音声とユニファイド コミュニケーション : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:アクティブ/スタンバイ フェールオーバーの設定例

2010 年 8 月 12 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2009 年 11 月 4 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      関連製品
      表記法
アクティブ/スタンバイ フェールオーバー
      アクティブ/スタンバイ フェールオーバーの概要
      プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス
      デバイスの初期化と設定の同期
      コマンドの複製
      フェールオーバー トリガー
      フェールオーバー アクション
標準およびステートフル フェールオーバー
      標準フェールオーバー
      ステートフル フェールオーバー
ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定(PIX セキュリティ アプライアンスのみ)
      ネットワーク ダイアグラム
      設定
LAN ベースのアクティブ/スタンバイ フェールオーバーの設定
      ネットワーク ダイアグラム
      プライマリ ユニットの設定
      セカンダリ ユニットの設定
      設定
確認
      show failover コマンドの使用
      監視対象インターフェイスの表示
      実行コンフィギュレーションでのフェールオーバー コマンドの表示
      ASA のフェールオーバーにおける電子メールアラートの設定
      フェールオーバー機能のテスト
      強制フェールオーバー
      フェールオーバーのディセーブル化
      故障したユニットの復元
      障害が発生したユニットの新しいユニットとの交換
トラブルシューティング
      フェールオーバーの監視
      ユニット障害
      LU allocate connection failed
      Primary Lost Failover communications with mate on interface interface_name
      フェールオーバーのシステム メッセージ
      デバッグ メッセージ
      SNMP
      NAT 0 の問題
      failover polltime
      フェールオーバー設定での証明書/秘密鍵のエクスポート
      警告:Failover message decryption failure.
      ASA モジュール フェールオーバー
      Failover message block alloc failed
      AIP モジュール フェールオーバーの問題
      ASA のフェールオーバー ペアを、イーサネット カードからオプティカル インターフェイスにアップグレードできない
      既知の問題
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

フェールオーバーの設定には、専用のフェールオーバー リンクおよび必要に応じてステートフル フェールオーバー リンクで相互に接続された 2 つのまったく同じセキュリティ アプライアンスが必要です。アクティブなインターフェイスとユニットのヘルスが監視されて、特定のフェールオーバー条件が満たされているかどうかが判定されます。条件が満たされると、フェールオーバーが発生します。

セキュリティ アプライアンスでは、アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーの 2 種類のフェールオーバー設定がサポートされています。各フェールオーバー設定には、フェールオーバーを決定して実行する固有の方法があります。アクティブ/アクティブ フェールオーバーの場合は、どちらのユニットもネットワーク トラフィックを渡すことができます。これにより、ネットワークにロード バランシングを設定できます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで稼働するユニットでのみ使用できます。アクティブ/スタンバイ フェールオーバーの場合は、一方のユニットのみがトラフィックを渡すことができ、もう一方のユニットはスタンバイ状態で待機します。アクティブ/スタンバイ フェールオーバーは、シングル コンテキスト モードかマルチ コンテキスト モードのどちらで稼働するユニットでも使用できます。どちらのフェールオーバー設定でも、ステートフル フェールオーバーまたはステートレス(標準)フェールオーバーがサポートされます。

このドキュメントでは、PIX セキュリティ アプライアンスにアクティブ/スタンバイ フェールオーバーを設定する方法を中心に取り上げています。

注:VPN がマルチ コンテキストではサポートされないのと同様に、VPN フェールオーバーは、マルチ コンテキスト モードで動作するユニットではサポートされません。VPN フェールオーバーは、シングル コンテキスト構成のアクティブ/スタンバイ設定でだけ利用できます。

フェールオーバーには管理インターフェイスを使用しないことを推奨いたします。特に、ステートフル フェールオーバーの場合、一方のセキュリティ アプライアンスから他方のセキュリティ アプライアンスに常に接続情報が送信されるので、管理インターフェイスの使用は推奨されません。フェールオーバー用のインターフェイスは、通常のトラフィックを渡すインターフェイスと少なくとも同じ容量である必要があります。さらに、ASA 5540 のインターフェイスはギガビットですが、管理インターフェイスは FastEthernet のみです。管理インターフェイスは管理トラフィック専用の設計になっており、management0/0 と指定されます。ただし、management-only コマンドを使用すると、任意のインターフェイスを管理専用インターフェイスとして設定できます。また、Management 0/0 については、管理専用モードをディセーブルにして、他のインターフェイスと同じようにトラフィックを受け渡すようにすることができます。management-only コマンドについての詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 8.0』を参照してください。

この設定ガイドでは、PIX/ASA 7.x のアクティブ/スタンバイ テクノロジーの概要と併せて、設定例を紹介しています。このテクノロジーの基礎になっている理論背景についての詳細は、『ASA/PIX コマンド リファレンス ガイド』を参照してください。



前提条件

要件

ハードウェア要件

フェールオーバー設定に含める 2 台のユニットは、ハードウェア構成が同じである必要があります。同じモデル、同じ数と種類のインターフェイス、さらに同じ大きさの RAM が使用されている必要があります。

注:フラッシュ メモリのサイズは同じでなくてもかまいません。フェールオーバー設定内でフラッシュ メモリ サイズが異なるユニットを使用する場合は、フラッシュ メモリ サイズが小さい方のユニットに、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルを格納するのに十分な領域があることを確認してください。十分な領域がない場合、フラッシュ メモリ サイズの大きい方のユニットから小さい方のユニットへの設定の同期が失敗します。

ソフトウェア要件

フェールオーバー設定に含める 2 台のユニットは、動作モード(ルーテッドまたはトランスペアレント、シングルまたはマルチ コンテキスト)が同じである必要があります。両方のユニットでは、メジャー(1 番目の番号)とマイナー(2 番目の番号)ソフトウェア バージョンが同じである必要がありますが、アップグレード プロセスの間は、異なるバージョンのソフトウェアを使用できます。たとえば、1 つのユニットをバージョン 7.0(1) からバージョン 7.0(2) にアップグレードしても、フェールオーバーをアクティブに保つことができます。ただし、長期的な互換性を保つため、両方のユニットを同じバージョンにアップグレードすることを推奨いたします。

フェールオーバー ペア上でのソフトウェアのアップグレードについての詳細は、『Cisco セキュリティ アプライアンス コマンドライン設定ガイド、バージョン 8.0』の「ダウンタイムを発生させないフェールオーバー ペアのアップグレードの実行」セクションを参照してください。

ライセンス要件

PIX セキュリティ アプライアンス プラットフォームでは、少なくとも 1 つのユニットに無制限(UR)ライセンスが適用されている必要があります。

注:追加の機能と利点を取得するには、フェールオーバー ペア上のランセンスのアップグレードが必要になる場合があります。アップグレードについての詳細は、『PIX/ASA:フェールオーバー ペアのライセンス キーのアップグレード』を参照してください。

注:フェールオーバーに関与する両方のセキュリティ アプライアンス上のライセンス済み機能(SSL VPN ピアやセキュリティ コンテキスト)は、同一である必要があります。



使用するコンポーネント

このドキュメントの情報は、バージョン 7.x 以降の PIX セキュリティ アプライアンスに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



関連製品

この設定は、ASA セキュリティ アプライアンス バージョン 7.x 以降にも適用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



アクティブ/スタンバイ フェールオーバー

このセクションではアクティブ/スタンバイ フェールオーバーについて説明されており、次のトピックが含まれています。



アクティブ/スタンバイ フェールオーバーの概要

アクティブ/スタンバイ フェールオーバーを利用すると、スタンバイ セキュリティ アプライアンスを使用して故障したユニットの機能を引き継ぐことができます。アクティブなユニットが故障すると、そのユニットはスタンバイ状態に変わり、スタンバイ ユニットがアクティブ状態に変わります。アクティブになったユニットは、故障したユニットの IP アドレス(または、トランスペアレント ファイアウォールの場合は管理 IP アドレス)と MAC アドレスを引き継ぎ、トラフィックの受け渡しを開始します。スタンバイ状態になったユニットは、スタンバイ IP アドレスと MAC アドレスを受け継ぎます。ネットワーク デバイスで認識される MAC と IP のアドレス対応は変わらないので、ネットワークのどこにも ARP エントリの変更やタイムアウトは発生しません。

注:マルチ コンテキスト モードでは、セキュリティ アプライアンスはユニット全体(すべてのコンテキストを含む)をフェールオーバーすることはできますが、個別のコンテキストを別々にフェールオーバーすることはできません。



プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

フェールオーバー ペアの 2 つのユニットの間の主な違いは、どちらのユニットがアクティブでどちらのユニットがスタンバイかということ、つまり、どの IP アドレスを使用し、どちらのユニットがプライマリでアクティブにトラフィックを受け渡すかということに関係します。

どちらのユニットがプライマリで(設定で指定)どちらがセカンダリかということに基づき、ユニットの間にはいくつかの違いが存在します。

  • 両方のユニットが同時に起動された場合(そして動作ヘルスが同等である場合)、常にプライマリ ユニットがアクティブ ユニットになります。

  • プライマリ ユニットの MAC アドレスが常に、アクティブな IP アドレスに結び付けられます。セカンダリ ユニットがアクティブであり、フェールオーバー リンクを通してプライマリ MAC アドレスを取得できない場合は、このルールに対する例外が発生します。この場合は、セカンダリ MAC アドレスが使用されます。



デバイスの初期化と設定の同期

フェールオーバー ペアの一方または両方のデバイスがブートすると、設定の同期が発生します。設定は、常にアクティブ ユニットからスタンバイ ユニットに同期化されます。スタンバイ ユニットでは初期起動が完了すると実行コンフィギュレーションがクリアされ(アクティブ ユニットとの通信に必要なフェールオーバー コマンドを除きます)、アクティブ ユニットから自身の設定全体がスタンバイ ユニットに送信されます。

アクティブ ユニットは次のようにして決定されます。

  • ユニットがブートして、ピアがすでにアクティブとして動作していることが検出されると、そのユニットはスタンバイ ユニットになります。

  • ユニットがブートして、ピアが検出されない場合、そのユニットはアクティブ ユニットになります。

  • 両方のユニットが同時にブートした場合は、プライマリ ユニットがアクティブ ユニットになり、セカンダリ ユニットがスタンバイ ユニットになります。

注:セカンダリ ユニットがブートして、プライマリ ユニットが検出されない場合は、アクティブ ユニットになります。アクティブ IP アドレスに対して、自身の MAC アドレスが結び付けられます。プライマリ ユニットが使用可能になると、セカンダリ ユニットでは MAC アドレスがプライマリ ユニットの MAC アドレスに変更されるので、ネットワーク トラフィックが中断する可能性があります。この問題を回避するには、フェールオーバー ペアに仮想 MAC アドレスを設定します。詳細は、このドキュメントの「ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定」セクションを参照してください。

複製が始まると、アクティブ ユニットのセキュリティ アプライアンス コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、完了すると「End Configuration Replication to mate」というメッセージが表示されます。複製の間は、アクティブ ユニットで入力したコマンドはスタンバイ ユニットに正しく複製できず、スタンバイ ユニットで入力されたコマンドは、アクティブ ユニットから複製される設定で上書きされる可能性があります。コンフィギュレーションの複製プロセス中には、フェールオーバー ペアのいずれのユニットでもコマンドを入力しないようにしてください。コンフィギュレーションのサイズにより、複製には数秒から数分かかる可能性があります。

セカンダリ ユニットでは、プライマリ ユニットからの複製メッセージを(同期動作に応じて)見ることができます。

pix> .

        Detected an Active mate
Beginning configuration replication from mate.
End configuration replication from mate.

pix>

スタンバイ ユニットでは、コンフィギュレーションが置かれているのは実行メモリ上だけです。同期の後でコンフィギュレーションをフラッシュ メモリに保存するには、次のコマンドを入力します。

  • シングル コンテキスト モードの場合は、アクティブ ユニットで copy running-config startup-config コマンドを入力します。このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。

  • マルチ コンテキスト モードの場合は、アクティブ ユニットで、システム実行スペースおよびディスクの各コンテキスト内から、copy running-config startup-config コマンドを入力します。このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。外部サーバ上のスタートアップ コンフィギュレーションのコンテキストは、どちらのユニットからもネットワーク経由でアクセスできるので、ユニットごとに個別に保存する必要はありません。代わりに、アクティブ ユニットからディスク上のコンテキストを外部サーバにコピーした後、それをスタンバイ ユニットのディスクにコピーして、ユニットをリロードするときに利用できるようにすることもできます。



コマンドの複製

コマンドの複製は、常に、アクティブ ユニットからスタンバイ ユニットに向かって行われます。コマンドがアクティブ ユニットで入力されると、フェールオーバー リンクを通してスタンバイ ユニットに送られます。コマンドを複製するために、アクティブなコンフィギュレーションをフラッシュ メモリに保存する必要はありません。

注:スタンバイ ユニットで行われた変更は、アクティブ ユニットへは複製されません。スタンバイ ユニットでコマンドを入力すると、セキュリティ アプライアンスに「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit.」というメッセージが表示されます。これでコンフィギュレーションは同期しません。このメッセージは、コンフィギュレーションに影響を与えないコマンドを入力した場合でも表示されます。

アクティブ ユニットで write standby コマンドを入力すると、スタンバイ ユニットでは実行コンフィギュレーション(アクティブ ユニットとの通信に使用するフェールオーバー コマンドを除く)がクリアされ、アクティブ ユニットからコンフィギュレーション全体がスタンバイ ユニットに送信されます。

マルチ コンテキスト モードの場合、システム実行スペースで write standby コマンドを入力すると、すべてのコンテキストが複製されます。コンテキスト内で write standby コマンドを入力した場合は、コンテキストのコンフィギュレーションのみが複製されます。

複製されたコマンドは、実行コンフィギュレーションに格納されます。複製されたコマンドをスタンバイ ユニットのフラッシュ メモリに保存するには、次のコマンドを入力します。

  • シングル コンテキスト モードの場合は、アクティブ ユニットで copy running-config startup-config コマンドを入力します。このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。

  • マルチ コンテキスト モードの場合は、アクティブ ユニットで、システム実行スペースおよびディスクの各コンテキスト内から、copy running-config startup-config コマンドを入力します。このコマンドがスタンバイ ユニットに複製され、スタンバイ ユニットでコンフィギュレーションがフラッシュ メモリに書き込まれます。外部サーバ上のスタートアップ コンフィギュレーションのコンテキストは、どちらのユニットからもネットワーク経由でアクセスできるので、ユニットごとに個別に保存する必要はありません。代わりに、アクティブ ユニットからディスク上のコンテキストを外部サーバにコピーした後、それをスタンバイ ユニットのディスクにコピーすることもできます。



フェールオーバー トリガー

ユニットが障害状態になる可能性があるのは、次のいずれかのイベントが発生した場合です。

  • ユニットにハードウェア障害または電源障害がある。

  • ユニットにソフトウェア障害がある。

  • 多くの監視対象インターフェイスで障害が発生する。

  • アクティブ ユニットで no failover active コマンドが入力される。または、スタンバイ ユニットで failover active コマンドが入力される。



フェールオーバー アクション

アクティブ/スタンバイ フェールオーバーでは、フェールオーバーはユニット単位で発生します。マルチ コンテキスト モードが稼働しているシステムであっても、個別のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

次の表に、障害イベントごとのフェールオーバー アクションを示します。表では、障害イベントごとに、フェールオーバー ポリシー(フェールオーバーするかしないか)、アクティブ ユニットで実行されるアクション、スタンバイ ユニットで実行されるアクション、およびフェールオーバー条件とアクションに関する特別な注意事項が示されています。表には、フェールオーバーの動作が示されています。

障害イベント

ポリシー

アクティブ アクション

スタンバイ アクション

注記

アクティブ ユニットの障害(電源またはハードウェア)

フェールオーバーする

該当なし

アクティブになる/アクティブを障害としてマークする

監視対象インターフェイスまたはフェールオーバー リンクで hello メッセージを受信することはありません。

以前アクティブであったユニットの復旧

フェールオーバーしない

スタンバイになる

アクションなし

なし

スタンバイ ユニットの障害(電源またはハードウェア)

フェールオーバーしない

スタンバイを障害としてマークする。

該当なし

スタンバイ ユニットが障害としてマークされると、アクティブ ユニットでは、インターフェイス障害のしきい値を超えてもフェールオーバーが試行されません。

動作中のフェールオーバー リンクの障害

フェールオーバーしない

フェールオーバー インターフェイスを障害としてマークする。

フェールオーバー インターフェイスを障害としてマークする。

フェールオーバー リンクがダウンしている間は、ユニットはスタンバイ ユニットにフェールオーバーできないので、できる限り早くフェールオーバー リンクを復元する必要があります。

起動時のフェールオーバー リンクの障害

フェールオーバーしない

フェールオーバー インターフェイスを障害としてマークする。

アクティブになる

起動時にフェールオーバー リンクがダウンすると、両方のユニットがアクティブになります。

ステートフル フェールオーバー リンクの障害

フェールオーバーしない

アクションなし

アクションなし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了されます。

アクティブ ユニットでのインターフェイス障害がしきい値を超過

フェールオーバーする

アクティブを障害としてマークする

アクティブになる

なし

スタンバイ ユニットでのインターフェイス障害がしきい値を超過

フェールオーバーしない

アクションなし

スタンバイを障害としてマークする。

スタンバイ ユニットが障害としてマークされると、アクティブ ユニットでは、インターフェイス障害のしきい値を超えてもフェールオーバーが試行されません。




標準およびステートフル フェールオーバー

セキュリティ アプライアンスでは、標準とステートフルという 2 種類のフェールオーバーがサポートされています。このセクションでは、次の項目について説明しています。



標準フェールオーバー

フェールオーバーが発生すると、すべてのアクティブな接続が終了されます。新しいアクティブ ユニットが引き継いだ後で、クライアントでは接続を再確立する必要があります。



ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルになっていると、アクティブ ユニットからは接続ごとのステート情報がスタンバイ ユニットに継続的に渡されます。フェールオーバーが発生した後は、同じ接続情報を新しいアクティブ ユニットで使用できます。サポートされるエンドユーザ アプリケーションでは、同じ通信セッションを維持するために接続しなおす必要はありません。

スタンバイ ユニットには次のようなステート情報が渡されます。

  • NAT 変換テーブル

  • TCP 接続状態

  • UDP 接続状態

  • ARP テーブル

  • レイヤ 2 ブリッジ テーブル(トランスペアレント フェールオーバー モードで稼働している場合)

  • HTTP 接続状態(HTTP 複製がイネーブルになっている場合)

  • ISAKMP および IPSec の SA テーブル

  • GTP PDP 接続データベース

ステートフル フェールオーバーがイネーブルになっていても、次の情報はスタンバイ ユニットには渡されません。

  • HTTP 接続テーブル(HTTP 複製がイネーブルになっていない場合)

  • ユーザ認証(uauth)テーブル

  • ルーティング テーブル

  • セキュリティ サービス モジュールのステート情報

注:アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが発生すると、コール セッションのステート情報がスタンバイ ユニットに複製されるので、コールはアクティブのままになります。コールが終了すると、IP SoftPhone クライアントでは CallManager との接続が解除されます。これは、スタンバイ ユニットには CTIQBE ハングアップ メッセージのセッション情報がないためです。IP SoftPhone クライアントでは、一定の時間内に CallManager からの応答が受信されない場合、CallManager に到達できないものと判断されて登録が解除されます。



ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定(PIX セキュリティ アプライアンスのみ)



ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

pixfailover_01.gif

注:ケーブルベースのフェールオーバーが利用可能なのは PIX 500 シリーズ セキュリティ アプライアンスだけです。

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

フェールオーバー リンクにシリアル ケーブルを使用してアクティブ/スタンバイ フェールオーバーを設定するには、次の手順を実行します。このタスクでのコマンドは、フェールオーバー ペアのプライマリ ユニットで入力します。プライマリ ユニットは、Primary というラベルが付いたケーブルの端が接続されているユニットです。マルチ コンテキスト モードのデバイスの場合、特に指示がない限り、コマンドはシステム実行スペースで入力します。

ケーブル ベースのフェールオーバーを使用する際には、フェールオーバー ペアのセカンダリ ユニットでブートストラップを実行する必要はありません。セカンダリ ユニットの電源は、指示があるまで入れないようにしてください。

次の手順を実行して、ケーブルベースのアクティブ/スタンバイ フェールオーバーを設定します。

  1. フェールオーバー ケーブルを PIX セキュリティ アプライアンスに接続します。「Primary」とマークされたケーブルの端をプライマリ ユニットとして使用するユニットに接続し、「Secondary」とマークされたケーブルの端を他方のユニットに接続します。

  2. プライマリ ユニットの電源を入れます。

  3. まだ行っていない場合は、各データ インターフェイス(ルーテッド モード)または管理インターフェイス(トランスペアレント モード)に、アクティブとスタンバイの IP アドレスを設定します。スタンバイ IP アドレスは、現在スタンバイ ユニットであるセキュリティ アプライアンスで使用されます。これはアクティブ IP アドレスと同じサブネットである必要があります。

    注:専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクに IP アドレスを設定しないでください。専用ステートフル フェールオーバー インターフェイスを設定するには、後のステップで failover interface ip コマンドを使用します。

    hostname(config-if)#ip address <active_addr> <netmask> 
                              standby <standby_addr>
    
    

    この例では、プライマリ PIX の Outside インターフェイスは次のように設定されています。

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    ここでは、172.16.1.1 がプライマリ ユニットの Outside インターフェイスの IP アドレスに使用され、172.16.1.2 がセカンダリ(スタンバイ)ユニットの Outside インターフェイスに割り当てられます。

    注:マルチ コンテキスト モードでは、各コンテキスト内からインターフェイス アドレスを設定する必要があります。コンテキストを切り替えるには、changeto context コマンドを使用します。コマンド プロンプトが hostname/context(config-if)# に変わります。ここでは、context が現在のコンテキストの名前になります。

  4. ステートフル フェールオーバーをイネーブルにするために、ステートフル フェールオーバー リンクを設定します。

    1. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

       hostname(config)#failover link if_name phy_if
      
      

      次の例では、Ethernet2 インターフェイスを使用して、ステートフル フェールオーバー リンクのステート情報が交換されます。

      hostname(config)#failover link state Ethernet2
      

      nameif 引数により、phy_if 引数で指定されているインターフェイスに論理名が割り当てられます。phy_if 引数には、Ethernet1 などの物理ポート番号、または Ethernet0/2.3 などの作成済みのサブインターフェイスを使用できます。このインターフェイスは、他の目的に使用しないでください。

    2. ステートフル フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      hostname(config)#failover interface ip <if_name> <ip_addr> <mask> 
                             standby <ip_addr>
      
      

      次の例では、ステートフル フェールオーバー リンクのアクティブ IP アドレスとして 10.0.0.1 が使用され、スタンバイ IP アドレスとして 10.0.0.2 が使用されています。

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      注:ステートフル フェールオーバー リンクでデータ インターフェイスが使用されている場合は、この手順をスキップします。インターフェイスのアクティブとスタンバイの IP アドレスはすでに定義してあります。

      スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネット内にある必要があります。スタンバイ IP アドレスのサブネット マスクの識別は不要です。

      データ インターフェイスを使用していない場合、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスはフェールオーバー時には変化しません。アクティブ IP アドレスは常にプライマリ ユニットに存在し、スタンバイ IP アドレスはセカンダリ ユニットに存在します。

    3. インターフェイスをイネーブルにします。

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      
  5. フェールオーバーをイネーブルにします。

    hostname(config)#failover
    
  6. セカンダリ ユニットの電源を入れ、まだイネーブルになっていない場合はセカンダリ ユニットでフェールオーバーをイネーブルにします。

    hostname(config)#failover
    

    アクティブ ユニットでは、実行メモリ内のコンフィギュレーションがスタンバイ ユニットに送信されます。コンフィギュレーションの同期が行われて、プライマリ コンソールに「Beginning configuration replication: sending to mate」および「End Configuration Replication to mate」というメッセージが表示されます。

    注:まず、プライマリ デバイスで failover コマンドを発行し、次にセカンダリ デバイスで発行します。セカンダリ デバイス上で failover コマンドを発行した後、セカンダリ デバイスでは即座にプライマリ デバイスからコンフィギュレーションが取得され、スタンバイとしてセカンダリ デバイス自体が設定されます。プライマリ ASA はアップしたままであり、トラフィックの受け渡しが正常に行われます。そのため、プライマリ ASA 自体がアクティブ デバイスとしてマークされます。この時点以降、アクティブ デバイス上で障害が発生する場合は、常にスタンバイ デバイスがアクティブになります。

  7. コンフィギュレーションをプライマリ ユニットのフラッシュ メモリに保存します。プライマリ ユニットで入力されたコマンドはセカンダリ ユニットに複製されるので、セカンダリ ユニットでもコンフィギュレーションがフラッシュ メモリに保存されます。

    hostname(config)#copy running-config startup-config
    

    注:このセクションで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。



設定

このドキュメントでは、次の設定を使用します。

PIX

pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- 「no shutdown」は、プライマリとセカンダリの両方の PIX の 
!--- ステートフル フェールオーバー インターフェイスに設定します。


interface Ethernet2
 description STATE Failover Interface
!
interface Ethernet3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500
failover
failover link state Ethernet2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2
asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
!

!--- 出力を省略

!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end




LAN ベースのアクティブ/スタンバイ フェールオーバーの設定

ネットワーク ダイアグラム

このドキュメントでは、次のネットワーク構成を使用しています。

pixfailover_02.gif

このセクションでは、イーサネット フェールオーバー リンクを使用してアクティブ/スタンバイ フェールオーバーを設定する方法を説明しています。LAN ベースのフェールオーバーを設定する場合は、セカンダリ デバイスがプライマリ デバイスから実行コンフィギュレーションを取得できるように、先にセカンダリ デバイスでブートストラップを実行して、フェールオーバー リンクを認識させる必要があります。

注:イーサネット クロスケーブルを使用して、直接ユニットと接続するのではなく、プライマリ ユニットとセカンダリ ユニットの間に専用スイッチを使用することを推奨しています。



プライマリ ユニットの設定

LAN ベースのアクティブ/スタンバイ フェールオーバー設定でプライマリ ユニットを設定するには、次の手順を実行します。この手順では、プライマリ ユニットでフェールオーバーをイネーブルにするために必要な最低限の設定を行います。マルチ コンテキスト モードの場合、特に指示がない限り、すべての手順をシステム実行スペースで実行します。

アクティブ/スタンバイ フェールオーバー ペアのプライマリ ユニットを設定するには、次の手順を実行します。

  1. まだ行っていない場合は、各インターフェイス(ルーテッド モード)または管理インターフェイス(トランスペアレント モード)に、アクティブとスタンバイの IP アドレスを設定します。スタンバイ IP アドレスは、現在スタンバイ ユニットであるセキュリティ アプライアンスで使用されます。これはアクティブ IP アドレスと同じサブネットである必要があります。

    注:専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクに IP アドレスを設定しないでください。専用ステートフル フェールオーバー インターフェイスを設定するには、後のステップで failover interface ip コマンドを使用します。

    hostname(config-if)#ip address active_addr netmask 
                             standby standby_addr
    

    この例では、プライマリ PIX の Outside インターフェイスは次のように設定されています。

    hostname(config-if)#ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
    

    ここでは、172.16.1.1 がプライマリ ユニットの Outside インターフェイスの IP アドレスに使用され、172.16.1.2 がセカンダリ(スタンバイ)ユニットの Outside インターフェイスに割り当てられます。

    注:マルチ コンテキスト モードでは、各コンテキスト内からインターフェイス アドレスを設定する必要があります。コンテキストを切り替えるには、changeto context コマンドを使用します。コマンド プロンプトが hostname/context(config-if)# に変わります。ここでは、context が現在のコンテキストの名前になります。

  2. (PIX セキュリティ アプライアンス プラットフォームのみ)LAN ベースのフェールオーバーをイネーブルにします。

    hostname(config)#failover lan enable
    
  3. ユニットをプライマリ ユニットとして指定します。

    hostname(config)#failover lan unit primary
    
  4. フェールオーバー インターフェイスを定義します。

    1. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

      hostname(config)#failover lan interface if_name phy_if
      
      

      このドキュメントでは、「failover」(Ethernet3 のインターフェイス名)がフェールオーバー インターフェイスに使用されています。

      hostname(config)#failover lan interface failover Ethernet3
      
      

      if_name 引数により、phy_if 引数で指定されているインターフェイスに名前が割り当てられます。phy_if 引数には、Ethernet1 などの物理ポート番号、または Ethernet0/2.3 などの作成済みのサブインターフェイスを使用できます。

    2. フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      このドキュメントでは、フェールオーバー リンクを設定するために、10.1.0.1 がアクティブ ユニットに使用され、10.1.0.2 がスタンバイ ユニットに使用され、「failover」が Ethernet3 のインターフェイス名になっています。

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネット内にある必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

      フェールオーバー リンクの IP アドレスと MAC アドレスはフェールオーバー時には変化しません。フェールオーバー リンクのアクティブ IP アドレスは常にプライマリ ユニットに存在し、スタンバイ IP アドレスはセカンダリ ユニットに存在します。

    3. インターフェイスをイネーブルにします。

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      

      次の例では、Ethernet3 がフェールオーバーに使用されます。

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  5. (オプション)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。

    1. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

      hostname(config)#failover link if_name phy_if
      
      
      

      次の例では、フェールオーバー リンクのステート情報を交換するための Ethernet2 のインターフェイス名として「state」を使用しています。

      hostname(config)#failover link state Ethernet2
      

      注:ステートフル フェールオーバー リンクでフェールオーバー リンクまたはデータ インターフェイスを使用する場合に、指定する必要がある引数は if_name だけです。

      if_name 引数では、phy_if 引数で指定されているインターフェイスに論理名が割り当てられます。phy_if 引数には、Ethernet1 などの物理ポート番号、または Ethernet0/2.3 などの作成済みのサブインターフェイスを使用できます。オプションでフェールオーバー リンクとして使用する場合を除き、このインターフェイスを他の目的に使用しないでください。

    2. ステートフル フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      注:ステートフル フェールオーバー リンクでフェールオーバー リンクまたはデータ インターフェイスが使用されている場合は、この手順をスキップします。インターフェイスのアクティブとスタンバイの IP アドレスはすでに定義してあります。

      hostname(config)#failover interface ip if_name ip_addr 
                             mask standby ip_addr
      
      

      次の例では、ステートフル フェールオーバー リンクのアクティブ IP アドレスとして 10.0.0.1 が使用され、スタンバイ IP アドレスとして 10.0.0.2 が使用されています。

      hostname(config)#failover interface ip state 10.0.0.1 255.0.0.0 
                             standby 10.0.0.2
      

      スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネット内にある必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

      データ インターフェイスを使用していない場合、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスはフェールオーバー時には変化しません。アクティブ IP アドレスは常にプライマリ ユニットに存在し、スタンバイ IP アドレスはセカンダリ ユニットに存在します。

    3. インターフェイスをイネーブルにします。

      注:ステートフル フェールオーバー リンクでフェールオーバー リンクまたはデータ インターフェイスが使用されている場合は、この手順をスキップします。インターフェイスはすでにイネーブルになっています。

      hostname(config)#interface phy_if
      
      hostname(config-if)#no shutdown
      

      注:たとえば、このシナリオでは、Ethernet2 がステートフル フェールオーバー リンクに使用されています。

      hostname(config)#interface ethernet2
      
      hostname(config-if)#no shutdown
      
  6. フェールオーバーをイネーブルにします。

    hostname(config)#failover
    

    注:まず、プライマリ デバイスで failover コマンドを発行し、次にセカンダリ デバイスで発行します。セカンダリ デバイス上で failover コマンドを発行した後、セカンダリ デバイスでは即座にプライマリ デバイスからコンフィギュレーションが取得され、スタンバイとしてセカンダリ デバイス自体が設定されます。プライマリ ASA はアップしたままであり、トラフィックの受け渡しが正常に行われます。そのため、プライマリ ASA 自体がアクティブ デバイスとしてマークされます。この時点以降、アクティブ デバイス上で障害が発生する場合は、常にスタンバイ デバイスがアクティブになります。

  7. システム コンフィギュレーションをフラッシュ メモリに保存します。

    hostname(config)#copy running-config startup-config
    


セカンダリ ユニットの設定

セカンダリ ユニットで必要な設定は、フェールオーバー インターフェイスについてだけです。セカンダリ ユニットでは、最初にプライマリ ユニットと通信するためにこれらのコマンドが必要です。コンフィギュレーションがプライマリ ユニットからセカンダリ ユニットに送信された後に、2 つのコンフィギュレーションで永続的に異なるのは、failover lan unit コマンドだけです。このコマンドにより、それぞれのユニットがプライマリまたはセカンダリとして指定されています。

マルチ コンテキスト モードの場合、特に指示がない限り、すべての手順をシステム実行スペースで実行します。

セカンダリ ユニットを設定するには、次の手順を実行します。

  1. (PIX セキュリティ アプライアンス プラットフォームのみ)LAN ベースのフェールオーバーをイネーブルにします。

    hostname(config)#failover lan enable
    
  2. フェールオーバー インターフェイスを定義します。プライマリ ユニットに使用したものと同じ設定を使用します。

    1. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

      hostname(config)#failover lan interface if_name phy_if
      
      

      このドキュメントでは、「failover」(Ethernet3 のインターフェイス名)が LAN フェールオーバー インターフェイスに使用されています。

      hostname(config)#failover lan interface failover Ethernet3
      
      

      if_name 引数により、phy_if 引数で指定されているインターフェイスに名前が割り当てられます。

    2. フェールオーバー リンクにアクティブとスタンバイの IP アドレスを割り当てます。

      hostname(config)#failover interface ip if_name ip_addr mask 
                             standby ip_addr
      
      

      このドキュメントでは、フェールオーバー リンクを設定するために、10.1.0.1 がアクティブ ユニットに使用され、10.1.0.2 がスタンバイ ユニットに使用され、「failover」が Ethernet3 のインターフェイス名になっています。

      hostname(config)#failover interface ip failover 10.1.0.1 
                             255.255.255.0 standby 10.1.0.2
      

      注:このコマンドは、プライマリ ユニットでフェールオーバー インターフェイスを設定した際に入力したものと厳密に一致するように入力します。

    3. インターフェイスをイネーブルにします。

      hostname(config)#interface phy_if
      
      
      hostname(config-if)#no shutdown
      
      

      たとえば、このシナリオでは、Ethernet3 がフェールオーバーに使用されます。

      hostname(config)#interface ethernet3
      
      hostname(config-if)#no shutdown
      
  3. (オプション)このユニットをセカンダリ ユニットとして指定します。

    hostname(config)#failover lan unit secondary
    

    注:ユニットは、それまでに設定されていない限り、デフォルトでセカンダリとして指定されるので、この手順はオプションです。

  4. フェールオーバーをイネーブルにします。

    hostname(config)#failover
    

    注:フェールオーバーをイネーブルにすると、アクティブ ユニットでは実行メモリ内のコンフィギュレーションがスタンバイ ユニットに送信されます。コンフィギュレーションの同期が行われて、プライマリ コンソールに「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」というメッセージが表示されます。

  5. 実行コンフィギュレーションの複製が完了した後で、コンフィギュレーションをフラッシュ メモリに保存します。

    hostname(config)#copy running-config startup-config
    


設定

このドキュメントでは、次の設定を使用します。

プライマリ PIX

pix#show running-config 
 PIX Version 7.2(1)
!
hostname pix
domain-name default.domain.invalid
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.0.0 standby 172.16.1.2
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
!

!--- 「no shutdown」は、プライマリとセカンダリの両方の PIX の 
!--- ステートフル フェールオーバー インターフェイスに設定します。


interface Ethernet2 
nameif state

	 description STATE Failover Interface

interface ethernet3 
nameif failover

  description LAN Failover Interface

!
interface Ethernet4
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Ethernet5
 shutdown
 no nameif
 no security-level
 no ip address
!
passwd 2KFQnbNIdI.2KYOU encrypted
ftp mode passive
dns server-group DefaultDNS
 domain-name default.domain.invalid
access-list 101 extended permit ip any any
pager lines 24
mtu outside 1500
mtu inside 1500

failover
failover lan unit primary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover link state Ethernet2
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
failover interface ip state 10.0.0.1 255.0.0.0 standby 10.0.0.2

asdm image flash:/asdm-521.bin
no asdm history enable
arp timeout 14400
nat (inside) 0 access-list 101
access-group 101 in interface outside
route outside 0.0.0.0 0.0.0.0 172.16.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect rtsp
  inspect skinny
  inspect esmtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
: end

セカンダリ PIX

pix#show running-config 

failover
failover lan unit secondary
failover lan interface failover Ethernet3
failover lan enable
failover key ******
failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2




確認

show failover コマンドの使用

このセクションでは、show failover コマンドの出力について説明しています。各ユニットで、show failover コマンドを使用してフェールオーバーのステータスを確認できます。

プライマリ PIX

pix#show failover
Failover On
Cable status: Normal
Failover unit Primary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 06:07:44 UTC Dec 26 2006
        This host: Primary - Active
                Active time: 1905 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

セカンダリ PIX

pix(config)#show failover
Failover On
Cable status: Normal
Failover unit Secondary
Failover LAN Interface: N/A - Serial-based failover enabled
Unit Poll frequency 15 seconds, holdtime 45 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 7.2(1), Mate 7.2(1)
Last Failover at: 00:00:18 UTC Jan 1 1993
        This host: Secondary - Standby Ready
                Active time: 0 (sec)
                  Interface outside (172.16.1.2): Normal
                  Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Active time: 154185 (sec)
                  Interface outside (172.16.1.1): Normal
                  Interface inside (192.168.1.1): Normal

Stateful Failover Logical Update Statistics
        Link : state Ethernet2 (down)
        Stateful Obj    xmit       xerr       rcv        rerr
        General         0          0          0          0
        sys cmd         0          0          0          0
        up time         0          0          0          0
        RPC services    0          0          0          0
        TCP conn        0          0          0          0
        UDP conn        0          0          0          0
        ARP tbl         0          0          0          0
        Xlate_Timeout   0          0          0          0
        VPN IKE upd     0          0          0          0
        VPN IPSEC upd   0          0          0          0
        VPN CTCP upd    0          0          0          0
        VPN SDI upd     0          0          0          0
        VPN DHCP upd    0          0          0          0

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       0       0

状態を確認するには、show failover state コマンドを使用します。

プライマリ PIX

pix#show failover state
====My State===
Primary | Active |
====Other State===
Secondary | Standby |
====Configuration State===
        Sync Done
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:
        Comm Failure

セカンダリ ユニット

pix#show failover state
====My State===
Secondary | Standby |
====Other State===
Primary | Active |
====Configuration State===
        Sync Done - STANDBY
====Communication State===
        Mac set
=========Failed Reason==============
My Fail Reason:
Other Fail Reason:

フェールオーバー ユニットの IP アドレスを確認するには、show failover interface コマンドを使用します。

プライマリ ユニット

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.1
                Other IP Address : 10.0.0.2

セカンダリ ユニット

pix#show failover interface
        interface state Ethernet2
                System IP Address: 10.0.0.1 255.0.0.0
                My IP Address    : 10.0.0.2
                Other IP Address : 10.0.0.1


監視対象インターフェイスの表示

監視対象インターフェイスのステータスを表示するには、次のようにします。シングル コンテキスト モードの場合は、グローバル コンフィギュレーション モードで show monitor-interface コマンドを入力します。マルチ コンテキスト モードの場合は、コンテキスト内で show monitor-interface コマンドを入力します。

注:特定のインターフェイスでヘルス モニタをイネーブルにするには、グローバル コンフィギュレーション モードで monitor-interface コマンドを使用します。

monitor-interface <if_name>

プライマリ PIX

pix(config)#show monitor-interface
        This host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal
        Other host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal

セカンダリ PIX

pix(config)#show monitor-interface
        This host: Secondary - Standby Ready
                Interface outside (172.16.1.2): Normal
                Interface inside (192.168.1.2): Normal
        Other host: Primary - Active
                Interface outside (172.16.1.1): Normal
                Interface inside (192.168.1.1): Normal

注:フェールオーバー IP アドレスを入力しない場合は、show failover コマンドによって IP アドレスが 0.0.0.0 と表示され、インターフェイスの監視は「waiting」(待機)状態になります。さまざまなフェールオーバー状態についての詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 7.2』の「show failover」セクションを参照してください。

注:デフォルトでは、物理インターフェイスの監視はイネーブルに、サブインターフェイスの監視はディセーブルに設定されています。



実行コンフィギュレーションでのフェールオーバー コマンドの表示

実行コンフィギュレーションでフェールオーバー コマンドを表示するには、次のコマンドを入力します。

hostname(config)#show running-config failover

すべてのフェールオーバー コマンドが表示されます。マルチ コンテキスト モードで稼働するユニットでは、システム実行スペースで show running-config failover コマンドを入力します。デフォルト値を変更していないコマンドを含めて、実行コンフィギュレーションでのフェールオーバー コマンドを表示するには、show running-config all failover コマンドを入力します。



ASA のフェールオーバーにおける電子メールアラートの設定

フェールオーバーに電子メールによるアラートを設定するには、次の手順を実行します。

  1. hostname(config)# logging mail high-priority

  2. hostname(config)# logging from-address xxx-001@example.com

  3. hostname(config)# logging recipient-address admin@example.com

  4. hostname(config)# smtp-server X.X.X.X

これらのコマンドについての詳細は、「電子メール アドレスへの syslog メッセージの送信」を参照してください。



フェールオーバー機能のテスト

フェールオーバー機能をテストするには、次の手順を実行します。

  1. アクティブ ユニットまたはフェールオーバー グループで、(たとえば)FTP を使用して意図したとおりにトラフィックが受け渡され、異なるインターフェイス上のホスト間でファイルが送信されることをテストします。

  2. 次のコマンドを使用して、強制的にスタンバイ ユニットにフェールオーバーさせます。

    • アクティブ/スタンバイ フェールオーバーの場合は、アクティブ ユニットで次のコマンドを入力します。

      hostname(config)#no failover active
      
  3. FTP を使用して、同じ 2 つのホスト間で別のファイルを送信します。

  4. テストが失敗した場合は、show failover command を入力してフェールオーバーのステータスを調べます。

  5. 終了したら、次のコマンドを使用してユニットまたはフェールオーバー グループをアクティブ ステータスに戻すことができます。

    アクティブ/スタンバイ フェールオーバーの場合は、アクティブ ユニットで次のコマンドを入力します。

    hostname(config)#failover active
    


強制フェールオーバー

強制的にスタンバイ ユニットをアクティブにするには、次のいずれかのコマンドを入力します。

スタンバイ ユニットで次のコマンドを入力します。

hostname#failover active

アクティブ ユニットで次のコマンドを入力します。

hostname#no failover active


フェールオーバーのディセーブル化

フェールオーバーをディセーブルにするには、次のコマンドを入力します。

hostname(config)#no failover

アクティブ/スタンバイ ペアでフェールオーバーをディセーブルにしても、各ユニットのアクティブおよびスタンバイの状態は、再起動するまで維持されます。たとえば、スタンバイ ユニットはスタンバイ モードのままなので、どちらのユニットでもトラフィックの受け渡しが開始されません。スタンバイ ユニットをアクティブにするには(フェールオーバーがディセーブルになっている場合でも)、「強制フェールオーバー」セクションを参照してください。

アクティブ/アクティブ ペアでフェールオーバーをディセーブルにすると、どのユニットが優先に設定されているかに関係なく、フェールオーバー グループは現在アクティブになっているユニットでアクティブ状態のままになります。no failover コマンドは、システム実行スペースで入力できます。



故障したユニットの復元

障害が発生したユニットの障害状態を解除するには、次のコマンドを入力します。

hostname(config)#failover reset

障害状態のユニットを障害解除状態に復元した場合、ユニットは自動的にはアクティブになりません。(強制的または通常の)フェールオーバーによってアクティブにされるまで、復元されたユニットはスタンバイ状態のままになります。ただし、preempt コマンドを使用して設定されているフェールオーバー グループは例外です。以前アクティブであり、フェールオーバー グループが preempt コマンドを使用して設定されていて、障害が発生したユニットが優先ユニットである場合、そのフェールオーバー グループはアクティブになります。



障害が発生したユニットの新しいユニットとの交換

障害が発生したユニットを新しいユニットに交換するには、次の手順を実行します。

  1. プライマリ ユニットで no failover コマンドを実行します。

    セカンダリ ユニットのステータスが「standby unit as not detected」となります。

  2. プライマリ ユニットを取り外して、新しいユニットに交換します。

  3. 交換したユニットでセカンダリ ユニットと同じバージョンのソフトウェアおよび ASDM が実行されていることを確認します。

  4. 交換したユニットで次のコマンドを実行します。

    ASA(config)#failover lan unit primary 
    ASA(config)#failover lan interface failover Ethernet3
    ASA(config)#failover interface ip failover 10.1.0.1 255.255.255.0 standby 10.1.0.2
    ASA(config)#interface Ethernet3
    ASA(config-if)#no shut 
    ASA(config-if)#exit
    
  5. 交換したプライマリ ユニットをネットワークに接続し、次のコマンドを実行します。

    ASA(config)#failover
    


トラブルシューティング

フェールオーバーが発生すると、両方のセキュリティ アプライアンスからシステム メッセージが送信されます。このセクションでは、次の項目について説明しています。



フェールオーバーの監視

次の例では、フェールオーバーによりネットワーク インターフェイスの監視が開始されなかった場合の動作を説明しています。フェールオーバーが発生しても、ネットワーク インターフェイスで他方のユニットからの 2 番目の「hello」パケットが受信されるまでは、そのインターフェイスの監視が開始されません。これには約 30 秒かかります。Spanning Tree Protocol(STP; スパニング ツリー プロトコル)が稼働するネットワーク スイッチにユニットが接続されている場合は、スイッチで設定されている「転送遅延」時間(通常は 15 秒)の 2 倍に、この 30 秒の遅延を加えた時間がかかります。これは、PIX のブートアップ時およびフェールオーバー イベントの直後に、ネットワーク スイッチで一時的なブリッジ ループが検出されるためです。このループが検出されると、ネットワーク スイッチでは「転送遅延」時間だけ、これらのインターフェイスでのパケットの転送が停止されます。その後、スイッチはさらに「転送遅延」時間だけ「リッスン」モードに入り、この間はブリッジ ループのリッスンが行われ、トラフィックの転送は行われません(または、フェールオーバーの「hello」パケットが転送されません)。転送遅延時間 2 回分(30 秒)の後、トラフィック フローが再開されます。各 PIX は、他方のユニットから 30 秒に相当する「hello」パケットを受信するまで、「待機」モードに留まります。PIX では、トラフィックを渡している間は、「hello」パケットを受信しないことを理由に他のユニットを障害扱いにすることはありません。他のすべてのフェールオーバー監視は引き続き行われます(つまり、電源、インターフェイスのリンク喪失、およびフェールオーバー ケーブルの「hello」)。

フェールオーバーに関しては、PIX インターフェイスに接続するすべてのスイッチ ポートで PortFast をイネーブルにすることを強く推奨いたします。さらに、これらのポートではチャネリングとトランキングをディセーブルにする必要があります。PIX のインターフェイスがフェールオーバーの間にダウンした場合、スイッチでは、ポートの状態が「リスニング」から「学習」を経て「転送」に移行するまでの間、30 秒間待つ必要はありません。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)

まとめると、フェールオーバーの問題を絞り込むには次の手順を確認します。

  • 「待機」/「障害」状況のインターフェイスに接続されているネットワーク ケーブルを調べて、可能であれば交換します。

  • 2 つのユニットの間に接続されているスイッチがある場合は、「待機」/「障害」状況のインターフェイスに接続されているネットワークが正常に機能していることを確認します。

  • 「待機」/「障害」状況のインターフェイスに接続されているスイッチ ポートを調べて、可能であれば、そのスイッチの別の FE ポートを使用します。

  • インターフェイスに接続されているスイッチ ポートで、PortFast をイネーブルにしてあり、トランキングとチャネリングをディセーブルにしてあることを確認します。



ユニット障害

次の例では、フェールオーバーで障害が検出されています。プライマリ ユニットの Interface 1 が障害の原因であることに注意してください。ユニットは、障害のために「待機」モードに戻っています。障害が発生したユニットでは、ネットワークから自分自身が削除され(インターフェイスがダウン)、ネットワークには「hello」パケットが送信されなくなります。アクティブ ユニットは、故障したユニットが交換されてフェールオーバー通信が再開されるまで、「待機」状況に留まります。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)


LU allocate connection failed

このエラー メッセージが表示される場合、メモリの問題が存在する可能性があります。

LU allocate connection failed

この問題を解決するには、PIX/ASA ソフトウェアをアップグレードします。



Primary Lost Failover communications with mate on interface interface_name

フェールオーバー ペアのユニットが相手のユニットと通信できない状態になった場合に、このフェールオーバー メッセージが表示されます。セカンダリ ユニットが問題であれば、「Primary」の箇所は「Secondary」と表示されます。

(Primary) Lost Failover communications with mate on interface interface_name

所定のインターフェイスに接続されたネットワークが正しく動作していることを確認します。



フェールオーバーのシステム メッセージ

セキュリティ アプライアンスからは、フェールオーバーに関連する多数のシステム メッセージがプライオリティ レベル 2 で発行され、これはクリティカルな状態を示しています。これらのメッセージを見るには、『Cisco セキュリティ アプライアンスのロギング設定とシステム ログ メッセージ』を参照して、ロギングをイネーブルにし、さらにシステム メッセージの説明を参照してください。

注:スイッチオーバーでは、フェールオーバーによりインターフェイスが論理的にシャットダウンされてから起動されるので、syslog の 411001 および 411002 メッセージが生成されます。これは正常な動作です。



デバッグ メッセージ

デバッグ メッセージを表示するには、debug fover コマンドを入力します。詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス』を参照してください。

注:デバッグ出力は CPU プロセスで高い優先度を割り当てられているので、システムのパフォーマンスが大きな影響を受ける可能性があります。このため、debug fover コマンドの使用は、特定の問題のトラブルシューティングまたはシスコのテクニカルサポート要員とのトラブルシューティング セッション中だけにしてください。



SNMP

フェールオーバーに対する SNMP syslog トラップを受け取るには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義して、Cisco syslog MIB を SNMP 管理ステーションにコンパイルします。詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス』で snmp-server コマンドと logging コマンドを参照してください。



NAT 0 の問題

Cisco セキュリティ アプライアンスの電源をオン/オフすると、使用している設定から NAT 0 コマンドが消えてしまいます。この問題は、設定を保存した後であっても発生します。他のコマンドは保存されるのに、nat 0 コマンドは保存されません。

この問題は、Cisco Bug ID CSCsk18083登録ユーザ専用)に記述されています。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。この問題を解決するには、nat exemption アクセス リストに、不正なアクセスリストを設定しないようにします。アクセス コントロール エントリには ip permit または deny に設定します。



failover polltime

フェールオーバー ユニットのポーリング時間とホールド時間を指定するには、グローバル コンフィギュレーション モードで failover polltime コマンドを使用します。

failover polltime unit msec [time] は、hello メッセージをポーリングすることでスタンバイ ユニットの存在を確認するための時間間隔を表します。

同様に、failover holdtime unit msec [time] は、ユニットがフェールオーバー リンクで hello メッセージを受信する必要のある時間間隔の設定を表します。この時間が経過すると、ピア ユニットは障害として宣言されます。

アクティブ/スタンバイ フェールオーバー設定でデータ インターフェイス ポーリング時間とデータ インターフェイス ホールド時間を指定するには、グローバル コンフィギュレーション モードで failover polltime interface コマンドを使用します。デフォルトのポーリング時間とホールド時間を復元するには、このコマンドの no 形式を使用します。

failover polltime interface [msec] time [holdtime time]

データ インターフェイス上で hello パケットが送信される頻度を変更するには、failover polltime interface コマンドを使用します。このコマンドは、アクティブ/スタンバイ フェールオーバーでのみ使用できます。アクティブ/アクティブ フェールオーバーの場合は、failover polltime interface コマンドではなく、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。

インターフェイス ポーリング時間の 5 倍未満の holdtime 値は入力できません。より高速なポーリング時間の場合は、セキュリティ アプライアンスではより高速に障害を検出し、フェールオーバーをトリガーすることが可能です。ただし、ネットワークが一時的に輻輳している場合、より高速な検出によって不要な切り替えが発生する可能性があります。ホールド時間の半分を超えてもインターフェイスで hello パケットが受信されない場合、インターフェイス テストが開始されます。

コンフィギュレーションには、failover polltime unit コマンドと failover polltime interface コマンドのどちらも含めることができます。

次の例では、インターフェイス ポーリング時間の頻度は 500 ミリ秒、ホールド時間は 5 秒に設定されています。

hostname(config)#failover polltime interface msec 500 holdtime 5

詳細は、『Cisco セキュリティ アプライアンス コマンド リファレンス、バージョン 7.2』の「failover polltime」セクションを参照してください。



フェールオーバー設定での証明書/秘密鍵のエクスポート

プライマリ デバイスによって秘密鍵/証明書がセカンダリ ユニットへ自動的に複製されます。(証明書/秘密鍵が含まれている)コンフィギュレーションをスタンバイ ユニットに複製するには、アクティブ ユニットでコマンド write memory を発行します。スタンバイ ユニット上のすべての鍵/証明書は消去され、アクティブ ユニットのコンフィギュレーションによって再入力されます。

注:アクティブ デバイスから証明書、鍵、および信頼ポイントを手動でインポートした後に、スタンバイ デバイスへエクスポートすることはしないでください。



警告:Failover message decryption failure.

エラー メッセージ:

Failover message decryption failure. Please make sure both units have the 
same failover shared key and crypto license or system is not out of memory

この問題はフェールオーバーの鍵設定が原因で発生します。この問題を解決するには、フェールオーバー鍵を削除し、新規の共有鍵を設定します。



ASA モジュール フェールオーバー

Advanced Inspection and Prevention Security Services Module(AIP-SSM)または Content Security and Control Security Services Module(CSC-SSM)がアクティブ ユニットとスタンバイ ユニットで使用されている場合、フェールオーバーに関しては ASA と無関係に動作します。モジュールはアクティブ ユニットとスタンバイ ユニットで手動で設定される必要があり、フェールオーバーによってモジュールのコンフィギュレーションが複製されることはありません。

フェールオーバーについては、AIP-SSM モジュールまたは CSC-SSM モジュールを備えたどちらの ASA ユニットも、同じハードウェア タイプである必要があります。たとえば、プライマリ ユニットに ASA-SSM-10 モジュールが含まれている場合、セカンダリ ユニットにも ASA-SSM-10 モジュール含まれている必要があります。

ASA のフェールオーバー ペア上の AIP-SSM モジュールを交換するには、モジュールを取り外す前に、hw-module module 1 shutdown コマンドを実行する必要があります。さらに、モジュールはホットスワップには対応していないため、ASA の電源を切る必要があります。AIP-SSM の取り付けと取り外しの方法についての詳細は、「取り付けおよび取り外しの方法」を参照してください。



Failover message block alloc failed

エラー メッセージ:%PIX|ASA-3-105010: (Primary) Failover message block alloc failed

説明:ブロック メモリが削除されました。これは一時的なメッセージであり、セキュリティ アプライアンスは復旧します。セカンダリ ユニットが問題であれば、「Primary」の箇所は「Secondary」と表示されます。

推奨処置:現在のブロック メモリを監視するために、show blocks コマンドを使用します。



AIP モジュール フェールオーバーの問題

2 つの ASA がフェールオーバー設定の中に配置され、それぞれに AIP-SSM が含まれている場合、AIP-SSM の設定を手動で複製する必要があります。フェールオーバー メカニズムによって複製されるのは、ASA の設定だけです。AIP-SSM はフェールオーバーに含まれていません。

まず、フェールオーバーについては、AIP-SSM は ASA とは無関係に動作します。フェールオーバーに関して、ASA の観点から必要なことは、AIP モジュールが同じハードウェア タイプであることだけです。その他には、フェールオーバーの他の部分と同様に、アクティブとスタンバイの間での ASA のコンフィギュレーションが同期している必要があります。

AIP の設定について言えば、AIP は効率的に独立しているセンサーです。これら 2 つの間ではフェールオーバーは存在せず、相互に認識していません。コードのバージョンとは無関係に実行することが可能です。つまり、これらは一致する必要がなく、フェールオーバーに関しては、ASA によって AIP 上でのコードのバージョンは確認されません。

ASDM によって AIP 上で設定した管理インターフェイス IP を介して AIP への接続が開始されます。言い換えると、センサーの設定方法に依存して、通常は HTTPS を介してセンサーへ接続されます。

IPS(AIP)モジュールとは無関係に ASA のフェールオーバーが発生する可能性があります。ユーザは同じ AIP の管理 IP に接続するため、同じ AIP に接続されたままです。他方の AIP に接続するには、その管理 IP に再接続して設定およびアクセスを行う必要があります。

Cisco ASA 5500 シリーズ Adaptive Security Appliance(ASA; 適応型セキュリティ アプライアンス)経由で Advanced Inspection and Prevention Security Services Module(AIP-SSM)(IPS)モジュールへネットワーク トラフィックを送信する方法の設定例については、『ASA:ASA から AIP SSM へのネットワーク トラフィックの送信の設定例』を参照してください。



ASA のフェールオーバー ペアを、イーサネット カードからオプティカル インターフェイスにアップグレードできない

ASA のフェールオーバー ペアを、イーサネット カードからオプティカル インターフェイスにアップグレードするには、次の手順を実行します。

  1. プライマリ デバイスがアクティブであることを確認したうえで、セカンダリ/スタンバイ ASA をシャットダウンし、新しいインターフェイス カードを追加します。

  2. ケーブルをすべて取り外して、セカンダリ/スタンバイ ASA を起動します。その状態で新しいハードウェアの動作をテストします。

  3. もう 1 度、セカンダリ/スタンバイ ASA をシャットダウンして、ケーブルを再接続します。

  4. プライマリ/アクティブ ASA をシャットダウンし、セカンダリ ASA を起動します。

    注:両方の ASA が同時にアクティブにならないようにしてください。

  5. セカンダリ ASA が活動しており、トラフィックが通過していることを確認します。次に、failover active コマンドを使用して、セカンダリ デバイスをアクティブにします。

  6. プライマリ ASA に新しいインターフェイスを設置して、ケーブルを取り外します。

  7. プライマリ ASA を起動し、新しいハードウェアの動作をチェックします。

  8. プライマリ ASA をシャットダウンし、ケーブルを再接続します。

  9. プライマリ ASA を起動し、failover active コマンドを使用してプライマリ デバイスをアクティブにします。

注:両方のデバイスで show failover コマンドを使用して、フェールオーバーのステータスを確認します。フェールオーバーのステータスが OK であれば、プライマリ アクティブ デバイスのインターフェイスを設定できます。設定内容はセカンダリ スタンバイに複製されます。



既知の問題

ユーザが、バージョン 8.x のソフトウェアとバージョン 6.x の ASDM をフェールオーバー設定に使用しているときに、セカンダリ ASA で ASDM にアクセスしようとした場合、次のエラーが表示されます。

Error: The Name of the Security Certificate Is Invalid or Does Not Match the Name of the Site

証明書では、Issuer と Subject Name は、アクティブ ユニットの IP アドレスになります(スタンバイ ユニットの IP アドレスではありません)。

ASA バージョン 8.x では、内部(ASDM)証明書はアクティブ ユニットからスタンバイ ユニットに複製されます。その結果、このようなエラー メッセージが表示されます。ただし、バージョン 7.x のコードを実行する 5.x の ASDM 上で同じファイアフォールが動作している場合、ASDM にアクセスしようとすると次のセキュリティ警告が表示されます。

The security certificate has a valid name matching the name of the page you are trying to view

証明書をチェックすると、Issure と Subject Name がスタンバイ ユニットの IP アドレスになっています。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 77809