PIX

pix#show failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
        This host: Primary - Active
                Active time: 1905 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

セカンダリ PIX

pix(config)#show failover
Failover On
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Active time: 154185 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

状態を確認するには、show failover state コマンドを使用します。

プライマリ PIX

pix#show failover state
====My State===
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
        Sync Done
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
        Comm Failure

セカンダリ ユニット

pix#show failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:

フェールオーバー ユニットの IP アドレスを確認するには、show failover interface コマンドを使用します。

プライマリ ユニット

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2

セカンダリ ユニット

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1

監視対象インターフェイスの表示

監視対象インターフェイスのステータスを表示するには、次のようにします。 シングル コンテキスト モードの場合は、グローバル設定モードで show monitor-interface コマンドを入力します。 マルチ コンテキスト モードの場合は、コンテキスト内で show monitor-interface コマンドを入力します。

注: 特定のインターフェイスで状態の監視をイネーブルにするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。

monitor-interface <if_name>

プライマリ PIX

pix(config)#show monitor-interface
        This host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal

セカンダリ PIX

pix(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal

注: フェールオーバー IP アドレスを入力しない場合は、show failover コマンドによって IP アドレスが 0.0.0.0 と表示され、インターフェイスの監視は「waiting」(待機)状態になります。 さまざまなフェールオーバー状態についての詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 7.2』の「show failover」セクションを参照してください。

注: デフォルトでは、物理インターフェイスの監視が無効になっており、サブインターフェイスの監視は有効になっています。

実行コンフィギュレーションでのフェールオーバー コマンドの表示

実行設定内のフェールオーバー コマンドを表示するには、次のコマンドを入力します。

hostname(config)#show running-config failover

すべてのフェールオーバー コマンドが表示されます。 マルチ コンテキスト モードで稼働するユニットでは、システム実行スペースで show running-config failover コマンドを入力します。 デフォルト値を変更していないコマンドも含め、実行コンフィギュレーションでのフェールオーバー コマンドを表示する場合には、show running-config all failover コマンドを入力します。

ASA のフェールオーバーにおける電子メールアラートの設定

フェールオーバーに電子メールによるアラートを設定するには、次の手順を実行します。

  1. hostname(config)# logging mail high-priority

  2. hostname(config)# logging from-address xxx-001@example.com

  3. hostname(config)# logging recipient-address admin@example.com

  4. hostname(config)# smtp-server X.X.X.X

これらのコマンドについての詳細は、「電子メール アドレスへの syslog メッセージの送信」を参照してください。

フェールオーバー機能のテスト

フェールオーバー機能をテストするには、次の手順を実行します。

  1. アクティブ ユニットやフェールオーバー グループが、別々のインターフェイス上でホスト間でファイルを送信するために FTP などで期待どおりにトラフィックを通過させていることをテストします。

  2. 次のコマンドを使用して、強制的にスタンバイ ユニットにフェールオーバーさせます。

    • アクティブ/スタンバイ フェールオーバーの場合は、アクティブ ユニットで次のコマンドを入力します。

      hostname(config)#no failover active
      
  3. FTP を使用して、同じ 2 つのホスト間で別のファイルを送信します。

  4. テストが失敗した場合は、show failover commandを入力してフェールオーバーのステータスを調べます。

  5. 終了したら、次のコマンドを使用してユニットまたはフェールオーバー グループをアクティブ ステータスに戻すことができます。

    アクティブ/スタンバイ フェールオーバーの場合は、アクティブ ユニットで次のコマンドを入力します。

    hostname(config)#failover active
    

強制フェールオーバー

強制的にスタンバイ ユニットをアクティブにするには、次のいずれかのコマンドを入力します。

スタンバイ ユニットで次のコマンドを入力します。

hostname#failover active

アクティブ ユニットで次のコマンドを入力します。

hostname#no failover active

フェールオーバーの無効化

フェールオーバーを無効にするには、次のコマンドを入力します。

hostname(config)#no failover

アクティブ/スタンバイ ペアでフェールオーバーを無効にすると、再起動するまで各ユニットのアクティブとスタンバイのステートが保持されます。 たとえば、スタンバイ ユニットはスタンバイ モードのままなので、どちらのユニットでもトラフィックの受け渡しが開始されません。 スタンバイ ユニットをアクティブにする(フェールオーバーが無効にされている場合でも)には、「強制フェールオーバー」セクションを参照してください。

アクティブ/アクティブ ペアでフェールオーバーを無効にすると、どのユニットが優先に設定されているかに関係なく、フェールオーバー グループは現在アクティブになっているユニットでアクティブ状態のままになります。 no failover コマンドは、システム実行スペースで入力できます。

障害ユニットの復元

故障したユニットの障害状態を解除するには、次のコマンドを入力します。

hostname(config)#failover reset

障害状態のユニットを障害解除状態に復元した場合、ユニットは自動的にはアクティブになりません。 (強制的または通常の)フェールオーバーによってアクティブにされるまで、復元されたユニットまたはグループはスタンバイ状態のままになります。 ただし、preempt コマンドを使用して設定されているフェールオーバー グループは例外です。 以前アクティブであり、フェールオーバー グループが preempt コマンドを使用して設定されていて、障害が発生したユニットが優先ユニットである場合、そのフェールオーバー グループはアクティブになります。

障害が発生したユニットの新しいユニットとの交換

障害の発生したユニットを新しいユニットに交換するには、次の手順を実行します。

  1. プライマリ ユニットで no failover コマンドを実行します。

    セカンダリ ユニットのステータスは、standby unit as not detected を示します。

  2. プライマリ ユニットを取り外して、新しいユニットに交換します。

  3. 交換したユニットでセカンダリ ユニットと同じバージョンのソフトウェアおよび ASDM が実行されていることを確認します。

  4. 交換用のユニットで次のコマンドを実行します。

    ASA(config)#failover lan unit primary 
    ASA(config)#failover lan interface failover Ethernet3
    ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
    ASA(config)#interface Ethernet3
    ASA(config-if)#no shut 
    ASA(config-if)#exit
    
  5. 交換用のプライマリ ユニットをネットワークに接続して、次のコマンドを実行します。

    ASA(config)#failover
    

トラブルシューティング

フェールオーバーが発生すると、両方のセキュリティ アプライアンスからシステム メッセージが送信されます。 このセクションでは、次の項目について説明します。

フェールオーバー監視

次の例では、フェールオーバーによりネットワーク インターフェイスの監視が開始されなかった場合の動作を説明しています。 フェールオーバーが発生しても、ネットワーク インターフェイスで他方のユニットからの 2 番目の「hello」パケットが受信されるまでは、そのインターフェイスの監視が開始されません。 これには約 30 秒かかります。 Spanning Tree Protocol(STP; スパニング ツリー プロトコル)が稼働するネットワーク スイッチにユニットが接続されている場合は、スイッチで設定されている「転送遅延」時間(通常は 15 秒)の 2 倍に、この 30 秒の遅延を加えた時間がかかります。 これは、PIX のブートアップ時およびフェールオーバー イベントの直後に、ネットワーク スイッチで一時的なブリッジ ループが検出されるためです。 スイッチはこのループを検出すると、「転送遅延」時間の間、これらのインターフェイスでのパケット転送を中断します。 その後、スイッチはさらに「転送遅延」時間だけ「リッスン」モードに入り、この間はブリッジ ループのリッスンが行われ、トラフィックの転送は行われません(または、フェールオーバーの「hello」パケットが転送されません)。 転送遅延時間 2 回分(30 秒)の後、トラフィック フローが再開されます。 各 PIX は、他方のユニットから 30 秒に相当する「hello」パケットを受信するまで、「待機」モードに留まります。 PIX では、トラフィックを渡している間は、「hello」パケットを受信しないことを理由に他のユニットを障害扱いにすることはありません。 他のすべてのフェールオーバー監視は引き続き行われます(つまり、電源、インターフェイスのリンク喪失、およびフェールオーバー ケーブルの「hello」)。

フェールオーバーに関しては、PIX インターフェイスに接続するすべてのスイッチ ポートで PortFast を有効にすることを強く推奨いたします。 さらに、これらのポートではチャネリングとトランキングを無効にする必要があります。 PIX のインターフェイスがフェールオーバーの間にダウンした場合、スイッチでは、ポートの状態が「リスニング」から「学習」を経て「転送」に移行するまでの間、30 秒間待つ必要はありません。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

まとめると、フェールオーバーの問題を絞り込むには次の手順を確認します。

  • 「待機」/「障害」状況のインターフェイスに接続されているネットワーク ケーブルを調べて、可能であれば交換します。

  • 2 つのユニットの間に接続されているスイッチがある場合は、「待機」/「障害」状態のインターフェイスに接続されているネットワークが正常に機能していることを確認します。

  • 「待機」/「障害」状況のインターフェイスに接続されているスイッチ ポートを調べて、可能であれば、そのスイッチの別の FE ポートを使用します。

  • インターフェイスに接続されているスイッチ ポートで、PortFast を有効にしてあり、トランキングとチャネリングを無効にしてあることを確認します。

ユニット障害

この例では、フェールオーバーによって障害が検出されています。 プライマリ ユニットの インターフェイス 1 が障害の原因であることに注意してください。 このユニットは障害のために「waiting」モードに戻ります。 障害ユニットはネットワークからそれ自体を切り離し(インターフェイスがダウンします)、ネットワークへの「hello」パケットの送信を中止します。 アクティブ ユニットは、故障したユニットが交換されてフェールオーバー通信が再開されるまで、「待機」状況に留まります。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)

LU 割り当て接続の失敗

次のエラー メッセージが表示される場合、メモリの問題が存在する可能性があります。

LU 割り当て接続の失敗

この問題を解決するには、PIX/ASA ソフトウェアをアップグレードします。 詳細については Cisco バグ ID CSCte80027登録ユーザのみ)を参照して下さい。

Primary Lost Failover communications with mate on interface interface_name(プライマリで、インターフェイス interface_name のペアの相手とのフェールオーバー通信が失われた)

フェールオーバー ペアのユニットが相手のユニットと通信できない状態になった場合に、このフェールオーバー メッセージが表示されます。 セカンダリ ユニットが問題であれば、「Primary」の箇所は「Secondary」と表示されます。

(Primary) Lost Failover communications with mate on interface interface_name

所定のインターフェイスに接続されたネットワークが正しく動作していることを確認します。

フェールオーバーのシステム メッセージ

セキュリティ アプライアンスでは、フェールオーバーに関連する多数のシステム メッセージが優先レベル 2 で発行され、これは重大な状態を示しています。 これらのメッセージを表示するには『Cisco セキュリティ アプライアンスのロギング設定とシステム ログ メッセージ』を参照して、ロギングを有効にし、システム メッセージの説明を参照してください。

注: スイッチオーバーでは、フェールオーバーによりインターフェイスが論理的にシャットダウンされてから起動されるので、syslog の 411001 および 411002 メッセージが生成されます。 これは正常な動作です。

デバッグ メッセージ

デバッグ メッセージを表示するには、debug fover コマンドを入力します。 詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス』を参照してください。

注: デバッグ出力は CPU プロセスで高い優先度を割り当てられているので、システムのパフォーマンスが大きな影響を受ける可能性があります。 このため、debug fover コマンドの使用は、特定の問題のトラブルシューティングまたは Cisco テクニカルサポート要員とのトラブルシューティング セッション中だけにしてください。

SNMP

フェールオーバーに対する SNMP syslog トラップを受け取るには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義して、Cisco syslog MIB を SNMP 管理ステーションにコンパイルします。 詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス』で snmp-server コマンドと logging コマンドを参照してください。

NAT 0 の問題

Cisco セキュリティ アプライアンスの電源をオン/オフすると、使用している設定から NAT 0 コマンドが消えてしまいます。 この問題は、設定を保存した後であっても発生します。 他のコマンドは保存されるのに、nat 0 コマンドは保存されません。

この問題は、Cisco Bug ID CSCsk18083登録ユーザ専用)に記述されています。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。 この問題を解決するには、nat exemption アクセス リストに、不正なアクセスリストを設定しないようにします。 アクセス コントロール エントリには ip permit または deny に設定します。

フェールオーバー ポーリング時間

フェールオーバー ユニットのポーリング時間とホールド時間を指定するには、グローバル コンフィギュレーション モードで failover polltime コマンドを使用します。

failover polltime unit msec [time] は、hello メッセージをポーリングすることでスタンバイ ユニットの存在を確認するための時間間隔を表します。

同様に、failover holdtime unit msec [time] は、ユニットがフェールオーバー リンクで hello メッセージを受信する必要のある時間間隔の設定を表します。この時間が経過すると、ピア ユニットは障害として宣言されます。

アクティブ/スタンバイ フェールオーバー設定でデータ インターフェイス ポーリング時間とデータ インターフェイス ホールド時間を指定するには、グローバル コンフィギュレーション モードで failover polltime interface コマンドを使用します。 デフォルトのポーリング時間とホールド時間を復元するには、このコマンドの no 形式を使用します。

failover polltime interface [msec] time [holdtime time]

データ インターフェイス上で hello パケットが送信される頻度を変更するには、failover polltime interface コマンドを使用します。 このコマンドは、アクティブ/スタンバイ フェールオーバーでのみ使用できます。 アクティブ/アクティブ フェールオーバーの場合は、failover polltime interface コマンドではなく、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。

インターフェイス ポーリング時間の 5 倍未満の holdtime 値は入力できません。 より高速なポーリング時間の場合は、セキュリティ アプライアンスではより高速に障害を検出し、フェールオーバーをトリガーすることが可能です。 ただし、ネットワークが一時的に輻輳している場合、より高速な検出によって不要な切り替えが発生する可能性があります。 ホールド時間の半分を超えてもインターフェイスで hello パケットが受信されない場合、インターフェイス テストが開始されます。

コンフィギュレーションには、failover polltime unit コマンドと failover polltime interface コマンドのどちらも含めることができます。

次の例では、インターフェイス ポーリング時間の頻度は 500 ミリ秒、ホールド時間は 5 秒に設定されています。

hostname(config)#failover polltime interface msec 500 holdtime 5

詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 7.2』の「failover polltime」のセクションを参照してください。

フェールオーバー設定での証明書/秘密鍵のエクスポート

プライマリ デバイスによって秘密キー/証明書がセカンダリ ユニットへ自動的に複製されます。 (証明書/秘密鍵が含まれている)コンフィギュレーションをスタンバイ ユニットに複製するには、アクティブ ユニットでコマンド write memory を発行します。 スタンバイ ユニット上のすべての鍵および証明書は消去され、アクティブ ユニットのコンフィギュレーションによって再入力されます。

注: アクティブ デバイスから証明書、鍵、およびトラストポイントを手動でインポートした後に、スタンバイ デバイスへのエクスポートはしないでください。

WARNING: フェールオーバー メッセージの複合化に失敗しました。

エラー メッセージ:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

この問題はフェールオーバーのキー設定が原因で発生します。 この問題を解決するには、フェールオーバー キーを削除し、新規の共有キーを設定します。

ASA モジュール フェールオーバー

Advanced Inspection and Prevention Security Services Module(AIP-SSM)または Content Security and Control Security Services Module(CSC-SSM)がアクティブ ユニットとスタンバイ ユニットで使用されている場合、フェールオーバーに関しては ASA と無関係に動作します。 モジュールはアクティブ ユニットとスタンバイ ユニットで手動で設定される必要があり、フェールオーバーによってモジュールのコンフィギュレーションが複製されることはありません。

フェールオーバーについては、AIP-SSM モジュールまたは CSC-SSM モジュールを備えたどちらの ASA ユニットも、同じハードウェア タイプである必要があります。 たとえば、プライマリ ユニットに ASA-SSM-10 モジュールが含まれている場合、セカンダリ ユニットにも ASA-SSM-10 モジュール含まれている必要があります。

ASA のフェールオーバー ペア上の AIP-SSM モジュールを交換するには、モジュールを取り外す前に、hw-module module 1 shutdown コマンドを実行する必要があります。 さらに、モジュールはホットスワップには対応していないため、ASA の電源を切る必要があります。 AIP-SSM の取り付けと取り外しの方法についての詳細は、「取り付けおよび取り外しの方法」を参照してください。

フェールオーバー メッセージのブロック割り当ての失敗

エラー メッセージ:%PIX|ASA-3-105010: (Primary) Failover message block alloc failed

説明: ブロック メモリが削除されました。 これは一時的なメッセージであり、セキュリティ アプライアンスは復旧します。 セカンダリ ユニットが問題であれば、「Primary」の箇所は「Secondary」と表示されます。

推奨処置: 現在のブロック メモリを監視するために、show blocks コマンドを使用します。

AIP モジュール フェールオーバーの問題

フェールオーバー コンフィギュレーションに 2 つの ASA があり、それぞれに AIP-SSM が含まれている場合、AIP-SSM のコンフィギュレーションを手動で複製する必要があります。 フェールオーバー メカニズムによって複製されるのは、ASA の設定だけです。 AIP-SSM はフェールオーバーに含まれていません。

まず、フェールオーバーについては、AIP-SSM は ASA とは無関係に動作します。 フェールオーバーに関して、ASA の観点から必要なことは、AIP モジュールが同じハードウェア タイプであることだけです。 その他には、フェールオーバーの他の部分と同様に、アクティブとスタンバイの間での ASA のコンフィギュレーションが同期している必要があります。

AIP のセットアップについて言えば、AIP は事実上独立したセンサーです。 これら 2 つの間ではフェールオーバーは存在せず、相互に認識していません。 コードのバージョンとは無関係に実行することが可能です。 つまり、バージョンは一致している必要がなく、ASA では、フェールオーバーに関して、AIP 上でのコードのバージョンを問いません。

AIP 上で設定した管理インターフェイス IP を介して、ASDM により AIP への接続が開始されます。 言い換えると、センサーの設定方法に依存して、通常は HTTPS を介してセンサーへ接続されます。

IPS(AIP)モジュールとは無関係に ASA のフェールオーバーが発生する可能性があります。 ユーザは同じ AIP の管理 IP に接続するため、同じ AIP に接続されたままです。 他方の AIP に接続するには、その管理 IP に再接続して設定およびアクセスを行う必要があります。

Cisco ASA 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)経由で Advanced Inspection and Prevention Security Services Module(AIP-SSM)(IPS)モジュールへネットワーク トラフィックを送信する方法の設定例については、『ASA: ASA から AIP SSM へのネットワーク トラフィックの送信の設定例』を参照してください。

ASA のフェールオーバー ペアを、イーサネット カードからオプティカル インターフェイスにアップグレードできない

ASA のフェールオーバー ペアを、イーサネット カードからオプティカル インターフェイスにアップグレードするには、次の手順を実行します。

  1. プライマリ デバイスがアクティブであることを確認したうえで、セカンダリ/スタンバイ ASA をシャットダウンし、新しいインターフェイス カードを追加します。

  2. ケーブルをすべて取り外して、セカンダリ/スタンバイ ASA を起動します。その状態で新しいハードウェアの動作をテストします。

  3. もう 1 度、セカンダリ/スタンバイ ASA をシャットダウンして、ケーブルを再接続します。

  4. プライマリ/アクティブ ASA をシャットダウンし、セカンダリ ASA を起動します。

    注: 両方の ASA が同時にアクティブにならないようにしてください。

  5. セカンダリ ASA が活動しており、トラフィックが通過していることを確認します。次に、failover active コマンドを使用して、セカンダリ デバイスをアクティブにします。

  6. プライマリ ASA に新しいインターフェイスを設置して、ケーブルを取り外します。

  7. プライマリ ASA を起動し、新しいハードウェアの動作をチェックします。

  8. プライマリ ASA をシャットダウンし、ケーブルを再接続します。

  9. プライマリ ASA を起動し、failover active コマンドを使用してプライマリ デバイスをアクティブにします。

注: 両方のデバイスで show failover コマンドを使用して、フェールオーバーのステータスを確認します。 フェールオーバーのステータスが OK であれば、プライマリ アクティブ デバイスのインターフェイスを設定できます。設定内容はセカンダリ スタンバイに複製されます。

エラー: フェールオーバーはローカル CA サーバが設定される間、設定することができません。

ユーザが ASA のフェールオーバーを設定するように試みるときこのエラーメッセージが現れます:

エラー: フェールオーバーはローカル CA サーバが設定される間、設定することができません。 フェールオーバーを設定する前にローカル CA サーバコンフィギュレーションを取除いて下さい。

このエラーは ASA がローカル CA サーバおよびフェールオーバーを同時に設定することをサポートしないので発生します。

%ASA-1-104001: (セカンダリ)他のユニットのアクティブなサービス カードに切り替えて失敗しました

フェールオーバー ASA ペアのこのエラーメッセージを受け取ります: %ASA-1-104001: (セカンダリ)他のユニットのアクティブなサービス カードに切り替えて失敗しました

この問題は通常 IPS CSC モジュールとない ASA 自体が理由で発生します。 エラーログのこのメッセージを受け取る場合、モジュールの設定を確認するか、またはそれらを再置することを試みて下さい。 詳細については Cisco バグ ID CSCtf00039登録ユーザのみ)を参照して下さい。

既知の問題

  • Error: The name on the security certificate is invalid or does not match the name of the site

    ユーザが、バージョン 8.x のソフトウェアとバージョン 6.x の ASDM をフェールオーバー設定に使用しているときに、セカンダリ ASA で ASDM にアクセスしようとした場合、次のエラーが表示されます。

    エラー: The name on the security certificate is invalid or does not match the name of the site

    証明書では、Issuer と Subject Name は、アクティブ ユニットの IP アドレスになります(スタンバイ ユニットの IP アドレスではありません)。

    ASA バージョン 8.x では、内部(ASDM)証明書はアクティブ ユニットからスタンバイ ユニットに複製されます。その結果、このようなエラー メッセージが表示されます。 ただし、バージョン 7.x のコードを実行する 5.x の ASDM 上で同じファイアフォールが動作している場合、ASDM にアクセスしようとすると次のセキュリティ警告が表示されます。

    The security certificate has a valid name matching the name of the page you are trying to view

    証明書を確認すると、発行者とサブジェクト名がスタンバイ ユニットの IP アドレスになっています。

  • Error: %ASA-ha-3-210007: LU は失敗される xlate を割り当てます

    次のエラー メッセージが表示されます。 %ASA-ha-3-210007: LU は失敗される xlate を割り当てます

    この問題は観察され、Cisco バグ ID CSCte08816登録ユーザのみ)をログオンしました。 この問題を解決するために、この不具合がフィックスされたソフトウェア バージョンの 1 つにアップグレードして下さい。

  • プライマリからの xlate 複製の間のスタンバイ ASA 読み込み

    一時に、この問題はリリース 8.4.2 および 8.4.1.11 と見られます。 8.4.2.4 に問題を解決するためにアップグレードすることを試みて下さい。 詳細については Cisco バグ ID CSCtr33228 を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 77809