セキュリティ : Cisco IOS ファイアウォール

ZBFW 高可用性の設定およびトラブルシューティング TechNote

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このガイドはアクティブな/スタンバイ設定用の(HA)高可用性のゾーン ファイアウォールに基本構成を提供しましたり、また機能でコマンドおよび見られるよくある問題を解決します。

2 つの Cisco IOS ルータがアクティブな/スタンバイまたはアクティブで/アクティブな設定で設定することができるように Cisco IOS ® ゾーン ベースのファイアウォール(ZBFW)は HA をサポートします。 これは障害の一点を防ぐことを冗長性が可能にします。

アダム Makovecz、Rama Darbha、およびジェイ ジョンソンによって貢献される、Cisco TAC エンジニア。

前提条件

要件

リリースを Cisco IOS ソフトウェア Release15.2(3)T よりあとで持たなければなりません。

使用するコンポーネント

この文書は特定のソフトウェアおよびハードウェア バージョンに制限されません。

この文書に記載されている情報は特定のラボ環境のデバイスから作成されました。 この文書で使用された削除された(デフォルト)設定でデバイスすべては起動しています。 あなたのネットワークがライブである場合、あらゆるコマンドの潜在的影響を理解することを確かめて下さい。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

設定例

このダイアグラムは設定例で使用されるトポロジーを示します。

例 1 で示されている TCP、UDP およびインターネット制御メッセージ・プロトコル(ICMP)トラフィックを内部から外部へ検査するために設定では ZBFW は設定されます。 太字で示されている設定は HA 機能を設定しました。 Cisco IOS ルータでは、HA は冗長性 subconfig コマンドによって設定されます。 冗長性を設定するために、第一歩はグローバルな点検パラメータ マップの冗長性をイネーブルにすることです。

冗長性をイネーブルにした後、アプリケーション冗長性 subconfig を書き入れ、制御およびデータのために使用するインターフェイスを選択して下さい。 制御インタフェースは各ルータの状態についての情報を交換するために使用されます。 データ インターフェイスは複製する必要がある接続についての情報を交換するために使用されます。

例 2 ではルータ 1 にルータ 1 およびルータ両方 2 が正常に動作している場合組のアクティブなユニットをする、優先順位コマンドはまた設定されます。 preempt コマンドは(またこの文書で更に説明されている)障害が優先順位変更一度発生するようにするために使用されます。

最後の段階は各インターフェイスに冗長なインターフェイス鑑定器(RII)および冗長性グループ(RG)を割り当てることです。 RII グループ番号は各インターフェイスのためにユニークでなければなりません同じサブネットのインターフェイスのためのデバイスを渡って一致する必要があります。 RII はバルク同期化プロセスのために 2 つのルータが設定を合わせるときだけ使用されます。 これは 2 つのルータが冗長なインターフェイスをいかに合わせるかです。 RG はそのインターフェイスを通した接続が HA 接続表に複製されることを示すために使用されます。

例 2 では内部インターフェイスのバーチャル IP (VIP)アドレスを作成するために、冗長性グループ 1 コマンドは使用されます。 これはすべての内部ユーザがアクティブなユニット プロセス VIP とだけ伝達し合うので、HA を確認します。

これが WAN インターフェイスであるので外部インターフェイスに RG 設定がありません。 ルータ 1 およびルータ両方 2 の外部インターフェイスは同じインターネット サービス プロバイダー(ISP)に属しません。 外部インターフェイスでトラフィックが正しいデバイスに通じるようにするために、ダイナミック・ルーティング プロトコルが要求されます。

例 1: ルータ 1 設定断片(ホストネーム ZBFW1)

parameter-map type inspect global
redundancy
log dropped-packets enable
!
redundancy
application redundancy
group 1
name ZBFW_HA
preempt
priority 200
control Ethernet0/2 protocol 1
data Ethernet0/2

!
class-map type inspect match-any PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-all INSIDE_TO_OUTSIDE_CMAP
match class-map PROTOCOLS
match access-group name INSIDE_TO_OUTSIDE_ACL
!
policy-map type inspect INSIDE_TO_OUTSIDE_PMAP
class type inspect INSIDE_TO_OUTSIDE_CMAP
inspect
class class-default
drop
!
ip access-list extended INSIDE_TO_OUTSIDE_ACL
permit ip any any
!
zone security INSIDE
zone security OUTSIDE
zone-pair security INSIDE_TO_OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect INSIDE_TO_OUTSIDE_PMAP
!
interface Ethernet0/0
ip address 10.1.1.1 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security INSIDE
redundancy rii 100
redundancy group 1 ip 10.1.1.3 exclusive

!
interface Ethernet0/1
ip address 203.0.113.1 255.255.255.0
ip nat outside
ip virtual-reassembly in
zone-member security OUTSIDE
redundancy rii 200

例 2: ルータ 2 設定断片(ホストネーム ZBFW2)

parameter-map type inspect global
redundancy
log dropped-packets enable
!
redundancy
application redundancy
group 1
name ZBFW_HA
preempt
priority 200
control Ethernet0/2 protocol 1
data Ethernet0/2

!
class-map type inspect match-any PROTOCOLS
match protocol tcp
match protocol udp
match protocol icmp
class-map type inspect match-all INSIDE_TO_OUTSIDE_CMAP
match class-map PROTOCOLS
match access-group name INSIDE_TO_OUTSIDE_ACL
!
policy-map type inspect INSIDE_TO_OUTSIDE_PMAP
class type inspect INSIDE_TO_OUTSIDE_CMAP
inspect
class class-default
drop
!
ip access-list extended INSIDE_TO_OUTSIDE_ACL
permit ip any any
!
zone security INSIDE
zone security OUTSIDE
zone-pair security INSIDE_TO_OUTSIDE source INSIDE destination OUTSIDE
service-policy type inspect INSIDE_TO_OUTSIDE_PMAP
!
interface Ethernet0/0
ip address 10.1.1.2 255.255.255.0
ip nat inside
ip virtual-reassembly in
zone-member security INSIDE
redundancy rii 100
redundancy group 1 ip 10.1.1.3 exclusive

!
interface Ethernet0/1
ip address 203.0.113.2 255.255.255.0
ip nat outside
ip virtual-reassembly in
zone-member security OUTSIDE
redundancy rii 200

トラブルシューティング

このセクションはあなたの設定をトラブルシューティングするために使用できる情報を提供します。

デバイスが互いに交信を行うことができることを確認して下さい

デバイスが互いに会う場合があることを確認するために冗長性アプリケーション グループの操作上状態が稼働していることを確認して下さい。 それから各デバイスが正しい役割を果たしたし、正しい役割のピアを見る場合がありますように。 例 3 では、ZBFW1 は活発で、スタンバイとしてピアを検出します。 これは ZBFW2 で反転します。 操作上状態は稼働していることをデバイスが両方ともまた示し、ピア存在が検出されるとき、2 つのルータは制御リンクを渡ってうまく交信できます。

例 3: ピア存在検出

ZBFW1# show redundancy application group 1
Group ID:1
Group Name:ZBFW_HA

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: ACTIVE
Peer RF state: STANDBY COLD-BULK
!
ZBFW2# show redundancy application group 1
Group ID:1
Group Name:ZBFW_HA

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: STANDBY
Peer Role: ACTIVE
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: STANDBY COLD-BULK
Peer RF state: ACTIVE

例 4 の出力は 2 つのルータの制御インタフェースについての粒状出力を示したものです。 出力は制御トラフィックに使用する物理インターフェイスを確認しまたピアの IP アドレスを確認します。

例 4: 粒状出力

ZBFW1#  show redundancy application control-interface group 1
The control interface for rg[1] is Ethernet0/2
Interface is Control interface associated with the following protocols: 1
BFD Enabled
Interface Neighbors:
Peer: 10.60.1.2 Standby RGs: 1 BFD handle: 0

ZBFW1# show redundancy application data-interface group 1
The data interface for rg[1] is Ethernet0/2
!
ZBFW2# show redundancy application control-interface group 1
The control interface for rg[1] is Ethernet0/2
Interface is Control interface associated with the following protocols: 1
BFD Enabled
Interface Neighbors:
Peer: 10.60.1.1 Active RGs: 1 BFD handle: 0

ZBFW2# show redundancy application data-interface group 1
The data interface for rg[1] is Ethernet0/2

コミュニケーションが確立されるとき、例 5 のコマンドは各デバイスが特定の役割になぜあるか理解するのを助けます。 ZBFW1 はピアより優先順位の高いのがあるので活発です。 ZBFW2 に 150 の優先順位があるが、ZBFW1 に 200 の優先順位があります。 この出力は太字で強調表示されています。

例 5: 役割ステータスおよび優先順位

ZBFW1#  show redundancy application protocol group 1

RG Protocol RG 1
Role: Active
Negotiation: Enabled
Priority: 200
Protocol state: Active
Ctrl Intf(s) state: Up
Active Peer: Local
Standby Peer: address 10.60.1.2, priority 150, intf Et0/2
Log counters:
role change to active: 1
role change to standby: 0
disable events: rg down state 0, rg shut 0
ctrl intf events: up 1, down 0, admin_down 0
reload events: local request 0, peer request 0

RG Media Context for RG 1
--------------------------
Ctx State: Active
Protocol ID: 1
Media type: Default
Control Interface: Ethernet0/2
Current Hello timer: 3000
Configured Hello timer: 3000, Hold timer: 10000
Peer Hello timer: 3000, Peer Hold timer: 10000
Stats:
Pkts 249, Bytes 15438, HA Seq 0, Seq Number 249, Pkt Loss 0
Authentication not configured
Authentication Failure: 0
Reload Peer: TX 0, RX 0
Resign: TX 0, RX 0
Standby Peer: Present. Hold Timer: 10000
Pkts 237, Bytes 8058, HA Seq 0, Seq Number 252, Pkt Loss 0

!
ZBFW2# show redundancy application protocol group 1

RG Protocol RG 1
------------------
Role: Standby
Negotiation: Enabled
Priority: 150
Protocol state: Standby-cold
Ctrl Intf(s) state: Up
Active Peer: address 10.60.1.1, priority 200, intf Et0/2
Standby Peer: Local
Log counters:
role change to active: 0
role change to standby: 1
disable events: rg down state 0, rg shut 0
ctrl intf events: up 1, down 0, admin_down 0
reload events: local request 0, peer request 0

RG Media Context for RG 1
--------------------------
Ctx State: Standby
Protocol ID: 1
Media type: Default
Control Interface: Ethernet0/2
Current Hello timer: 3000
Configured Hello timer: 3000, Hold timer: 10000
Peer Hello timer: 3000, Peer Hold timer: 10000
Stats:
Pkts 232, Bytes 14384, HA Seq 0, Seq Number 232, Pkt Loss 0
Authentication not configured
Authentication Failure: 0
Reload Peer: TX 0, RX 0
Resign: TX 0, RX 0
Active Peer: Present. Hold Timer: 10000
Pkts 220, Bytes 7480, HA Seq 0, Seq Number 229, Pkt Loss 0

最後の確認は RII グループ ID が各インターフェイスに割り当てられるようにすることです。 両方のルータのこのコマンドを入力する場合デバイス間の同じサブネットのインターフェイス組同じ RII ID が割り当てられるようにするために、それらはダブルチェックします。 それらが同じユニークな RII ID で設定されない場合、接続は 2 つのデバイスの間で複製しません。 例 6.を参照して下さい。

例 6: RII グループ ID を割り当てられます確認して下さい

ZBFW1# show redundancy rii
No. of RIIs in database: 2
Interface RII Id decrement
Ethernet0/1 : 200 0
Ethernet0/0 : 100 0
!
ZBFW2# show redundancy rii
No. of RIIs in database: 2
Interface RII Id decrement
Ethernet0/1 : 200 0
Ethernet0/0 : 100 0

ピア ルータにことを接続反復実験確認して下さい

例 7 では、ZBFW1 はアクティブに接続のためのトラフィックを通過させます。 スタンバイ デバイス ZBFW2 への接続は首尾よく複製されます。 ゾーン ファイアウォールによって処理された接続を表示するために提示ポリシー ファイアウォール セッション コマンドを使用します。

例 7: 処理される接続

ZBFW1#show policy-firewall session
Session B2704178 (10.1.1.100:52980)=>(203.0.113.100:23) tcp
SIS_OPEN/TCP_ESTAB
Created 00:00:31, Last heard 00:00:30
Bytes sent (initiator:responder) [37:79]
HA State: ACTIVE, RG ID: 1
Established Sessions = 1
ZBFW2#show policy-firewall session
Session B2601288 (10.1.1.100:52980)=>(203.0.113.100:23) tcp
SIS_OPEN/TCP_ESTAB
Created 00:00:51, Last heard never
Bytes sent (initiator:responder) [0:0]
HA State: STANDBY, RG ID: 1
Established Sessions = 1

接続反復実験、転送されるバイトが更新済ではないがことに注意して下さい。 接続状態(TCP 情報)はデータ インターフェイスを通してフェールオーバー イベントが起こる場合トラフィックが影響を受けていないことを確認するために定期的にアップデートされます。

粒状出力に関しては、提示ポリシー ファイアウォール セッション ゾーン組 <ZP> ha コマンドを入力して下さい。 それは例 7 として同じような出力を提供しますが、ユーザが指定されるゾーン組だけに出力を制限することを可能にします。

収集デバッグ出力

このセクションはこの機能を解決するために関連した出力を作り出すデバッグ・コマンドを示します。

デバッグの enablement は使用中ルータで非常に精力的である場合もあります。 従ってそれらをイネーブルにする前に、影響を理解するはずです。

  • デバッグ冗長性アプリケーション グループ rii イベント

    このコマンドは接続マッチを確かめるためにきちんと複製されるべき正しい RII グループ使用されます。 トラフィックが ZBFW に到着するとき、ソースおよび宛先インターフェイスは RII グループ ID があるように確認されます。 この情報はピアへのデータ・リンクを渡ってそれから伝えられます。 スタンバイ ピアの RII グループがアクティブなユニットと一直線に並ぶとき、例 8 の syslog は生成され、接続を複製するために使用する RII グループ ID を確認します:


    例 8: Syslog


    debug redundancy application group rii event
    debug redundancy application group rii error
    !
    *Feb 1 21:13:01.378: [RG-RII-EVENT]: get idb: rii:100
    *Feb 1 21:13:01.378: [RG-RII-EVENT]: get idb: rii:200


  • デバッグ冗長性アプリケーション グループ プロトコルすべて

    このコマンドは 2 つのピアが互いに会う場合があることを確認するために使用されます。 ピア IP アドレスはデバッグで確認されます。 例 9 に見られるように、ZBFW1 は IP アドレス 10.60.1.2 のスタンバイ状態のピアを見ます。 逆は ZBFW2 にあてはまます。


    例 9: デバッグのピア IPS を確認して下さい



    debug redundancy application group protocol all
    !
    ZBFW1#
    *Feb 1 21:35:58.213: RG-PRTCL-MEDIA: RG Media event, rg_id=1, role=Standby,
    addr=10.60.1.2, present=exist, reload=0, intf=Et0/2, priority=150.
    *Feb 1 21:35:58.213: RG-PRTCL-MEDIA: [RG 1] [Active/Active] set peer_status 0.
    *Feb 1 21:35:58.213: RG-PRTCL-MEDIA: [RG 1] [Active/Active] priority_event
    'media: low priority from standby', role_event 'no event'.
    *Feb 1 21:35:58.213: RG-PRTCL-EVENT: [RG 1] [Active/Active] select fsm event,
    priority_event=media: low priority from standby, role_event=no event.
    *Feb 1 21:35:58.213: RG-PRTCL-EVENT: [RG 1] [Active/Active] process FSM event
    'media: low priority from standby'.
    *Feb 1 21:35:58.213: RG-PRTCL-EVENT: [RG 1] [Active/Active] no FSM transition

    ZBFW2#
    *Feb 1 21:36:02.283: RG-PRTCL-MEDIA: RG Media event, rg_id=1, role=Active,
    addr=10.60.1.1, present=exist, reload=0, intf=Et0/2, priority=200.
    *Feb 1 21:36:02.283: RG-PRTCL-MEDIA: [RG 1] [Standby/Standby-hot]
    set peer_status 0.
    *Feb 1 21:36:02.283: RG-PRTCL-MEDIA: [RG 1] [Standby/Standby-hot] priority_event
    'media: high priority from active', role_event 'no event'.
    *Feb 1 21:36:02.283: RG-PRTCL-EVENT: [RG 1] [Standby/Standby-hot] select
    fsm event, priority_event=media: high priority from active, role_event=no event.
    *Feb 1 21:36:02.283: RG-PRTCL-EVENT: [RG 1] [Standby/Standby-hot] process
    FSM event 'media: high priority from active'.
    *Feb 1 21:36:02.283: RG-PRTCL-EVENT: [RG 1] [Standby/Standby-hot] no FSM
    transition

よくある問題

このセクションは見つけられるいくつかのよくある問題を詳述します。

制御およびデータは選択をインターフェイスさせます

制御およびデータ VLAN のためのいくつかの助言はここにあります:

  • ZBFW 設定に制御およびデータ インターフェイスを含めないで下さい。 彼らは互いに伝達し合うためにただ使用されます; 従って、これらのインターフェイスを保護する必要性がありません。
  • 制御およびデータ インターフェイスは同じインターフェイスか VLAN でのどれある場合もあります。 これはルータのポートを維持します。

不在 RII グループ

RII グループは LAN および WAN インターフェイス両方で加える必要があります。 LAN インターフェイスは同じサブネットである必要があります WAN インターフェイスは別々のサブネットである場合もあります。 インターフェイスで不在 RII グループがある場合この syslog はデバッグ冗長性アプリケーション グループ rii イベントおよびデバッグ冗長性アプリケーション グループ rii エラーの出力に起こります:

000515: Dec 20 14:35:07.753 EST: FIREWALL*: RG not found for ID 0

自動フェールオーバー

自動フェールオーバーを設定するために、ZBFW HA はサービス・レベル一致(SLA)オブジェクトをトラッキングするために設定する必要があり動的にこの SLA イベントに基づいて優先順位を減少させます。 例 10 では、ZBFW HA は GigabitEthernet0 インターフェイスのリンク ステータスをトラッキングします。 このインターフェイスがダウン状態になる場合、優先順位はピア デバイスがより支持されてように減ります。

例 10: ZBFW HA 自動フェールオーバー設定

redundancy
application redundancy
group 1
name ZBFW_HA
preempt
priority 230
control Vlan801 protocol 1
data Vlan801
track 1 decrement 200
!
track 1 interface GigabitEthernet0 line-protocol
redundancy
application redundancy
group 1
name ZBFW_HA
preempt
priority 180
control Vlan801 protocol 1
data Vlan801

時々減少させた優先順位イベントがあるのに ZBFW HA はフェールオーバー自動的に。 これは preempt キーワードが両方のデバイスの下で設定されないという理由によります。 preempt キーワードにホット スタンバイ ルータ プロトコル(HSRP)または適応性があるセキュリティ電気器具(ASA)フェールオーバーでより別の機能性があります。 ZBFW HA では、preempt キーワードはデバイスの優先順位が変更する場合フェールオーバー イベントが起こるようにします。 これはセキュリティとコンフィギュレーション ガイドで文書化されます: ゾーン ベースのポリシー ファイアウォール、Cisco IOS リリース 15.2M&T。 ゾーン ベースのポリシー ファイアウォール高可用性の章からのエキスはここにあります:

「スタンバイ デバイスへのスイッチオーバは他の状況のもとで行われる場合があります。 スイッチオーバを引き起こす場合があるもう一つのファクタは各デバイスで行うことができる優先順位設定です。 最も優先順位の高い値のデバイスはアクティブなデバイスです。 欠陥がアクティブなかスタンバイ デバイスに起こる場合、デバイスの優先順位は重量として知られている構成可能量減少されます。 アクティブなデバイスの優先順位がスタンバイ デバイスの優先順位の下で下る場合、スイッチオーバは行われ、スタンバイ デバイスはアクティブなデバイスになります。 このデフォルト動作は冗長性グループのための先買属性をディセーブルにすることによって無効にすることができます。 インターフェイスの層 1 状態がダウン状態になるときまた優先順位を減少させるために各インターフェイスを設定できます。 設定される優先順位は無効にします冗長性グループのデフォルト プライオリティを」。

これらの出力は適切な状態を示します:

ZBFW01#show redundancy application group 1
Group ID:1
Group Name:ZBFW_HA

Administrative State: No Shutdown
Aggregate operational state : Up
My Role: ACTIVE
Peer Role: STANDBY
Peer Presence: Yes
Peer Comm: Yes
Peer Progression Started: Yes

RF Domain: btob-one
RF state: ACTIVE
Peer RF state: STANDBY HOT

ZBFW01#show redundancy application faults group 1
Faults states Group 1 info:
Runtime priority: [230]
RG Faults RG State: Up.
Total # of switchovers due to faults: 0
Total # of down/up state changes due to faults: 0

これらのログはイネーブルになっているデバッグなしで ZBFW で生成されます。 このログはデバイスがアクティブになると示します:

*Feb  1 21:47:00.579: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from 
Init to Standby
*Feb 1 21:47:09.309: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Standby
to Active
*Feb 1 21:47:19.451: %RG_VP-6-BULK_SYNC_DONE: RG group 1 BULK SYNC to standby
complete.
*Feb 1 21:47:19.456: %RG_VP-6-STANDBY_READY: RG group 1 Standby router is in
SSO state

このログはデバイスがスタンバイで行くと示します:

*Feb  1 21:47:07.696: %RG_VP-6-BULK_SYNC_DONE: RG group 1 BULK SYNC to standby 
complete.
*Feb 1 21:47:07.701: %RG_VP-6-STANDBY_READY: RG group 1 Standby router is in
SSO state
*Feb 1 21:47:09.310: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from Active
to Init
*Feb 1 21:47:19.313: %RG_PROTOCOL-5-ROLECHANGE: RG id 1 role change from
Init to Standby

非対称的なルーティング

非対称的なルーティング サポートは非対称的なルーティング サポート ガイドで outined。

非対称的なルーティングを設定するために、冗長性アプリケーション グループ グローバルな設定およびインターフェイス副設定両方に機能を加えて下さい。 その非対称的なルーティングに注意することは重要であり、RG は同じインターフェイスでサポートされないのでイネーブルになっていることができません。 これは非対称的なルーティングがいかにがはたらくか原因です。 インターフェイスは非対称的なルーティングのために示されるとき、ルーティングが矛盾しているので HA 接続複製のその時一部である場合もありません。 RG を設定することはインターフェイスは HA 接続複製の一部であることを RG が指定するので、ルータを混同します。

例 11: 非対称的なルーティング設定

redundancy
application redundancy
group 1
asymmetric-routing interface Ethernet0/3

interface Ethernet0/1
redundancy asymmetric-routing enable

この設定は HA 組の両方のルータで適用する必要があります。

前にリストされている Ethernet0/3 インターフェイスは 2 つのルータ間の新しい専用リンクです。 このリンクは 2 つのルータの間で非対称的ルーティングされたトラフィックを通過させるために特に使用されます。 こういうわけでそれは外部直面インターフェイスと同等の専用リンクであるはずです。

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 115956