セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

Cisco Secure PIX Firewall でのフェールオーバーの仕組み

2010 年 8 月 10 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 9 月 30 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
背景説明
フェールオーバー ケーブル
PIX 設定の複製
フェールオーバーの監視
フェールバック
インターフェイス テスト
ハードウェア決定テーブル
スイッチ環境でのフェールオーバーの動作
ステートフル フェールオーバー
フェールオーバー コマンド
show failover コマンドの出力例
      例:正常なフェールオーバー
      例:フェールオーバーの監視が開始されない
      例:ユニット障害
      例:ステートフル フェールオーバー
LAN-Based フェールオーバー
      LAN-Based フェールオーバーの図
      プライマリ PIX の最低限の初期設定
      セカンダリ PIX の最低限の初期設定
      残りの設定:ステートフル フェールオーバー
FAQ
テクニカルサポートのサービス リクエストをオープンする際に収集しておく情報
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

モデル、メモリ、Network Interface Card(NIC; ネットワーク インターフェイス カード)、オペレーティング システムのバージョンが完全に同一な一組の PIX デバイスを使用すると、オペレータによる操作を必要とすることなくハイ アベイラビリティを実現できます。



前提条件

要件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントは、特定のソフトウェアのバージョンに限定されるものではありません。フェールオーバー機能は、501 および 506E モデルを除くすべての PIX モデルでサポートされています。

注:このドキュメントの内容は、Cisco PIX 500 シリーズのセキュリティ アプライアンスでの 7.0 以降のソフトウェア バージョンについては説明していません。『Cisco セキュリティ アプライアンス CLI 設定ガイド、バージョン 7.0』の「フェールオーバーの設定」の章を参照してください。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



背景説明

一方の PIX が「アクティブ」ユニットで、もう一方が「スタンバイ」ユニットとして機能します。名前が示すように、アクティブ ユニットが通常のネットワーク機能を実行するのに対して、スタンバイ ユニットは状況を監視し、アクティブ ユニットが機能を実行できなくなった場合に、すぐに制御を取得できるように待機しています。フェールオーバーを実装しようとして、show version コマンドでフェールオーバーが有効であると表示されない場合は、最寄りのシスコ アカウント チームに連絡して、ライセンス アップグレードを購入する必要があります。

2 台のユニットはどちらもネットワーク上に存在します。アクティブ ユニットは、プライマリ ユニットのシステム IP アドレスと MAC アドレスを使用します。フェールオーバー ケーブルの「Primary」とマークされた側が接続されたユニット、または failover lan unit primary コマンドによって設定された PIX がプライマリ ユニットになります。このコマンドは、PIX OS バージョン 6.2 から導入されています。スタンバイ ユニットは、セカンダリ ユニットのフェールオーバー IP アドレスと MAC アドレスを使用します。切り替えが発生すると、各ユニットのネットワーク上での存在を置き換えるために、それぞれが使用している IP アドレスと MAC アドレスが入れ替わります。この動作によって、ネットワークが影響を受けることはありません。関連付けられた IP アドレスと MAC アドレスの関係は、そのまま継続されます。そのため、ネットワーク内のどの ARP テーブルでも、タイムアウトまたは変更は必要ありません。他のネットワーク機器についても、冗長性や切り替えの発生について意識する必要はありません。システム IP アドレスとフェールオーバー IP アドレスは同一のサブネット上にある必要があります。そのため、この 2 台のユニットの間にルータが配置されていない場合もあります。



フェールオーバー ケーブル

フェールオーバー ケーブルは、PIX でのフェールオーバーをサポートするために、追加する必要がある唯一のハードウェアです。PIX 6.2 以降では、フェールオーバー ケーブルを使用してもしなくても、フェールオーバーを実現できるようになりました。フェールオーバー ケーブルは RS-232 シリアル リンク ケーブルを加工したもので、速度設定は 9600 ボーです。

注:PIX ソフトウェア リリース 5.2(5.1.2.201)では、速度は 115.2K ボーに変更されています。また、フェールオーバー ケーブルは延長できません。

基本的なフェールオーバー通信はフェールオーバー ケーブルを通じて、または PIX OS バージョン 6.2 以降では failover lan interface interface_name コマンドが設定された LAN インターフェイスを通じて行われます。フェールオーバー ケーブル経由でのフェールオーバー通信はメッセージに基づいており、信頼性が要求されます。送信されたすべてのメッセージに対して確認応答(ACK)が送信されます。相手側の PIX から ACK が 3 秒以内に届かない場合には、メッセージが再送されます。5 回再送しても ACK が届かない場合は(合計 15 秒)、スタンバイ PIX によって、フェールオーバー条件がトリガされます。

通常、フェールオーバー ケーブルを経由したフェールオーバー通信では、次の情報が交換されます。

  • MAC アドレスの交換

  • Hello(キープアライブ)

  • 状態(アクティブ/スタンバイ)

  • ネットワーク リンク ステータス

  • 設定の複製



PIX 設定の複製

2 台のユニットは設定が完全に同じで、しかも同じソフトウェア バージョンを実行している必要があります。この条件は、フェールオーバー ケーブル、または failover lan interface interface_name コマンドで設定された LAN インターフェイスを通じて設定が複製されるため、容易に達成できます。アクティブ ユニットからスタンバイ ユニットへの設定複製は、次のように行われます。

  • スタンバイ ユニットが初期ブートアップを完了すると、アクティブ ユニットは、それ自体の設定全体をスタンバイ ユニットに複製します。フェールオーバー ケーブルを使用する場合には、各ユニットをプライマリ ユニットおよびセカンダリ ユニットとして識別するために、両方のユニットを初期設定する必要があるため、このような複製が行われます。この機能は、シリアル ケーブルの長さと速度の問題を解消するために導入されました。

  • コマンドがアクティブ ユニットで入力されると、スタンバイ ユニットに送信されます。

  • アクティブ ユニットで write standby コマンドを入力すると、設定全体がスタンバイ ユニットのメモリに強制的に書き込まれます。

設定複製では「メモリ対メモリ」のコピーが行われます。コピーが完了したら、アクティブ ユニットで write memory コマンドを発行して、設定をスタンバイ ユニットのフラッシュ メモリに書き込む必要があります。この処理を行うと、コンソールに「sync started」と「sync completed」のメッセージが同時に表示されます。設定データのサイズが大きい場合には、送信に時間がかかる場合があります。複製中に切り替えが発生した場合は、新しくアクティブになった PIX では、設定が不完全な状態になります。そのため、ユニットは自動的にリブートしてフラッシュから設定を回復するか、または相手側ユニットとの再同期を実行します。

設定複製はアクティブ ユニットからスタンバイ ユニットに対してだけ実施されます。スタンバイ ユニットで行われた変更は、アクティブ ユニットへは複製されません。



フェールオーバーの監視

ネットワーク アクティビティ、フェールオーバー通信、および電源ステータスは、15 秒(バージョン 5.0 以降では設定可能)のポーリング間隔で監視されています。アクティブ ユニットでこれらのパラメータのいずれかに障害が見られると、スタンバイ ユニットがアクティブな制御を取得します。ユニットで障害が発生したと判断された場合には、そのユニットのネットワーク インターフェイスはシャットダウンされます。

2 台のユニットは互いに、フェールオーバー ケーブルとすべてのインターフェイスを通じて、15 秒ごとに特別なフェールオーバー「hello」パケットを送信します(管理シャットダウン状態のインターフェイスを除く)。どちらかのユニットで、ポーリング チェック時に 2 回連続して特定のインターフェイスの「hello」パケットが受信されなかった場合には、どちらに障害があるかを判別するために、PIX によりテスト モードに設定されます。スタンバイ PIX がポーリング チェックで 2 回連続してフェールオーバー ケーブルから「hello」を受け取らなかった場合には、スタンバイ PIX は切り替えを実行し、他方の PIX で障害が生じたと断定します。アクティブ PIX が「hello」メッセージを受け取らなかった場合は、アクティブ PIX はアクティブ状態にとどまり、他方の PIX を障害ユニットとして設定します。

「hello」パケットが受信されなかった場合には、ネットワーク インターフェイスはテスト モードに設定されます。ネットワーク インターフェイス テストは、非侵入型で行われます。つまり、テスト モードであっても、ネットワーク インターフェイスでは通常のトラフィックを通過させようとします。テスト プロセスは、4 つの個別テスト(NIC ステータス テスト、ネットワーク アクティビティ テスト、Address Resolution Protocol(ARP)テスト、ping テスト)で構成されており、ネットワーク トラフィックに働きかけます。テスト モードのインターフェイスがトラフィックを受信できるのであれば、そのインターフェイスは正常に動作していると見なされます。他のネットワーク トラフィックを受信できるのであれば、エラーは相手側ユニットが「hello」パケットを送信できないことに関係すると見なされます。つまり、障害が発生しているのは相手側だということになります。相手側ユニットがネットワーク トラフィックを受信できるのに、テスト側ユニットで受信できないことが判明した場合には、テスト側ユニット自体を障害ユニットと見なします。

フェールオーバーでは、すべてのネットワーク インターフェイスの他に、相手側ユニットの電源ステータス、フェールオーバー ケーブル自体のステータスも監視されます。フェールオーバー ケーブルには、相手側ユニットにケーブルが接続されているかどうか、さらに相手側ユニットの電源が入っているかどうかを検出する機能があります。どちらかのユニットからケーブルがはずれている場合は、切り替えはディセーブルになります。アクティブ ユニットに電源が供給されなくなると、スタンバイ ユニットが 15 秒以内にアクティブに切り替わります。「障害」状態のユニットは、15 秒間待機した後に、「スタンバイ」状態への移行を試みます。移行によって障害が発生した場合は、そのユニットは再び障害状態になります。failover reset コマンドを使用すれば、手動で PIX を障害状態からスタンバイ状態にリセットできます。移行によって障害が発生した場合は、そのユニットは再び障害状態になります。障害状態の PIX はアクティブ状態には切り替われません。

障害の原因がインターフェイスの「リンクダウン」状態にある場合は、「リンクアップ」状態になると、障害状態がクリアされます(インターフェイスのケーブルがはずれていて、後でそれを接続した場合など)。

注: PIX バージョン 7.0 のフェールオーバー機能に関する詳細は、『フェールオーバーの設定』を参照してください。



フェールバック

障害や切り替えが発生するたびに、何が起こったかを示す syslog メッセージが生成されます。プライマリ ユニットへのフェールバックは強制ではありません。フェールバックが強制的なアクティビティでないのは、アクティブとスタンバイの役割を切り替える理由がないためです。そのため、障害が発生したプライマリ ユニットが修復されてオンラインに戻っても、自動的にアクティブ ユニットに切り替わることはありません。ユニットを強制的にアクティブ ユニットにするには、スタンバイ ユニットで failover active コマンドを使用するか、アクティブ ユニットで no failover active コマンドを使用します。ステートフル フェールオーバーを使用している場合は、接続状態の情報がアクティブ ユニットからスタンバイ ユニットに渡されます。ステートフル フェイルオーバーを使用していない場合は、状態情報が追跡管理されないため、アプリケーションによってセッションが再確立される必要があります。これは、切り替えが起こるとアクティブな接続がすべて切断されることを意味します。新しくアクティブになったユニットはそれまでアクティブだったユニットと同じ IP アドレスと MAC アドレスを引き継ぐため、ネットワークのどの地点でも、ARP エントリは変更されず、タイムアウトも起こりません。

EFT 5.0 以降では、15 秒のフェールオーバー ポーリング間隔をユーザ設定できるように変更されました。この間隔は、インターフェイス カードの障害を検出するときの差異を考慮しながら、3 〜 15 秒の範囲で設定できます。



インターフェイス テスト

インターフェイスで「hello」パケットが受信されないか、または相手側のインターフェイスが通常状態になってから 2.5 分以上「hello」を待っている場合は、(インターフェイスがシャットダウンされておらず、リンク ステータスがアップの場合には)そのインターフェイスは「テスト」モードに設定されます。これが起こると、フェールオーバー ケーブルを通じて相手側ユニットに、インターフェイスがテスト モードになったことが通知されます。インターフェイスが正常に機能している状態であれば、テスト モードの間でも、通常のトラフィックは通過できます。テストはエラー状態が発生した場合だけ開始されます。そのため、このテストは「こちらに問題がなければ相手側に問題があるに違いない」という考えに基づいていることになります。インターフェイス テストでは、次の 4 つのテストが連続的に行われます。

  1. NIC ステータス テスト

    このテストでは、NIC 自体のアップ/ダウンをチェックします。インターフェイス カードが稼働中のネットワークにプラグインされていない場合には、障害があると見なされます。

  2. ネットワーク アクティビティ テスト

    このテストは、「受信されたネットワーク アクティビティ」のテストです。ユニットで受信されたすべてのパケットが最大 5 秒間カウントされます。この間に、なんらかのパケットが受信されれば、このインターフェイスは動作していると見なされ、テストは終了します。トラフィックがまったく受信されない場合は、ARP テストが実行されます。

  3. ARP テスト

    ARP テストでは、ユニットの ARP キャッシュから、最近取得した 10 個のエントリが読み取られます。次に、ネットワーク トラフィックに働きかける過程で、一度に 1 台ずつ、これらのマシンに対して ARP 要求を送信します。要求を送信するたびに、ユニットで受信したすべてのトラフィックを、最大 5 秒間カウントします。トラフィックが受信されれば、インターフェイスは動作していると見なされます。トラフィックがまったく受信されない場合は、次のマシンに ARP 要求を送信します。リストの最後まで来てもトラフィックが受信されない場合は、次の ping テストを実行します。

  4. ping テスト

    ping テストでは、ユニットはブロードキャスト ping 要求を送出します。その後、ユニットで受信されたすべてのパケットが最大 5 秒間カウントされます。この間に、なんらかのパケットが受信されれば、このインターフェイスは動作していると見なされ、テストは終了します。トラフィックがまったく受信されない場合は、もう一度 ARP テストが実行されます。

各テストの開始時に、両ユニットではインターフェイスの受信カウントがクリアされます。各テストが終了すると、最初にテスト側ユニットでトラフィックを受信したかどうかをチェックします。受信している場合は、テスト側ユニット自体は正常に動作しており、相手側ユニットに障害があると判断します。トラフィックを受信していない場合には、相手側ユニットにトラフィックが受信されているかどうかを問い合せます。相手側ユニットでトラフィックが受信されていれば、テスト側ユニットはそれ自体を障害ユニットと見なします。どちらのユニットでもトラフィックをまったく受信していない場合は、次のテストに移ります。問い合せ側ユニットが相手側ユニットからのテスト結果を常に受信できない場合は、フェールオーバー ケーブルを通じて「hello」メッセージを受信できない場合と同様に、相手側ユニットに障害があると判断します。アクティブ ユニットの障害が確定された場合には、切り替えが起こります。スタンバイ ユニットの障害が確定された場合には、スタンバイはアクティブな制御を取得できません。これらのテストの結果は、アクティブとスタンバイの両方のユニットによって syslog を通じて送信されます。



ハードウェア決定テーブル

各 PIX では、フェールオーバー後も、どちらの PIX がアクティブ デバイスに適合するかを決定するために、両方の PIX デバイスの Hardware Decision Table(HDT; ハードウェア決定テーブル)が管理されています。NIC のインターフェイスの状態が変わると、デバイス ドライバへのポーリングが実行されます。また、ローカルの HDT が更新され、変更内容が相手側の PIX に送信されます。HDT テーブルはポーリング サイクルごとに比較されますが、切り替えによってアクティブからスタンバイに制御が移るのは 2 回目のポーリングのときです。



スイッチ環境でのフェールオーバーの動作

スイッチ環境には、対処すべき 2 つの問題があります。第 1 に、スイッチは、特定の MAC アドレスがポート間で移動したことを学習する必要があります。各ユニット(障害ユニットは除く)は、新しい MAC アドレスと IP アドレスを使用して、各インターフェイスで一連のフェールオーバー メッセージを送信します。これにより、スイッチでは、内部 MAC テーブルを更新できます。シスコでは、PIX インターフェイスに接続するすべてのスイッチ ポートで PortFast をイネーブルにすることを強く推奨いたします。さらに、これらのポートではチャネリングとトランキングをディセーブルにする必要があります。それによって、PIX のインターフェイスがフェールオーバーの間にダウンした場合に、スイッチでは、ポートの状態が「リスニング」から「学習」を経て「転送」に移行するまで、30 秒間待つ必要がなくなります。

2 番目の問題は、ネットワーク トラフィックのブロッキングです。フェールオーバーによって送信された「hello」パケットが転送されない場合は、各ユニットでは問題があると判断し、インターフェイスのテストを開始します。このテストは「こちらに問題がなければ、相手側に問題があるはずだ」という考えに基づいているため、どちらかのユニットに障害があるという結論に達してしまいます。この問題を回避するために、切り替えが起こったときには、必ずユニットが「待機」状態になります。この状態では、ネットワーク フローはアクティブ ユニットを通じて自由に流れますが、「hello」メッセージが 2 回受信されるまで、インターフェイスの監視は再開されません。これにより、フェールオーバーを中断することなく、スイッチがブロッキング状態になることが可能になります。2 番目の「hello」メッセージが受信されたら、通常のインターフェイスの監視が再開されます。

PIX ソフトウェア バージョン 5.2 以降では、デバイスの状態がスタンバイからアクティブ、またはアクティブからスタンバイに変わると、新しい IP アドレスと MAC アドレスを再ブロードキャストするために、各インターフェイスに gratuitous ARP が設定されます。



ステートフル フェールオーバー

PIX のステートフル情報を保持しない場合には、切り替えが起こった後に既存の接続はすべて解除されてしまうため、アプリケーションの再初期化が必要になります。PIX ソフトウェア 5.0 リリースにはステートフル フェールオーバー機能があるため、切り替え後も既存の接続を維持できます。

ステートフル フェールオーバーをサポートするには、2 台の PIX デバイスの間に、専用の LAN インターフェイスが必要です。Logical Update(LU)というソフトウェア モジュールによって、ステートフル フェールオーバーをサポートする PIX アプリケーションへの転送が実行されます。LAN インターフェイスを通じて、アクティブからスタンバイへと状態更新が行われます。スタンバイ PIX に送信される状態更新は、アプリケーションによってトリガされます。LU 転送は UDP に似ており、通常のパケット処理を遅延させる再送信やブロッキング アプリケーションはありません。状態更新パケットはバックグラウンドで非同期に送信されます。それでも LU プロトコルはリアルタイムであり、監視の目的で、エラー通知や損失した状態更新に関する報告を行います。

状態の初期同期は設定複製の後に行われます。初期同期では、変換テーブルおよび接続テーブルのレコード全体が読み取られます。その後で、状態更新がトリガされます。

PIX アドレス変換(xlate、static、および dynamic)レコードと接続(conn)レコードは重要な状態データであるため、他の状態情報とともにアクティブ ユニットからスタンバイ ユニットに渡されます。フェールオーバーは事前にスケジュールできないため、接続の状態更新はパケットベースで行われます。つまり、どのパケットも PIX を通過して、接続の状態を変更することになるため、状態更新をトリガできることになります。

TCP 状態テーブルも転送されます。ただし、デフォルトでは HTTP(TCP ポート 80)は複製されません。バージョン 6.0 以降では、TCP ポート 80 の状態を複製するために failover replicate http コマンドを使用できます。ほとんどの UDP 状態テーブルは転送されませんが、H.323 および VoIP などのマルチチャネル プロトコルに対応した、動的にオープンするポートについては、例外的に転送されます。したがって、それは単一チャネル ポートあるため、DNS 解決は転送されません。

遅延の影響を受けやすいアプリケーションも存在するため、フェールオーバー シーケンスが完了する前にアプリケーションがタイムアウトしてしまう場合があります。このような場合には、アプリケーション側でセッションを再確立する必要があります。

注:スタンバイ側の引き継ぎのために要する時間が原因で廃棄される可能性のあるアプリケーションを事前に特定した、包括的なリストは存在しません。指針としては、ステートフル フェールオーバーを使用して引き継ぐためには、スタンバイ側で 10 秒が必要というルールを参考にします。ステートフル フェールオーバーがなければ、接続の再確立に最大 1 分間が必要な可能性があります。

注:ステートフル フェールオーバーに関する唯一注意すべき点は、フェールオーバーの原因です。failover hello が最大 15 秒に設定されているときに、内部インターフェイスが不調になると、スタンバイ側では少なくとも 2 つの hello が失われるまでは(つまり 30 秒間は)、プライマリ側での障害の発生を断定しません。failover hello を最小の 3 秒に設定しても、PIX では必ずしもフェールオーバーが発生するとは限りません。シスコでは、hello を最大の 15 秒に設定することを推奨します。



フェールオーバー コマンド

  • [no] failover:フェールオーバーを有効または無効にします。

  • [no] failover active:ユニットをアクティブ/スタンバイにします。

  • failover ip address #.#.#.#:フェールオーバー IP アドレスを設定します。

  • failover reset:両方のユニットの障害状態をクリアし、フェールオーバーを再起動します。

  • [no] failover link interface:ステートフル フェールオーバーで、アクティブ PIX からスタンバイ PIX への状態更新の送信に使用するインターフェイスを指定します。

  • failover poll seconds:フェールオーバー ポーリング間隔を指定します(PIX ソフトウェア バージョン 5.2 以降)。

  • failover lan unit primary | secondary:LAN ベースのフェールオーバーで、プライマリ/セカンダリを定義するのに使用されます(PIX バージョン 6.2 以降)。

  • failover lan enable:LAN ベースのフェールオーバーを指定します(PIX バージョン 6.2 以降)。

  • failover lan interface lan_if_name:LAN ベースのフェールオーバー専用のファイアウォール名を指定します(PIX バージョン 6.2 以降)。

  • failover lan key key_secret:秘密キーを使用する PIX ファイアウォール間での LAN ベースのフェールオーバー メッセージの暗号化と認証を有効にします(PIX バージョン 6.2 以降)。

  • failover mac address mif_name act_mac stn_mac:MAC アドレスを取得するのに、相手ピアに接触する代わりに、一組の PIX ファイアウォール フェールオーバーに使用する、仮想 MAC アドレスの設定を有効にします(PIX バージョン 6.2 以降)。



show failover コマンドの出力例

以降で紹介する例は、フェールオーバー ケーブルが接続されており、問題なく動作していることを前提としています。また、各ユニットには、システム IP アドレスとして 192.168.89.1 が設定され、フェールオーバー IP アドレスとして 192.168.89.2 が設定されていることを前提とします。



例:正常なフェールオーバー

次の例は、show failover コマンドの通常の出力結果を示しています。各ユニットの IP アドレスが表示されている点に注意してください。フェールオーバー IP アドレスが入力されていない場合は 0.0.0.0 と表示され、インターフェイスの監視は「waiting」状態になります。「waiting」状態の説明については、「例:フェールオーバーの監視が開始されない」のセクションを参照してください。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6885 (sec)
			Interface 0 (192.168.89.1): Normal 
			Interface 1 (192.168.89.1): Normal 
		Other host: Secondary - Standby 
			Active time: 0 (sec)
			Interface 0 (192.168.89.2): Normal 
			Interface 1 (192.168.89.2): Normal 


例:フェールオーバーの監視が開始されない

次の例では、フェールオーバーによりネットワーク インターフェイスの監視が開始されなかった場合の動作を説明しています。フェールオーバーが発生しても、ネットワーク インターフェイスで他方のユニットからの 2 番目の「hello」パケットが受信されるまでは、そのインターフェイスの監視が開始されません。これには約 30 秒かかります。Spanning Tree Protocol(STP; スパニング ツリー プロトコル)が稼働するネットワーク スイッチにユニットが接続されている場合は、スイッチで設定されている「転送遅延」時間(通常は 15 秒)の 2 倍に、この 30 秒の遅延を加えた時間がかかります。これは、PIX のブートアップ時およびフェールオーバー イベントの直後に、ネットワーク スイッチで一時的なブリッジ ループが検出されるためです。このループが検出されると、ネットワーク スイッチでは「転送遅延」時間だけ、これらのインターフェイスでのパケットの転送が停止されます。その後、スイッチはさらに「転送遅延」時間だけ「リッスン」モードに入り、この間はブリッジ ループのリッスンが行われ、トラフィックの転送は行われません(または、フェールオーバーの「hello」パケットが転送されません)。転送遅延時間 2 回分(30 秒)の後、トラフィック フローが再開されます。各 PIX は、他方のユニットから 30 秒に相当する「hello」パケットを受信するまで、「待機」モードに留まります。PIX では、トラフィックを渡している間は、「hello」パケットを受信しないことを理由に他のユニットを障害扱いにすることはありません。他のすべてのフェールオーバー監視は引き続き行われます(つまり、電源、インターフェイスのリンク喪失、およびフェールオーバー ケーブルの「hello」)。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Active 
			Active time: 6930 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)
		Other host: Secondary - Standby 
			Active time: 15 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Normal (Waiting)


例:ユニット障害

この例では、フェールオーバーによって障害が検出されています。プライマリ ユニットの Interface 1 が障害の原因であることに注意してください。ユニットは、障害のために「待機」モードに戻っています。障害が発生したユニットでは、ネットワークから自分自身が削除され(インターフェイスがダウン)、ネットワークには「hello」パケットが送信されなくなります。アクティブ ユニットは、故障したユニットが交換されてフェールオーバー通信が再開されるまで、「待機」状況に留まります。

Failover On
	Cable status: Normal
	Reconnect timeout 0:00:00
		This host: Primary - Standby (Failed)
			Active time: 7140 (sec)
			Interface 0 (192.168.89.2): Normal (Waiting)
			Interface 1 (192.168.89.2): Failed (Waiting)
		Other host: Secondary - Active 
			Active time: 30 (sec)
			Interface 0 (192.168.89.1): Normal (Waiting)
			Interface 1 (192.168.89.1): Normal (Waiting)


例:ステートフル フェールオーバー

この例では、ステートフル フェールオーバーがイネーブル時の show failover コマンドの出力結果を示しています。「Poll frequency 4 seconds」と表示されている点に注意してください。ネットワーク インターフェイスの「4th」は、管理シャットダウン状態にあります。ネットワーク インターフェイスの FailLink はステートフル フェールオーバー リンクです。

Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 4 seconds
        This host: Secondary - Active 
                Active time: 167464 (sec)
                Interface gb (7.7.7.1): Normal 
                Interface 4th (172.1.1.3): Link Down (Shutdown)
                Interface FailLink (8.8.8.1): Normal 
                Interface pix/intf2 (100.2.1.3): Normal 
                Interface outside (100.1.1.3): Normal 
                Interface inside (10.1.1.3): Normal 
        Other host: Primary - Standby 
                Active time: 0 (sec)
                Interface gb (7.7.7.2): Normal 
                Interface 4th (172.1.1.4): Link Down (Shutdown)
                Interface FailLink (8.8.8.2): Normal 
                Interface pix/intf2 (100.2.1.4): Normal 
                Interface outside (100.1.1.4): Normal 
                Interface inside (10.1.1.4): Normal 


Stateful Failover Logical Update Statistics
     Link : FailLink
     Stateful Obj    xmit       xerr       rcv        rerr 
     General        22501          0     34259           0 
     sys cmd        16007          0     33961          13 
     up time            4          0         2           0 
     xlate           5094          0         6           0 
     tcp conn         514          0       290           0 
     udp conn           0          0         0           0 
     ARP tbl          882          0         0           0 
     RIP Tbl            0          0         0           0 
     Logical Update Queue Information
              Cur   Max    Total
     Recv Q:    0     3    34259
     Xmit Q:    0     7    22504

フェールオーバーに関するその他の情報については、『PIX Firewall コンフィギュレーション ガイド』を参照してください。

Cisco デバイスから show failover コマンドの出力がある場合、アウトプットインタープリタ登録ユーザ専用)を使用して、可能性のある問題と修正を表示できます。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。



LAN-Based フェールオーバー

LAN-Based フェールオーバーの図

failover_01.gif

プライマリ PIX とセカンダリ PIX は、専用スイッチで接続することを推奨します。クロスケーブルは使用しないでください。上図では、Cisco Catalyst 3500 スイッチは、プライマリ PIX とセカンダリ PIX に接続しています。LAN フェールオーバー リンクとステートフル フェールオーバー リンクは、異なる VLAN に存在しており、それぞれ VLAN 10 と VLAN 20 です。内部ルータと外部ルータは、単にテスト接続の目的で使用しています。



プライマリ PIX の最低限の初期設定

プライマリ PIX に最低限設定する必要があるコマンドを次に示します。

基本コマンド

pixfirewall(config)#hostname PIX                                

!--- PIX の命名はオプションです。

PIX(config)#nameif ethernet2 fo security20                 

!--- インターフェイスの命名はオプションです。速度/デュプレックスについては、
!--- ハードコードすることを推奨します。

PIX(config)#interface ethernet2 100full                            

!--- インターフェイスを始動します。
 
PIX(config)#ip address fo 192.168.1.1 255.255.255.0  

!--- IP アドレスを割り当てます。

フェールオーバー コマンド

PIX(config)#failover ip address fo 192.168.1.2

!--- フェールオーバー用の IP アドレスです。

PIX(config)#failover lan unit primary                

!--- このユニットはプライマリです。
. 
PIX(config)#failover lan interface fo                 

!--- LAN フェールオーバーに「fo」インターフェイスを使用します。

PIX(config)#failover lan key cisco                     

!--- 事前共有鍵です。

PIX(config)#failover lan enable                          

!--- フェールオーバーをイネーブルにします。

PIX(config)#failover                                 

!--- フェールオーバー プロセスを開始します。

コンソールに次のメッセージが表示されます。

LAN-based Failover: trying to contact peer 
LAN-based Failover: Send hello msg and start failover monitoring 


セカンダリ PIX の最低限の初期設定

セカンダリ PIX に最低限設定する必要があるコマンドを次に示します。

基本コマンド

pixfirewall(config)#hostname PIX 
PIX(config)#nameif ethernet2 fo security20

!--- 速度/デュプレックスについては、ハードコードすることを推奨します。 
 
PIX(config)#interface ethernet2 100full
PIX(config)#ip address fo 192.168.1.1 255.255.255.0 

フェールオーバー コマンド

PIX(config)#failover ip address fo 192.168.1.2 
PIX(config)#failover lan unit secondary                    

!--- このユニットはセカンダリです。

PIX(config)#failover lan interface fo 
PIX(config)#failover lan key cisco 
PIX(config)#failover lan enable 
PIX(config)#failover

!--- 「active」キーワードが使用されていないため、このユニットはセカンダリです。

セカンダリ PIX で上記のコマンドを発行すると、コンソールに次のメッセージが表示されます。

LAN-based Failover: trying to contact peer?? 
LAN-based Failover: Send hello msg and start failover monitoring 

続いて、プライマリ PIX のコンソールに、次のメッセージが表示されます。

LAN-based Failover: Peer is UP
Sync Started
Sync Completed

注:上記のメッセージが表示されない場合は、なんらかの問題があります。問題のトラブルシューティングを迅速に行うには、セカンダリ ユニットで debug icmp trace コマンドを使用して ICMP トレース デバッグをオンにした後で、プライマリ ユニットでフェールオーバー IP アドレスに ping を発行します。

注:プライマリ PIX の出力は次のようになります。

PIX(config)#ping 192.168.1.2 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
        192.168.1.2 response received -- 0ms 
PIX(config)# 

On Secondary Unit 
PIX(config)#debug icmp trace    

!--- このコマンドは ping を実行する前に設定します。 

ICMP trace on 
Warning: this may cause problems on busy networks 
PIX(config)# 1: ICMP echo request (len 32 id 9233 seq 0) 
   192.168.1.1 > 192.168.1.2 
2: ICMP echo reply (len 32 id 9233 seq 0) 192.168.1.2 > 192.168.1.1 
3: ICMP echo request (len 32 id 9233 seq 1) 192.168.1.1 > 192.168.1.2 
4: ICMP echo reply (len 32 id 9233 seq 1) 192.168.1.2 > 192.168.1.1 
5: ICMP echo request (len 32 id 9233 seq 2) 192.168.1.1 > 192.168.1.2 
6: ICMP echo reply (len 32 id 9233 seq 2) 192.168.1.2 > 192.168.1.1 

注:作業が終了したら、no debug icmp trace コマンドでデバッグをオフにしてください。

ping を正常に実行できない場合は、中継スイッチで VLAN とポートの設定をチェックします。また、信頼性のあるカテゴリ 5 ケーブルを使用していることも確認します。

プライマリ PIX の出力を次に示します。

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 

PIX(config)#show failover 
Failover On 
Cable status: My side not connected   

!--- フェールオーバー シリアル ケーブルが使用されていません。
  
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 4335 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured.

!--- ステートフル フェールオーバーはまだ設定されていません。 

  

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal

セカンダリ PIX の出力を次に示します。

PIX(config)#show failover lan 

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 
  

PIX(config)#show failover 
Failover On 
Cable status: My side not connected           

!--- フェールオーバー シリアル ケーブルが使用されていません。

Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface intf3 (0.0.0.0): Link Down (Shutdown) 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Primary - Active 
                Active time: 4485 (sec) 
                Interface intf5 (127.0.0.1): Link Down (Shutdown) 
                Interface intf4 (127.0.0.1): Link Down (Shutdown) 
                Interface intf3 (127.0.0.1): Link Down (Shutdown) 
                Interface outside (127.0.0.1): Link Down (Shutdown) 
                Interface inside (127.0.0.1): Link Down (Shutdown) 

Stateful Failover Logical Update Statistics 
        Link : Unconfigured. 

!--- ステートフル フェールオーバーはまだ設定されていません。 

  

LAN-based Failover is Active 
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal 


残りの設定:ステートフル フェールオーバー

プライマリ PIX とセカンダリ PIX での基本作業は完了しました。

この例では、インターフェイス E3 を使用して、2 台のユニット間で状態情報を伝送します。PIX の負荷が高くなければ、インターフェイス E2 で状態情報を伝送することもできます(インターフェイス E2 はヘルス チェックと設定の複製に使用されています)。それぞれの用途には、別々のインターフェイスを使用することを推奨します。

プライマリ PIX では、次のコマンドを設定します。

ip address stateful-fo 172.16.1.1 255.255.255.0 
interface ethernet3 100full
failover ip address stateful-fo 172.16.1.2 
failover link stateful-fo 

セカンダリ PIX では、次のコマンドを設定します。

ip address stateful-fo 172.16.1.2 255.255.255.0
nameif ethernet3 stateful-fo security30
interface ethernet3 100full

ステータスをチェックします。

PIX(config)#show failover 
Failover On 
Cable status: My side not connected 
Reconnect timeout 0:00:00 
Poll frequency 15 seconds 
        This host: Primary - Active 
                Active time: 3945 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.1): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 
        Other host: Secondary - Standby 
                Active time: 30 (sec) 
                Interface intf5 (0.0.0.0): Link Down (Shutdown) 
                Interface intf4 (0.0.0.0): Link Down (Shutdown) 
                Interface stateful-fo (172.16.1.2): Normal 
                Interface outside (0.0.0.0): Link Down (Shutdown) 
                Interface inside (0.0.0.0): Link Down (Shutdown) 

ステートフル フェールオーバーでの Logical Update の統計情報

 
Link : stateful-fo

!--- ステートフル フェールオーバーには stateful-fo インターフェイスが使用されます。
. 
Stateful Obj    xmit       xerr       rcv        rerr 
General         40         0          40         0 
sys cmd         40         0          40         0 
up time         0          0          0          0 
xlate           0          0          0          0 
tcp conn        0          0          0          0 
udp conn        0          0          0          0 
ARP tbl         0          0          0          0 
RIP Tbl         0          0          0          0 

Logical Update Queue Information 
                        Cur     Max     Total 
Recv Q:         0       1       41 
Xmit Q:         0       1       41 

LAN-based Failover is Active 
        interface fo (192.168.1.1): Normal, peer (192.168.1.2): Normal 
  

PIX(config)#show failover lan detail 

LAN-based Failover is Active 
This PIX is Primary 
Command Interface is fo 
My Command Interface IP is 192.168.1.1 
Peer Command Interface IP is 192.168.1.2 
My interface status is Normal 
Peer interface status is Normal 
Peer interface down time is 0x0

!--- これは良好な状態です。 


Total cmd msgs sent: 2579, rcvd: 2241, dropped: 2, retrans: 19, send_err: 0 
Total secure msgs sent: 2760, rcvd: 2383 
bad_signature: 0, bad_authen: 0, bad_hdr: 0, bad_osversion: 0, bad_length: 0 
Total failed retx lck cnt: 0 
Total/Cur/Max of 1245:0:1 msgs on retransQ, 1239 ack msgs 
Cur/Max of 0:21 msgs on txq 
Number of blk allocation failure: 0, cmd failure: 0, Flapping: 0 

Current cmd window: 1, Slow cmd Ifc cnt: 0 
Cmd Link down: 0, down and up: 0, Window Limit: 4301 
Number of fmsg allocation failure: 0 
Cmd Response Time History stat: 
< 100ms:         1237 
100 - 250ms:     0 
250 - 500ms:     0 
500 - 750ms:     0 
750 - 1000ms:    0 
1000 - 2000ms:   7 
2000 - 4000ms:   5 
> 4000ms:        9 
Cmd Response Retry History stat: 
Retry 0 = 1242, 1 = 5, 2 = 5, 3 = 3, 4 = 3 
Failover enable state is 0x1 
Failover state is 0x7d 
Failover peer state is 0x58 
Failover switching state is 0x0 
Failover config syncing is not in progress 
Failover poll cnt is 0 
Failover Fmsg cnt is 0 
Failover OS version is 6.2(0)243 
failover interface 0, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807696d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71d.2b4d, stb_mac: 00d0.b780.574f 
failover interface 1, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769738 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00d0.b71a.e6fb, stb_mac: 00e0.b600.8673 
failover interface 2, tst_mystat = 0x0, tst_peerstat = 0x2 
    zcnt = 0, hcnt = 0, my_rcnt = 2271, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769618 
    act_ip: 192.168.1.1, stn_ip:192.168.1.2 
    act_mac: 00e0.b600.a931, stb_mac: 00e0.b600.a931 
LAN-based Failover command link 
failover interface 3, tst_mystat = 0x0, tst_peerstat = 0x0 
    zcnt = 0, hcnt = 0, my_rcnt = 88, peer_rcnt = 54 
    myflag = 0x1, peer_flag=0x1, dchp = 0x80769558 
    act_ip: 172.16.1.1, stn_ip:172.16.1.2 
    act_mac: 00e0.b600.a930, stb_mac: 00e0.b600.8671 
failover interface 4, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x80769498 
act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92f, stb_mac: 00e0.b600.8670 
failover interface 5, tst_mystat = 0x3, tst_peerstat = 0x3 
    zcnt = 0, hcnt = 0, my_rcnt = 0, peer_rcnt = 0 
    myflag = 0x0, peer_flag=0x0, dchp = 0x807693d8 
    act_ip: 0.0.0.0, stn_ip:0.0.0.0 
    act_mac: 00e0.b600.a92e, stb_mac: 00d0.b780.564f 

プライマリ PIX での他の設定

プライマリ PIX での他の設定を次に示します。

  1. 他のインターフェイスに、速度/デュプレックスをハードコードします。「auto」も使用できますが、速度/デュプレックスについては、ハードコードを推奨します。

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. 他のインターフェイスに、IP アドレスを割り当てます。

    ip address outside 1.1.1.1 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0
    
  3. すべてのインターフェイス(シャットダウンされているものを除く)に failover ip address コマンドを追加します。

    failover ip address outside 1.1.1.2
    failover ip address inside 10.10.10.2
    

セカンダリ PIX での他の設定

セカンダリ PIX での他の設定を次に示します。

  1. 他のインターフェイスに、速度/デュプレックスをハードコードします。「auto」も使用できますが、速度/デュプレックスについては、ハードコードを推奨します。

    interface ethernet0 100full 
    interface ethernet1 100full
    
  2. 他のインターフェイスに、IP アドレスを割り当てます。

    ip address outside 1.1.1.2 255.255.255.0 
    ip address inside 10.10.10.1 255.255.255.0 
    

フェールオーバーが起こった後のセカンダリ PIX の出力は次のようになります。

PIX(config)#show failover 
Failover On
Cable status: My side not connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
        This host: Secondary - Active 
                Active time: 315 (sec)
                Interface intf5 (127.0.0.1): Link Down (Shutdown)
                Interface intf4 (127.0.0.1): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.10.10.2): Normal (Waiting)
        Other host: Primary - Standby 
                Active time: 8025 (sec)
                Interface intf5 (0.0.0.0): Link Down (Shutdown)
                Interface intf4 (0.0.0.0): Link Down (Shutdown)
                Interface stateful-fo (172.16.1.2): Normal (Waiting)
                Interface outside (1.1.1.2): Normal (Waiting)
                Interface inside (10.1.1.2): Link Down (Waiting)

Stateful Failover Logical Update Statistics
        Link : stateful-fo
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         146        0          0          0         
        sys cmd         146        0          0          0         
        up time         0          0          0          0         
        xlate           0          0          0          0         
        tcp conn        0          0          0          0         
        udp conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        RIP Tbl         0          0          0          0         

        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       0       0
        Xmit Q:         0       1       146

LAN-based Failover is Active
        interface fo (192.168.1.2): Normal, peer (192.168.1.1): Normal

PIX には、その他にも次のようなフェールオーバー コマンドを設定できます。

failover mac address <ifc_name> <act_mac> <stn_mac>
failover poll <seconds>
failover replication http
outside-router#write  terminal

interface FastEthernet3/1 
 ip address 1.1.1.200 255.255.255.0 
 duplex auto 
 speed auto 
  
  
inside-router#write  terminal
interface FastEthernet2/1 
 ip address 10.10.10.200 255.255.255.0 
 duplex auto 
 speed auto 
! 
ip route 0.0.0.0 0.0.0.0 10.10.10.1 

設定はすべてプライマリ ユニットで行います。その設定は、セカンダリ ユニットにも自動的に複製されます。



FAQ

  1. 起動時の初期化は 2 台のユニット間でどのようにして行われるのですか。

    デフォルトでは、フェールオーバーはオフになっています(no failover)。ただし、ユニットの起動時にフェールオーバー ケーブルが接続されている場合は、ケーブルが自動的に検出されてフェールオーバーがオンになり、ユニットのステータスがプライマリ、またはセカンダリに設定されます。起動時には、フェールオーバー IP アドレスが正しく設定されていない場合でも、このような動作をします。

    注:稼働中の PIX にケーブルを接続した場合には、failover コマンドを発行してフェールオーバーを開始する必要があります。4.4.3 よりも新しいリリースの PIX ソフトウェアでは、これは変更されている可能性があります。これは、clear config コマンドにより、設定の複製が誤ってディセーブルにされる可能性があるためです。起動時にフェールオーバー ケーブルが接続されていない場合には、ユニットはすぐにアクティブ ユニットになります。ただし、このユニットは「Secondary」と表示されます。

    以降の説明は、フェールオーバーが有効で、両方のユニットにフェールオーバー ケーブルが接続されていることを前提とします。ユニットが最初に起動したときにフェールオーバーがイネーブルになり、相手側ユニットが起動していることを検出した場合には、デフォルトでスタンバイに設定されます。ユニットはランタイム ステータス(スタンバイ)を送信し、相手側ユニットに MAC アドレスを要求します。フェールオーバー ポーリング時間内に、アクティブな制御を取得するユニットが現れない場合は、このユニットがアクティブに切り替わります。

    注:5.2.1 よりも前の PIX ソフトウェア バージョンでは、フェールオーバー ポーリング時間は 15 秒にハードコードされていました。

    通常、相手側ユニットは要求に応答するか、またはフェールオーバー ポーリング間隔でフェールオーバー hello メッセージを送出します。フェールオーバー ケーブル経由で通信が開始されると、両方のユニットでは、アクティブ/スタンバイ ステータスをチェックします。セカンダリ ユニットがスタンバイ状態の場合は、プライマリ ユニットがアクティブに切り替わります。これは、プライマリとセカンダリの両方のユニットで、互いの最初のフェールオーバー ポーリング チェックまでに起動が完了している場合には、プライマリ ユニットがアクティブになることを意味します。セカンダリがすでにアクティブの場合には、プライマリ ユニットはスタンバイ状態にとどまります(セカンダリがプライマリ MAC アドレスを学習していることが前提)。プライマリ ユニットでは、アクティブ制御は自動的には取得されません。フェールオーバーが有効な場合は、プライマリ ユニットの MAC アドレスが使用されるため、先にプライマリ ユニットをブートしてから、セカンダリ ユニットをブートしてください。フェールオーバー ケーブルを接続せずにユニットを起動した場合、またはフェールオーバー ケーブルを通じてフェールオーバー通信が行われない場合には、両方のユニットがアクティブになる可能性があり、ネットワーク トラフィックは遮断されます。

    フェールオーバーが有効な場合は、スタンバイ ユニットが最初に起動したときに、アクティブ ユニットからスタンバイ ユニットに設定全体が複製されます。それ以降は、アクティブ ユニットに入力されたコマンドはスタンバイ ユニットに渡されます。設定全体を強制的に複製するには、write standby コマンドを使用します。設定複製は、アクティブ ユニットからスタンバイ ユニットへという方向だけで行われます。スタンバイ ユニットに入力されたコマンドは、アクティブ ユニットへは複製されません。スタンバイ ユニットにコマンドを入力すると、設定が同期しなくなることを伝える警告メッセージが表示されます。

  2. 具体的には、どのような障害がありますか。

    障害検出は次のものに基づいています。

    1. Network Interface Card(NIC; ネットワーク インターフェイス カード)のステータス。NIC のリンク ステータスがダウンの場合は、そのユニットでは障害が発生しています。「ダウン」とは、NIC が動作ポートに取り付けられていないことを意味します。NIC が「ダウン」として設定されている場合には、このテストでは不合格になりません。

    2. フェールオーバー ネットワーク通信。2 台のユニットは、すべてのネットワーク インターフェイスを通じて、互いに「hello」パケットを送信します。「hello」パケットが 30 秒以内に受信されない場合は、どちらに障害があるかを判別するために、問題のインターフェイスがテスト モードに設定されます。

    3. フェールオーバー ケーブル通信。2 台のユニットは、フェールオーバー ケーブルを通じて、互いに「hello」メッセージを送信します。スタンバイが 30 秒以内にアクティブから「hello」メッセージを受け取らなかった場合に、ケーブル ステータスが OK のとき、スタンバイがアクティブに切り替わります。

      また、フェールオーバー ケーブルを通じて送信されたフェールオーバー コマンドに対して、15 秒以内に ACK が届かなかった場合にも、スタンバイがアクティブに切り替わります。

    4. ケーブル エラー。フェールオーバー ケーブルを接続すると、各ユニットの次の状態が判別されます。

      • 相手側ユニットの電源の状態

      • このユニットのケーブルの状態

      • 相手側ユニットのケーブルの状態

      アクティブの電源がオフになっている(またはリロード/リセットされている)ことをスタンバイが検出すると、スタンバイがアクティブな制御を取得します。フェールオーバー ケーブルが接続されていない場合には、syslog は生成されますが、切り替えは起こりません。ただし、起動時は例外で、ケーブルが接続されていなければ、ユニットは強制的にアクティブになります。フェールオーバー ケーブルを接続せずに両方ユニットの電源を投入した場合には、両方がアクティブになります。この場合、MAC アドレスの異なる重複した IP アドレスが存在するため、ネットワーク上で競合が起こります。フェールオーバーを正しく機能させるには、フェールオーバー ケーブルを必ず接続する必要があります。

  3. デフォルトのポーリング間隔値を使用した場合、障害検出にはどれくらい時間がかかりますか。

    • ネットワーク通信エラーは、30 秒以内に検出されます。

    • フェールオーバー通信エラーは、30 秒以内に検出されます。

    • 電源障害(およびケーブル障害)は、15 秒以内に検出されます。

  4. フェールオーバーがトリガされるとどうなりますか。

    どちらのユニットからでも、切り替えを開始できます。切り替えが起こると、各ユニットの状態、および使用している IP アドレスと MAC アドレスが変わります。ネットワーク側から見ると、スタンバイ ユニットとそれまでアクティブだったユニットとの交替は意識されません。スタンバイ側ではすでに設定が完了しているため、更新は不要です。2 台のユニットでは、動的な接続状態は共有されていません。そのため、アクティブな接続があれば、フェールオーバー発生時に解除されます。クライアント側では、新しくアクティブになったユニットを通じて接続を再確立する必要があります(ステートフル フェールオーバーを使用していない場合)。切り替えが起こるたびに、新しくアクティブになったユニットは、理由を示す syslog を送信します。

    次にその例を示します。

    Switching to ACTIVE (cause: no power detected from other side).

    他にも次のような理由があります。

    • normal master(通常のマスター)

    • no failover cable(フェールオーバー ケーブルがない)

    • no power detected from other side(相手側の電源が検出できない)

    • unable to talk to the other side(相手側と通信できない)

    • line interface failed at other side(相手側の回線インターフェイスで障害が発生)

    • do not see traffic count change(トラフィック カウントが変化しない)

    • the other side wants me to take over(相手側から切り替えを要求された)

    • fail reported by the other side(相手側から障害が報告された)

    • state check(状態チェック)

    • set by the ioctl cmd(ioctl コマンドによる設定)

  5. どんなメンテナンスが必要ですか。

    show fail コマンドを使用して、2 台のユニットのステータスを監視します。エラーおよび切り替えが起こると、syslog が生成されます。

  6. フェールオーバーをディセーブルにするにはどうすればよいのですか。

    ユニットからフェールオーバー ケーブルを取りはずした後に、ユニットに no failover コマンドを設定します。フェールオーバー ソフトウェアによってケーブルが接続されていないことが検出されると、フェールオーバーが自動的にオフになります。

  7. フェールオーバー用のバンドルの内容はどうなっていますか。

    PIX-5XX-FO-BUN は、シャーシ、ソフトウェア、および 2 個の 10/100 ポートで構成されています。お客様は PIX 515 に対応するソフトウェアを別途購入する必要はありません。このバンドルには無制限の PIX ソフトウェアが入っています。このユニットはフェールオーバー専用です。フェールオーバー ユニットで情報を保存する場合には、必ず write memory コマンドを使用してください。設定を保存しない状態でスタンバイ ユニットがリロードされると、プライマリ ユニットからコピーされた設定が失われます。



テクニカルサポートのサービス リクエストをオープンする際に収集しておく情報

ここまで説明したトラブルシューティングの手順を実行しても、なおサポートが必要で、テクニカルサポートでサービス リクエストをオープンする場合には、ご使用の PIX Firewall のトラブルシューティングに必要な次の情報をご提供ください。

  • 問題の説明と関連するトポロジの詳細

  • サービス リクエストをオープンする前に実行したトラブルシューティング

  • show tech-support コマンドの出力(プライマリとセカンダリの両方のファイアウォールの出力)

  • logging buffered debugging コマンド実行後の show log コマンドの出力、あるいは、問題を示す画面キャプチャ(採取されている場合)

収集したデータは、圧縮しないプレーン テキスト形式(.txt)でサービス リクエストに添付してください。情報をサービス リクエストに添付するには、TAC Service Request Tool登録ユーザ専用)を使用してアップロードします。Service Request Tool にアクセスできない場合は、電子メールへの添付で、attach@cisco.com に情報を送信できます。この場合は、メッセージの件名(Subject)行にサービス リクエスト番号を記入してください。





関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 5220