Catalyst 6500 シリーズ スイッチ/Cisco 7600 シ リーズ ルータ Firewall Services Module コンフィ ギュレーション ガイド(CLI を使用)
フェールオーバーの設定
フェールオーバーの設定
発行日;2012/06/24 | 英語版ドキュメント(2012/03/06 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 9MB) | フィードバック

目次

フェールオーバーの設定

フェールオーバーについて

フェールオーバーのシステム要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステート リンク

フェールオーバー リンク

ステート リンク

シャーシ内およびシャーシ間のモジュール配置

シャーシ内フェールオーバー

シャーシ間フェールオーバー

トランスペアレント ファイアウォールの要件

アクティブ/スタンバイ フェールオーバーとアクティブ/アクティブ フェールオーバー

アクティブ/スタンバイ フェールオーバー

アクティブ/アクティブ フェールオーバー

使用するフェールオーバーのタイプの決定

標準フェールオーバーとステートフル フェールオーバー

標準フェールオーバー

ステートフル フェールオーバー

フェールオーバーのヘルス モニタ

装置のヘルス モニタ

インターフェイスのモニタ

リンク障害の高速検出

フェールオーバーの設定

フェールオーバー設定の制限事項

アクティブ/スタンバイ フェールオーバーの使用

前提条件

アクティブ/スタンバイ フェールオーバーの設定

任意のアクティブ/スタンバイ フェールオーバーの設定

アクティブ/アクティブ フェールオーバーの使用

前提条件

アクティブ/アクティブ フェールオーバーの設定

オプションのアクティブ/アクティブ フェールオーバー設定値の設定

フェールオーバー通信の認証/暗号化の設定

フェールオーバー設定の確認

フェールオーバー ステータスの表示

モニタ対象インターフェイスの表示

フェールオーバーの設定の表示

フェールオーバー機能のテスト

フェールオーバーの制御とモニタ

フェールオーバーの強制実行

フェールオーバーのディセーブル化

設定の同期化のディセーブル化

障害が発生した装置またはフェールオーバー グループの復元

フェールオーバー動作のモニタ

フェールオーバー システム ログ メッセージ

デバッグ メッセージ

SNMP

フェールオーバーの設定

この章では、FWSM のフェールオーバー機能について説明します。2 つの FWSM を設定することで、1 つに障害が発生しても、もう 1 つに操作を引き継がせることができます。フェールオーバー機能はルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードの両方で使用でき、コンテキスト モードはシングルでもマルチでもかまいません。

この章では、次の内容について説明します。

「フェールオーバーについて」

「フェールオーバーの設定」

「フェールオーバーの制御とモニタ」

フェールオーバーの設定例については、「フェールオーバーの設定例」を参照してください。

フェールオーバーについて

フェールオーバーの設定では、専用フェールオーバー リンク(および任意でステート リンク)を介して相互に接続された 2 つの同じ FWSM が必要です。アクティブなインターフェイスと装置のヘルスがモニタされて、特定のフェールオーバー条件が満たされているかどうかが判定されます。条件が満たされると、フェールオーバーが発生します。

FWSM では、アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーの 2 つのフェールオーバー設定がサポートされます。各フェールオーバー コンフィギュレーションには、フェールオーバーを判定および実行する独自の方式があります。

アクティブ/アクティブ フェールオーバーの場合は、どちらの装置もネットワーク トラフィックを渡すことができます。これにより、ネットワークにロード バランシングを設定できます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで実行中の装置でのみ使用できます。

アクティブ/スタンバイ フェールオーバーでは、1 つの装置だけがトラフィックを渡すことができ、もう 1 つの装置はスタンバイ状態で待機します。アクティブ/スタンバイ フェールオーバーは、シングル コンテキスト モードで実行中の装置とマルチ コンテキスト モードで実行中の装置の両方で使用できます。

どちらのフェールオーバー設定でも、ステートフル フェールオーバーまたはステートレス(標準)フェールオーバーがサポートされます。

ここでは、次の内容について説明します。

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステート リンク」

「シャーシ内およびシャーシ間のモジュール配置」

「トランスペアレント ファイアウォールの要件」

「アクティブ/スタンバイ フェールオーバーとアクティブ/アクティブ フェールオーバー」

「標準フェールオーバーとステートフル フェールオーバー」

「フェールオーバーのヘルス モニタ」

フェールオーバーのシステム要件

ここでは、FWSM のフェールオーバー設定のソフトウェア要件とライセンス要件について説明します。ここでは、次の内容について説明します。

「ソフトウェア要件」

「ライセンス要件」

ソフトウェア要件

フェールオーバー設定をした 2 つの装置は、同じメジャー(最初の番号)ソフトウェア バージョンおよびマイナー(2 番めの番号)ソフトウェア バージョンを持つ必要があります。ただし、アップグレード プロセス中は異なるソフトウェア バージョンを使用できます。たとえば、ある装置を Version 3.1(1)から Version 3.1(2)にアップグレードして、フェールオーバーをアクティブのままにすることができます。ただし、長期的な互換性を保つため、両方の装置を同じバージョンにアップグレードすることを推奨いたします。

ライセンス要件

両装置とも同じライセンスを持つ必要があります。ライセンスが一致しない場合、フェールオーバー ペアは、擬似スタンバイ モードになり、フェールオーバーがディセーブルになります。アクティブ/アクティブ コンフィギュレーションの FWSM は、アクティブ/スタンバイ状態に戻りますが、トラフィックを転送しません。

フェールオーバー リンクとステート リンク

ここでは、フェールオーバー設定での 2 つの装置間の専用接続である、フェールオーバー リンクとステート リンクについて説明します。ここでは、次の内容について説明します。

「フェールオーバー リンク」

「ステート リンク」

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。このフェールオーバー リンクを介して次の情報が伝達されます。

装置の状態(アクティブまたはスタンバイ)

Hello メッセージ(キープアライブ)

ネットワーク リンク ステータス

MAC アドレス交換

設定の複製と同期化


注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しない限り、クリア テキストで送信されます。

フェールオーバー リンクでは、標準のネットワーキング インターフェイスとしては設定しない、フェールオーバー通信専用の特別な VLAN インターフェイスを使用します。この VLAN は、フェールオーバー リンク(および任意で使用するステート リンク)だけに使用する必要があります。フェールオーバー リンクの VLAN を他の VLAN と共有すると、断続的にトラフィックの問題が発生したり、ping や ARP の障害が発生したりすることがあります。シャーシ間のフェールオーバーでは、フェールオーバー リンク用としてスイッチ上の専用インターフェイスを使用します。

マルチ コンテキスト モードで動作するシステムでは、フェールオーバー リンクはシステム コンテキストにあります。システム コンテキストに設定できるインターフェイスは、このインターフェイス、および使用されている場合はステート リンクのみです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。


ステート リンク

ステートフル フェールオーバーを使用するには、すべてのステート情報を渡すためのステート リンクを設定する必要があります。このリンクはフェールオーバー リンクと同じでもかまいませんが、ステート リンク用に別の VLAN および IP アドレスを割り当てることを推奨します。ステート トラフィックはサイズが大きいことがあるので、別のリンクを使用した方がパフォーマンスは向上します。

ステート リンク インターフェイスは標準ネットワーキング インターフェイスとしては設定されず、ステートフル フェールオーバー通信のためにだけ使用されます。ステート リンクとフェールオーバー リンクを共有する場合は、任意でフェールオーバー通信にも使用されます。

マルチコンテキスト モードでは、システム コンテキストにステート リンクが常時設定されます。システム コンテキストには、このインターフェイスおよびフェールオーバー インターフェイスのみが存在します。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステート リンク用の IP アドレスおよび MAC アドレスは、フェールオーバー実行後も変更されません。



注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しない限り、クリア テキストで送信されます。

シャーシ内およびシャーシ間のモジュール配置

プライマリとセカンダリの FWSM は、同じスイッチ内または 2 台の異なるスイッチに搭載できます。ここでは、各オプションについて説明します。

「シャーシ内フェールオーバー」

「シャーシ間フェールオーバー」

シャーシ内フェールオーバー

セカンダリ FWSM をプライマリ FWSM と同じスイッチに搭載した場合は、モジュール レベルの障害から保護する必要があります。モジュール レベルの障害のほか、スイッチ レベルの障害を保護するには、「シャーシ間フェールオーバー」を参照してください。

両方の FWSM に同じ VLAN が割り当てられますが、ネットワーキングに参加するのはアクティブ モジュールだけです。スタンバイ モジュールは、トラフィックを転送しません。

図 14-1 に、一般的なスイッチ間の構成を示します。

図 14-1 スイッチ内フェールオーバー

 

シャーシ間フェールオーバー

スイッチレベルの障害から保護するため、セカンダリ FWSM を別のスイッチに搭載することができます。 FWSM は直接スイッチとフェールオーバーを調整するのではなく、スイッチと協調してフェールオーバー操作を行います。スイッチのフェールオーバー設定については、スイッチのマニュアルを参照してください。

FWSM 間でフェールオーバー通信を行うには、2 台のスイッチ間に、フェールオーバーおよびステート VLAN を伝送するトランク ポートを設定することを推奨します。トランクにより、2 つの装置間のフェールオーバー通信の障害リスクは最小限に抑えられます。

他の VLAN については、両方のスイッチがすべてのファイアウォール VLAN にアクセスでき、モニタ対象 VLAN が両方のスイッチ間で正常に hello パケットを渡すことができるようにします。

図 14-2 に、スイッチと FWSM の一般的な冗長構成を示します。2 台のスイッチ間のトランクは、フェールオーバー FWSMVLAN(VLAN 10 と 11)を転送します。


) FWSM のフェールオーバーはスイッチのフェールオーバーに依存しない独立した機能ですが、スイッチのフェールオーバーが発生した場合には、FWSM もそれに対応します。


図 14-2 通常の動作

 

プライマリ FWSM に障害が発生すると、セカンダリ FWSM がアクティブになってファイアウォール VLAN を通過します(図 14-3)。

図 14-3 FWSM の障害

 

スイッチ全体に障害が発生し、FWSM にも障害が発生した場合(電源切断など)には、スイッチと FWSM の両方でセカンダリ ユニットへのフェールオーバーが実行されます(図 14-4)。

図 14-4 スイッチの障害

 

トランスペアレント ファイアウォールの要件

トランスペアレント モードでフェールオーバー機能を使用しているときにループを回避するには、BPDU の送信をサポートするスイッチ ソフトウェアを使用し、BPDU が許可されるように FWSM を設定する必要があります。BPDU が自動的に許可されるスイッチ ソフトウェアのバージョンについては、「スイッチ ハードウェアおよびソフトウェアの互換性」を参照してください。

FWSM 経由の BPDU を許可するには、EtherType ACL を設定して、「EtherType アクセス リストの追加」の説明のとおりに、両方のインターフェイスに適用します。

両モジュールが相手の存在を検出したり、フェールオーバー リンクが不正であったりするなど、両方のモジュールが同時にアクティブのときに、ループが発生することがあります。両方の FWSM が 2 つの同じ VLAN 間でパケットをブリッジングするので、外部宛ての内部パケットが両方の FWSM によって無限に複製され、ループが発生します(図 14-5 を参照)。BPDU がタイミングよく交換された場合は、スパニング ツリー プロトコルによって、これらのループが遮断されます。ループを遮断するには、VLAN 200 と VLAN 201 間で送信される BPDU をブリッジングする必要があります。

図 14-5 トランスペアレント モード時の潜在的なループ

 

アクティブ/スタンバイ フェールオーバーとアクティブ/アクティブ フェールオーバー

ここでは、各フェールオーバーの設定について詳しく説明します。ここでは、次の内容について説明します。

「アクティブ/スタンバイ フェールオーバー」

「アクティブ/アクティブ フェールオーバー」

「使用するフェールオーバーのタイプの決定」

アクティブ/スタンバイ フェールオーバーの概要

アクティブ/スタンバイ フェールオーバーでは、障害が発生した装置の機能を、スタンバイ FWSM に引き継ぐことができます。アクティブ ユニットが故障すると、その装置はスタンバイ状態に変わり、スタンバイ ユニットがアクティブ状態に変わります。アクティブになった装置は障害が発生した装置の IP アドレス(トランスペアレント ファイアウォールの場合は管理 IP アドレス)と MAC アドレスを推定して、トラフィックの転送を開始します。スタンバイ ステートに移行した装置は、スタンバイ IP アドレス/MAC アドレスを引き継ぎます。ネットワーク デバイスで認識される MAC と IP のアドレス対応は変わらないので、ネットワークのいずれの場所にも ARP エントリの変更やタイムアウトは発生しません。


) マルチコンテキスト モードでは、FWSM は装置全体(すべてのコンテキストを含む)のフェールオーバーを行いますが、各コンテキストを個別にフェールオーバーすることはできません。


プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

フェールオーバーの 2 台の装置の主要な違いは、一方がアクティブで一方がスタンバイであること、すなわち、どちらの IP アドレスを使用し、どちらの装置がアクティブにトラフィックを転送するか、ということです。ただし、プライマリ(設定に指定されている)かセカンダリかによって、両装置に多少の違いがあります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ ユニットが常にアクティブ ユニットになります。

プライマリ ユニットの MAC アドレスは常にアクティブ IP アドレスと組み合わされます。

デフォルトでは、アクティブ FWSM に使用される MAC アドレスは、プライマリ FWSM の焼き付け MAC アドレスに基づきます。

特定の状況では、次のような場合などに、アクティブ FWSM に使用される MAC アドレスが変更されます。

ケース 1:フェールオーバー ペアのプライマリ FWSM が新しい FWSM で置き換えられた場合

ケース 2:セカンダリ FWSM でプライマリ FWSM が検出されなかったため、セカンダリ FWSM が起動し、アクティブになった場合

上記のケース 1 では、プライマリ FWSM が置き換えられ、フェールオーバー セットの一部になると、すぐにセカンダリ/アクティブ FWSM で MAC アドレスが新しいプライマリ FWSM の MAC アドレスに変更されます。

上記のケース 2 では、セカンダリ FWSM がプライマリ FWSM の焼き付け MAC アドレスを認識することなく起動した場合、セカンダリ FWSM では、プライマリから情報が得られるまで独自の焼き付け MAC アドレスが使用され、情報が得られた時点で MAC アドレスが交換されます。

セカンダリ/アクティブ FWSM で新しい MAC アドレスが適用されたときは常に、インターフェイス IP アドレスの無償 ARP が送信されます。独自で所有する他の IP アドレスについては、無償 ARP は送信されません。これらの他の IP アドレスは、スタティックおよびグローバル ステートメントではグローバル IP アドレスで構成されます。したがって、セカンダリ/アクティブ FWSM の焼き付け MAC アドレスが変更された場合は、FWSM に隣接するレイヤ 2 のデバイスで ARP テーブルを消去する必要があります。そうしないと、それらのデバイスのグローバル IP アドレスの ARP エントリが古くなり、無効になります。

デバイスの初期化とコンフィギュレーションの同期

設定の同期化は、フェールオーバー ペアの一方または両方のデバイスが起動するときに行われます。設定は、常にアクティブ ユニットからスタンバイ ユニットに同期化されます。スタンバイ ユニットでは初期起動が完了すると実行コンフィギュレーションがクリアされ(アクティブ ユニットとの通信に必要なフェールオーバー コマンドを除きます)、アクティブ ユニットから自身の設定全体がスタンバイ ユニットに送信されます。

アクティブ ユニットは、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ ユニットになります。

装置がブートされてピアを検出できないと、その装置はアクティブ ユニットになります。

両方の装置を同時に起動する場合、プライマリ ユニットがアクティブ ユニットになり、セカンダリ ユニットがスタンバイ ユニットになります。


) セカンダリ ユニットがブートされてプライマリ ユニットを検出できないと、その装置はアクティブ ユニットになります。セカンダリ ユニットは、アクティブ IP アドレスに独自の MAC アドレスを使用します。ただし、プライマリ ユニットが使用可能になると、セカンダリ ユニットは MAC アドレスをプライマリ ユニットの MAC アドレスに変更します。これにより、ネットワーク トラフィックが一時停止することがあります。


設定の同期化が開始されると、アクティブ ユニットの FWSM コンソールで「Beginning configuration replication: Sending to mate」というメッセージが表示されます。同期化が終了すると、FWSM コンソールで「End Configuration Replication to mate」というメッセージが表示されます。設定の同期化の間、アクティブ ユニットに入力されたコマンドがスタンバイ ユニットに正しく複製されず、スタンバイ ユニットに入力されたコマンドがアクティブ ユニットから複製された設定によって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。

アクティブ ユニットに write standby コマンドを入力すると、スタンバイ ユニットの実行コンフィギュレーションが消去され(アクティブ ユニットとの通信に必要なフェールオーバー コマンドを除く)、アクティブ ユニットはスタンバイ ユニットに設定全体を送信します。

マルチコンテキスト モードの場合、システム実行スペースに write standby コマンドを入力すると、すべてのコンテキストが複製されます。あるコンテキスト内で write standby コマンドを入力すると、コマンドはそのコンテキスト コンフィギュレーションだけを複製します。

スタンバイ ユニットでは、複製された設定は実行メモリにだけ保存されます。同期後の設定をフラッシュ メモリに保存する手順は、次のとおりです。

シングルコンテキスト モードで、アクティブ ユニットに write memory コマンドを入力します。コマンドはスタンバイ ユニットに複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードで、システム実行スペースからアクティブ ユニットに write memory all コマンドを入力します。このコマンドにより、システム コンフィギュレーションとすべてのコンテキスト コンフィギュレーションが保存されます。コマンドがスタンバイ ユニットに複製され、設定がフラッシュ メモリに書き込まれます。外部のサーバにスタートアップ コンフィギュレーションがあるコンテキストは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ ユニットから外部サーバにコピーし、それからスタンバイ ユニットのディスクにコピーできます。スタンバイ ユニットで、装置がリロードされると、そのコンテキストが使用可能になります。


) プライマリ ユニットのメモリ パーティションの数またはサイズを以前に変更した場合(「ルール用のメモリの管理」を参照)、セカンダリ ユニットで設定が同期されたら、即座にセカンダリ ユニットをリロードしてメモリ パーティションが同じになるようにしてください。初回同期時には、設定はセカンダリ ユニットのメモリ パーティションに正しく適合しない場合があります。ただし、リロードして設定をもう一度同期すると、セカンダリ ユニットは正常な状態になります。


コマンドの複製

アクティブ ユニットにコマンドを入力すると、そのコマンドがフェールオーバー リンクを通してスタンバイ ユニットに送信されます。コマンドの複製は常に、アクティブ ユニットからスタンバイ ユニットの方向に行われます。複製されたコマンドは、スタンバイ ユニットの実行コンフィギュレーションに保存されます。実行コンフィギュレーションをアクティブ ユニットのスタートアップ コンフィギュレーションに保存すると、実行コンフィギュレーションがスタンバイ ユニットのスタートアップ コンフィギュレーションに保存されます。ただし、コマンドを複製するために、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。


) FWSM では、RSA キーはプライマリ ユニットからセカンダリ ユニットに同期されません。


スタンバイ ユニットに複製されるコマンドは、次のとおりです。

mode および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config

delete

mkdir

rename

rmdir

write memory

スタンバイ ユニットに複製されないコマンドは、次のとおりです。

copy running-config startup config を除く、すべての形式の copy コマンド

write memory を除く、すべての形式の write コマンド

asdm disconnect

debug

failover lan unit

failover suspend-config-sync

mode

show

ssh disconnect

スタンバイ ユニットで行われた変更は、アクティブ ユニットへは複製されません。スタンバイ ユニット上でコマンドを入力すると、FWSM に、「 **** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Configurations are no longer synchronized. 」(警告:スタンバイ ユニットからアクティブ ユニットへの設定の複製は実行できません。設定は同期化されません)というメッセージが表示されます 。これでコンフィギュレーションは同期しません。 このメッセージは、コンフィギュレーションに影響しない数多くのコマンドを入力したときにも表示されます。

フェールオーバーのトリガー

次のいずれかのイベントが発生した場合、装置が故障する可能性があります。

装置でハードウェア障害または電源断が発生した。

装置でソフトウェア障害が発生した。

多くのモニタ対象インターフェイスが故障した。

アクティブ ユニット上に no failover active コマンドが入力された場合、またはスタンバイ ユニット上に failover active コマンドが入力された場合

フェールオーバーのアクション

アクティブ/スタンバイ フェールオーバーでは、フェールオーバーは装置単位で発生します。マルチコンテキスト モードで実行されているシステムであっても、アクティブ/スタンバイ フェールオーバーでは、個別のコンテキストまたはコンテキスト グループのフェールオーバーを行うことはできません。

表 14-1 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各障害イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ ユニットが行うアクション、スタンバイ ユニットが行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 14-1 フェールオーバー動作

障害イベント
ポリシー
アクティブ アクション
スタンバイ アクション
注記

アクティブ ユニットの障害(電源またはハードウェア)

フェールオーバー

n/a

アクティブになる

アクティブに故障とマークする

モニタ対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーしない

スタンバイになる

アクションなし

なし。

スタンバイ ユニットが故障(電源またはハードウェア)

フェールオーバーしない

スタンバイに故障とマークする

n/a

スタンバイ ユニットが障害装置してマークされた場合、インターフェイスの障害数がしきい値を超過しても、アクティブ ユニットはフェールオーバーを試行しません。

運用時のフェールオーバー リンクの障害

フェールオーバーしない

フェールオーバー インターフェイスに故障とマークする

フェールオーバー インターフェイスに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ ユニットにフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーしない

フェールオーバー インターフェイスに故障とマークする

アクティブになる

起動時にフェールオーバー リンクがダウンした場合、両方の装置がアクティブになります。

ステート リンクの障害

フェールオーバーしない

アクションなし

アクションなし

ステート情報が更新されず、フェールオーバーが発生するとセッションは終了します。

アクティブ ユニットにおけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし。

スタンバイ ユニットにおけるしきい値を超えたインターフェイス障害

フェールオーバーしない

アクションなし

スタンバイに故障とマークする

スタンバイ ユニットが障害装置としてマークされた場合、インターフェイスの障害数がしきい値を超過しても、アクティブ ユニットはフェールオーバーを試行しません。

アクティブ/スタンバイ フェールオーバーに関するフェールオーバーおよび制限事項

FWSM のスーパーバイザ エンジンでファイアウォール自動ステートが設定されている場合、状況によっては、スパニング ツリー プロトコル(STP)機能に影響があります。たとえば、FWSM がトランスペアレント モードで、Rapid-PVST を使用して FWSM 経由でブリッジ プロトコル データ ユニット(BPDU)メッセージを転送する場合、アクティブ/スタンバイの設定に 45 秒から 3 分かかることがあります。設定時間を改善するには、FWSM 経由の BPDU 転送を停止するか、PVST および Rapid-PVST の混合形式を使用できます。

アクティブ/アクティブ フェールオーバー

この項では、アクティブ/アクティブ フェールオーバーについて説明します。ここでは、次の内容について説明します。

「アクティブ/アクティブ フェールオーバーの概要」

「プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス」

「デバイスの初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバーのアクション」

アクティブ/アクティブ フェールオーバーの概要

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードの FWSM でのみ使用できます。アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方の FWSM がネットワーク トラフィックを渡すことができます。

アクティブ/アクティブ フェールオーバーでは、FWSM のセキュリティ コンテキストを フェールオーバー グループ に分割します。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループです。FWSM に最大 2 つのフェールオーバー グループを作成できます。管理コンテキストは常にフェールオーバー グループ 1 のメンバーで、デフォルトでは、割り当てられていないセキュリティ コンテキストもすべてフェールオーバー グループ 1 のメンバーです。

フェールオーバー グループは、アクティブ/アクティブ フェールオーバーにおいてフェールオーバーの基本単位を形成します。インターフェイス障害モニタリング、フェールオーバー、アクティブ/スタンバイ ステータスはすべて、装置ではなくフェールオーバー グループの属性です。プライマリ ユニットの MAC アドレスは、アクティブ コンテキストのすべてのインターフェイスで使用されます。

アクティブ フェールオーバー グループに障害が発生すると、スタンバイ ステートに移行し、関連するスタンバイ フェールオーバー グループがアクティブになります。アクティブになったフェールオーバー グループのインターフェイスは、障害が発生したフェールオーバー グループのインターフェイスの MAC アドレスと IP アドレスを推定します。スタンバイ ステートに移行したフェールオーバー グループのインターフェイスは、スタンバイ フェールオーバー グループの MAC アドレスと IP アドレスを引き継ぎます。


) あるフェールオーバー グループが装置上で故障したというのは、装置が故障したという意味ではありません。その装置では、別のフェールオーバー グループが依然としてトラフィックを渡している場合があります。


フェールオーバー グループを作成する場合、アクティブ ステートのフェールオーバー グループ 1 を持つ装置上に作成する必要があります。

プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

アクティブ/スタンバイ フェールオーバーと同様、アクティブ/アクティブ フェールオーバー ペアの 1 つの装置がプライマリ ユニットに指定され、もう 1 つの装置がセカンダリ ユニットに指定されます。アクティブ/スタンバイ フェールオーバーの場合とは異なり、両方の装置が同時に起動された場合、この指定ではどちらの装置がアクティブになるか指示しません。代わりに、プライマリ/セカンダリの指定で、ペアに実行コンフィギュレーションを提供する装置、および両方の装置を同時に起動したときにフェールオーバー グループがアクティブ ステートとして表示される装置が決まります。

設定内の各フェールオーバー グループには、プライマリ ユニットまたはセカンダリ ユニットのプリファレンスが指定されます。このプリファレンスにより、両方の装置を同時に起動したときに、グループのコンテキストがアクティブ ステートになるフェールオーバー ペアの装置が決まります。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。


) FWSM ではロード バランシング サービスは提供されていません。ロード バランシングは、FWSM にトラフィックを転送するルータで処理する必要があります。


デバイスの初期化とコンフィギュレーションの同期

設定の同期化は、フェールオーバー ペアの一方または両方の装置が起動するときに行われます。

ピア装置が使用できない間、装置を起動すると、フェールオーバー グループおよび装置のプライマリ/セカンダリ指定に関係なく、両方のフェールオーバー グループがその装置上でアクティブになります。設定の同期化は行われません。ピア装置が使用できない理由として、ピア装置の電源が切られている、ピア装置が障害ステートにある、装置間のフェールオーバー リンクが確立されていない、などがあります。

ピア装置がアクティブの間、(両方のフェールオーバー グループをアクティブにして)装置を起動すると、起動している装置はアクティブ ユニットに接続して実行コンフィギュレーションを取得します。デフォルトでは、各フェールオーバー グループおよび装置のプライマリ/セカンダリ指定に関係なく、フェールオーバー グループはアクティブ ユニット上でアクティブのままです( preempt コマンドで設定されていないかぎり)。次のいずれかが発生するまで、フェールオーバー グループは最初の装置上でアクティブのままになります。

フェールオーバー状態により、フェールオーバー グループがピア装置上でアクティブになった。

no failover active コマンドを使用して、フェールオーバー グループをピア装置上で強制的に手動でアクティブにした。

フェールオーバー グループの優先装置が使用可能になったときに、 preempt コマンドにより、その装置上でフェールオーバー グループを強制的にアクティブにした。

両方の装置を同時に起動すると、プライマリ ユニットがアクティブ ユニットになります。セカンダリ ユニットは、プライマリ ユニットから実行コンフィギュレーションを取得します。設定が同期されると、各フェールオーバー グループはその優先装置上でアクティブになります。


) プライマリ ユニットのメモリ パーティションの数またはサイズを以前に変更した場合(「ルール用のメモリの管理」を参照)、セカンダリ ユニットで設定が同期されたら、即座にセカンダリ ユニットをリロードしてメモリ パーティションが同じになるようにしてください。初回同期時には、設定はセカンダリ ユニットのメモリ パーティションに正しく適合しない場合があります。ただし、リロードして設定をもう一度同期すると、セカンダリ ユニットは正常な状態になります。


コマンドの複製

両方の装置が稼動した後、次のように、コマンドが一方の装置からもう一方の装置に複製されます。

セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。


) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。


システム実行スペースに入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

コマンドを適切な装置に入力せず、コマンドの複製が失敗した場合、設定は同期されません。次回、設定の同期化を行ったときに、それらの変更内容が失われる可能性があります。

スタンバイ ユニットに複製されるコマンドは、次のとおりです。

mode および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config

delete

mkdir

rename

rmdir

write memory

スタンバイ ユニットに複製されないコマンドは、次のとおりです。

copy running-config startup config を除く、すべての形式の copy コマンド

write memory を除く、すべての形式の write コマンド

asdm disconnect

debug

failover lan unit

failover suspend-config-sync

mode

show

ssh disconnect

write standby コマンドを使用して、同期されなかった設定を再度同期化することができます。アクティブ/アクティブ フェールオーバーの場合、 write standby コマンドは次のように機能します。

write standby コマンドをシステム実行スペースに入力すると、FWSM のシステム コンフィギュレーションおよびすべてのセキュリティ コンテキストの設定がピア装置に書き込まれます。これには、スタンバイ状態のセキュリティ コンテキストのコンフィギュレーション情報が含まれます。アクティブ状態のフェールオーバー グループ 1 を含む装置のシステム実行スペースでコマンドを入力する必要があります。

セキュリティ コンテキストで write standby コマンドを入力した場合は、そのセキュリティ コンテキストのコンフィギュレーションだけがピア ユニットに書き込まれます。セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストでコマンドを入力する必要があります。

複製されたコマンドは、ピア装置に複製された場合、フラッシュ メモリに保存されません。実行コンフィギュレーションに追加されます。複製されたコマンドを両方の装置のフラッシュ メモリに保存するには、変更を加えた装置上で write memory コマンドまたは copy running-config startup-config コマンドを使用します。コマンドがピア装置に複製され、設定がそのピア装置上のフラッシュ メモリに保存されます。

フェールオーバーのトリガー

アクティブ/アクティブ フェールオーバーでは、次のいずれかのイベントが発生すると、フェールオーバーが装置レベルでトリガーされます。

装置でハードウェア障害が発生した。

装置で電源障害が発生した。

装置でソフトウェア障害が発生した。

システム実行スペースに no failover active コマンドまたは failover active コマンドが入力された場合

フェールオーバーは、次のいずれかのイベントが発生すると、フェールオーバー グループ レベルでトリガーされます。

フェールオーバー グループに属するコンテキストの、非常に多くのモニタ対象インターフェイスで障害が発生した場合

no failover active group group_id コマンドが入力された場合

フェールオーバー グループ内のインターフェイスの数または割合を指定することで各フェールオーバー グループにフェールオーバーしきい値を設定します。故障したインターフェイスがこのしきい値(インターフェイスの数または割合)を超えた場合にそのグループは故障したと判断されます。フェールオーバー グループには複数のコンテキストを含めることができ、また各コンテキストには複数のインターフェイスを含めることができるので、1 つのコンテキストのインターフェイスがすべて故障しても、そのコンテキストに関連するフェールオーバー グループが故障と判断されない可能性があります。

インターフェイスと装置のモニタリングの詳細については、「フェールオーバーのヘルス モニタ」を参照してください。

フェールオーバーのアクション

アクティブ/アクティブ フェールオーバー設定では、フェールオーバーは、システムごとに発生するのではなく、フェールオーバー グループごとに発生します。たとえば、プライマリ ユニットで両方のフェールオーバー グループをアクティブに割り当てている場合、フェールオーバー グループ 1 で障害が発生すると、プライマリ ユニットではフェールオーバー グループ 2 がアクティブのまま残り、セカンダリ ユニットではフェールオーバー グループ 1 がアクティブになります。


) アクティブ/アクティブ フェールオーバーを設定する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


表 14-2 に、各障害イベントに対するフェールオーバー アクションを示します。各障害イベントに対して、ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ フェールオーバー グループのアクション、およびスタンバイ フェールオーバー グループのアクションを示します。

 

表 14-2 アクティブ/アクティブ フェールオーバーのフェールオーバー動作

障害イベント
ポリシー
アクティブ グループのアクション
スタンバイ グループのアクション
注記

装置で電源断またはソフトウェア障害が発生した

フェールオーバー

スタンバイになり、故障とマークする

アクティブになる

アクティブに故障とマークする

フェールオーバー ペアの装置が故障すると、その装置のアクティブ フェールオーバー グループはすべて故障とマークされ、ピア装置のフェールオーバー グループがアクティブになります。

アクティブ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブ グループに故障とマークする

アクティブになる

なし。

スタンバイ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバーしない

アクションなし

スタンバイ グループに故障とマークする

スタンバイ フェールオーバー グループが障害フェールオーバー グループとしてマークされた場合、インターフェイスの障害数がしきい値を超過しても、アクティブ フェールオーバー グループはフェールオーバーを試行しません。

以前にアクティブであったフェールオーバー グループの復旧

フェールオーバーしない

アクションなし

アクションなし

preempt コマンドで設定された場合を除き、フェールオーバー グループは現在の装置上でアクティブのままになります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーしない

アクティブになる

アクティブになる

起動時にフェールオーバー リンクがダウンした場合、両方の装置上の両方のフェールオーバー グループがアクティブになります。

ステート リンクの障害

フェールオーバーしない

アクションなし

アクションなし

ステート情報が更新されず、フェールオーバーが発生するとセッションは終了します。

運用時のフェールオーバー リンクの障害

フェールオーバーしない

n/a

n/a

各装置で、フェールオーバー インターフェイスが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ ユニットにフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

使用するフェールオーバーのタイプの決定

選択するフェールオーバー タイプは、FWSM の設定および FWSM の使用方法によって異なります。

FWSM をシングルモードで実行している場合、アクティブ/スタンバイ フェールオーバーだけ使用可能です。アクティブ/アクティブ フェールオーバーは、FWSM をマルチコンテキスト モードで実行している場合にだけ使用できます。FWSM をマルチ コンテキスト モードで動作させている場合は、アクティブ/アクティブ フェールオーバーまたはアクティブ/スタンバイ フェールオーバーを設定できます。

アップストリーム ルータを使用してロード バランシングを行っている場合は、アクティブ/アクティブ フェールオーバーを使用します。ロード バランシングを行わない場合は、アクティブ/アクティブ フェールオーバーまたはアクティブ/スタンバイ フェールオーバーのいずれかを使用します。

表 14-3 で、各フェールオーバー タイプの設定でサポートされる一部の機能を比較します。

 

表 14-3 フェールオーバー コンフィギュレーション機能のサポート

機能
アクティブ/アクティブ
アクティブ/スタンバイ

シングル コンテキスト モード

No

Yes

マルチ コンテキスト モード

Yes

Yes

ロード バランシング ネットワーク コンフィギュレーション

Yes

No

装置のフェールオーバー

Yes

Yes

コンテキスト グループのフェールオーバー

Yes

No

個別コンテキストのフェールオーバー

No

No

標準フェールオーバーとステートフル フェールオーバー

FWSM は、標準フェールオーバーとステートフル フェールオーバーの 2 つのタイプのフェールオーバーをサポートします。ここでは、次の内容について説明します。

「標準フェールオーバー」

「ステートフル フェールオーバー」

標準フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ ユニットが引き継いだ後で、クライアントでは接続を再確立する必要があります。

ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルの場合、アクティブ ユニットは各接続ステート情報をスタンバイ ユニットに渡し続けます。フェールオーバーが発生した後は、同じ接続情報を新しいアクティブ ユニットで使用できます。サポートされるエンドユーザ アプリケーションでは、同じ通信セッションを維持するために接続し直す必要はありません。

スタンバイ ユニットに渡されるステート情報には、次のデータが含まれます。

NAT 変換テーブル

TCP 接続ステート

UDP 接続ステート

ARP テーブル

レイヤ 2 ブリッジ テーブル(トランスペアレント ファイアウォール モードで実行している場合)

HTTP 接続ステート(HTTP の複製がイネーブルになっている場合)

ISAKMP および IPSec SA テーブル

GTP PDP 接続データベース

ユーザ認証(uauth)テーブル(非アクティブ タイムアウトの状態を除く)

ステートフル フェールオーバーがイネーブルの場合、次の情報はスタンバイ ユニットには渡されません。

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

ルーティング テーブル

DNS 接続

マルチキャスト トラフィック情報


) Cisco IP SoftPhone セッション中にフェールオーバーが発生した場合、通話セッション ステート情報はスタンバイ ユニットに複製されるため、通話はアクティブのままになります。通話が中断されると、IP SoftPhone クライアントは CallManager との接続を失います。これは、スタンバイ ユニットには CTIQBE ハングアップ メッセージのセッション情報がないためです。IP SoftPhone クライアントは一定時間内に CallManager から応答を受信しない場合、CallManager を到達不能と見なして自らを登録解除します。

HA プロセスでは、OSPF データベースおよびルーティング テーブルは複製されません。FWSM 障害が発生した場合は、トラフィック フローが再開される前にルーティング プロトコルをコンバージする時間を確保してください。



) トランスペアレント FWSM ではレイヤ 2 MAC テーブルに基づいて転送を行うため、ホスト ペアの一方または両方が非アクティブであることが原因でこれらのホストの MAC テーブル エントリがタイムアウトしても、このペアの接続エントリはアクティブのままになる場合があります。このような状況では、どちらかのホストから別のパケットが送信されて、その情報が MAC アドレス テーブルに再入力される前にフェールオーバー イベントが発生すると、ピア FWSM では特定のエンドポイントに対してスイッチ CAM テーブル リフレッシュ パケットを生成できません。したがって、特定のホストのスイッチで CAM テーブル エントリがアクティブのままになっており、以前のアクティブ ユニットをポイントしている場合、トラフィックが不適切にスタンバイ FWSM にスイッチングされ、そこで廃棄されます(フェールオーバー イベントが発生してから、スイッチで CAM テーブル エントリが古くなるまでに、アイドル状態の接続でトラフィックの転送が再び開始された場合)。


フェールオーバーのヘルス モニタ

FWSM は、各装置について、全体の動作状態とインターフェイスの動作状態をモニタします。FWSM が各装置の状態を判別するために実行するテストの詳細については、次の項目を参照してください。

「装置のヘルス モニタ」

「インターフェイスのモニタ」

「リンク障害の高速検出」

装置のヘルス モニタ

FWSM は、フェールオーバー リンクをモニタすることによって、他方の装置の状態を判別します。一方の装置がフェールオーバー リンク上で hello メッセージを受信しない場合、その装置はフェールオーバー インターフェイスを含めたすべてのインターフェイスに ARP 要求を送信します。 FWSM はユーザによって設定可能な回数だけ、再試行します。FWSM の動作は、他方の装置からの応答状態によって異なります。次の可能なアクションを参照してください。

FWSM がいずれかのインターフェイスから応答を受信した場合、フェールオーバーは実行されません。

FWSM がどのインターフェイスからも応答を受信しない場合、スタンバイ ユニットがアクティブ モードに切り替わり、他方の装置は障害装置としてマークされます。

FWSM がフェールオーバー リンク上でだけ応答を受信しない場合には、フェールオーバーは実行されません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイにフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


インターフェイスのモニタ

すべてのコンテキスト間に分割された最大 250 のインターフェイスをモニタできます。インターフェイスがコンテキスト間で共有されている場合、1 つのコンテキストが共有インターフェイスをモニタするように設定できます。インターフェイスが共有されているため、すべてのコンテキストでモニタリングの結果を得ることができます。

装置がモニタ対象のインターフェイス上で hello メッセージを受信しない場合、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイス ステータスのテストです。リンク アップ/ダウン テストでインターフェイスの正常な動作が確認されると、FWSM はネットワークのテストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク動作のテスト:ネットワークの受信動作のテストです。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト ping テスト:このテストでは、ブロードキャスト ping 要求が送信されます。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障した FWSM は、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


リンク障害の高速検出

フェールオーバー状態を検出し、それに応答するには、最大で 45 秒かかります。ただし、スイッチで Catalyst オペレーティング システム ソフトウェアの Release 8.4(1) 以降または Cisco IOS ソフトウェアの Release 12.2(18)SXF5 以降を使用している場合、自動ステート機能を使用してインターフェイス テスト フェーズをバイパスし、インターフェイス障害に対してサブ秒のフェールオーバー時間を実現できます。

自動ステートをイネーブルにすると、スーパーバイザ エンジンから FWSM に対して、FWSM VLAN に関連付けられている物理インターフェイスのステータスに関する自動ステート メッセージが送信されます。たとえば、VLAN に関連付けられているすべての物理インターフェイスがダウンすると、自動ステート メッセージにより、VLAN がダウンしていることが FWSM に通知されます。FWSM では、この情報を受けて、VLAN をダウンとして宣言し、いずれの側でリンク障害が発生しているかを判別するために通常必要となるインターフェイス モニタリング テストをバイパスできます。

Cisco IOS ソフトウェアでは、自動ステート メッセージはデフォルトでディセーブルになっています。Catalyst オペレーティング システム ソフトウェアでは、自動ステート メッセージはデフォルトでイネーブルになっています。ただし、設定は不可です。

自動ステートをイネーブルにする方法の詳細については、「高速リンク障害検出のための自動ステート メッセージングのイネーブル化」を参照してください。

フェールオーバーの設定

ここでは、フェールオーバーを設定する手順について説明します。内容は次のとおりです。

「フェールオーバー設定の制限事項」

「アクティブ/スタンバイ フェールオーバーの使用」

「アクティブ/アクティブ フェールオーバーの使用」

「フェールオーバー通信の認証/暗号化の設定」

「フェールオーバー設定の確認」

フェールオーバー設定の制限事項

次のタイプの IP アドレスを使用してフェールオーバーを設定することはできません。

DHCP 経由で取得された IP アドレス

IPv6 アドレス


) FWSM に大きなサイズ(約 5 MB)のコンフィギュレーション ファイルがある場合、アクティブ状態のセカンダリ ユニットで、自動的なフェールオーバーが機能する障害が発生すると、FTP および HTTP トラフィック レートはドロップします。


アクティブ/スタンバイ フェールオーバーの使用

ここでは、アクティブ/スタンバイ フェールオーバーの設定手順を説明します。ここでは、次の内容について説明します。

「前提条件」

「アクティブ/スタンバイ フェールオーバーの設定」

「任意のアクティブ/スタンバイ フェールオーバーの設定」

一般的なフェールオーバーの設定例については、「フェールオーバーの設定例」を参照してください。

前提条件

作業を開始する前に、次のことを確認します。

両装置とも正規のライセンスを持っていること。フェールオーバー ペアの両装置のライセンスは同じでなければなりません。

プライマリ ユニットがシングル コンテキスト モードの場合、セカンダリ ユニットもシングル コンテキスト モードで、さらにプライマリ ユニットと同じファイアウォール モードでなければなりません。

プライマリ ユニットがマルチコンテキスト モードの場合、セカンダリ ユニットもマルチコンテキスト モードでなければなりません。フェールオーバー リンクおよびステート リンクはシステム コンテキストに含まれるため、セカンダリ ユニットのセキュリティ コンテキストのファイアウォール モードを設定する必要はありません。セカンダリ ユニットは、プライマリ ユニットからセキュリティ コンテキスト コンフィギュレーションを取得します。


mode コマンドはセカンダリ ユニットには複製されません。


アクティブ/スタンバイ フェールオーバーの設定

この項では、アクティブ/スタンバイ フェールオーバーを設定する方法について説明します。プライマリ ユニットから実行コンフィギュレーションを取得する前にフェールオーバー リンクを認識するように、セカンダリ ユニットを設定する必要があります。

ここでは、次の内容について説明します。

「プライマリ ユニットの設定」

「セカンダリ ユニットの設定」

「設定の確認」

プライマリ ユニットの設定

次の手順に従って、アクティブ/スタンバイ フェールオーバー設定内のプライマリ ユニットを設定します。この手順では、プライマリ ユニットでフェールオーバーをイネーブルにするために必要な最低限の設定を行います。マルチコンテキスト モードでは、特に明記されていないかぎり、すべての手順をシステム実行スペースで行います。

アクティブ/スタンバイ フェールオーバー ペアのプライマリ ユニットを設定する手順は、次のとおりです。


ステップ 1 各インターフェイス(ルーテッド モード)および各管理アドレス(トランスペアレント モード)のアクティブ IP アドレスとスタンバイ IP アドレスをまだ設定していない場合は、設定します。スタンバイ IP アドレスは、現在スタンバイ ユニットである FWSM で使用されます。この IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。


) フェールオーバー リンクまたはステート リンク(ステートフル フェールオーバーを使用する予定の場合)の IP アドレスは設定しないでください。


hostname(config-if)# ip address active_addr netmask standby standby_addr
 

) マルチコンテキスト モードでは、各コンテキスト内でインターフェイス アドレスを設定する必要があります。changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/context(config-if)# に変わります。ここで、context は、現在のコンテキスト名です。


ステップ 2 装置をプライマリ ユニットとして指定します。

hostname(config)# failover lan unit primary
 

ステップ 3 フェールオーバー インターフェイスを定義します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name vlan vlan
 

if_name 引数は、名前を vlan 引数で指定されたインターフェイスに割り当てます。

b. アクティブ IP アドレスとスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。フェールオーバー リンクのアクティブ IP アドレスは、常にプライマリ ユニットにあります。スタンバイ IP アドレスは、セカンダリ ユニットにあります。

ステップ 4 (任意)ステートフル フェールオーバーをイネーブルにするには、ステート リンクを設定します。ステート リンクは未使用のインターフェイス上で設定する必要があります。

a. ステート リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name [vlan vlan]
 

) ステート リンクがフェールオーバー リンクを使用する場合、if_name 引数を指定するだけで済みます。


if_name 引数は、 vlan 引数で指定されたインターフェイスに論理名を割り当てます。このインターフェイスはその他の目的では使用しないでください(フェールオーバー リンクを除く(任意))。

b. アクティブ IP アドレスとスタンバイ IP アドレスをステート リンクに割り当てます。


) ステート リンクがフェールオーバー リンクを使用する場合、この手順は省略します。すでにフェールオーバー リンクのアクティブ IP アドレスとスタンバイ IP アドレスを指定しているためです。


hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステート リンクの IP アドレスおよび MAC アドレスは、フェールオーバー実行後も変更されません。アクティブ IP アドレスは、常にプライマリ ユニットにあります。スタンバイ IP アドレスは、セカンダリ ユニットにあります。

ステップ 5 次のコマンドを入力して、トンネル インターフェイスのモニタをイネーブルにします。

hostname(config)# monitor-interface interface_name
 

FWSM 上(すべてのコンテキスト全体)でモニタできるインターフェイスの最大数は 250 です。


) マルチコンテキスト モードでは、各コンテキスト内でインターフェイス モニタリングを設定する必要があります。changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/context(config)# に変わります。context は現在のコンテキストの名前です。


ステップ 6 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

ステップ 7 設定を保存します。

hostname(config)# write memory
 

) マルチコンテキスト モードでは、システム実行スペースに write memory all コマンドを入力してすべてのコンテキストのコンフィギュレーションを保存します。



 

セカンダリ ユニットの設定

セカンダリ ユニットに必要なコンフィギュレーションは、フェールオーバー インターフェイス用のコンフィギュレーションだけです。プライマリ ユニットと初回の通信を開始するには、セカンダリ ユニットにこれらのコマンドが必要です。プライマリ ユニットがセカンダリ ユニットにコンフィギュレーションを送信した後、2 つのコンフィギュレーション間で唯一、不変の相違点は failover lan unit コマンドです。このコマンドで各装置がプライマリかセカンダリかを識別します。

マルチコンテキスト モードでは、特に明記されていないかぎり、すべての手順をシステム実行スペースで行います。

セカンダリ ユニットを設定する手順は、次のとおりです。


ステップ 1 フェールオーバー インターフェイスを定義します。プライマリ ユニットに使用した設定と同じ設定を使用します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name vlan vlan
 

if_name 引数は、名前を vlan 引数で指定されたインターフェイスに割り当てます。

b. アクティブ IP アドレスとスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) このコマンドは、フェールオーバー インターフェイスの設定時にプライマリ ユニットに入力したとおりに入力します。


ステップ 2 (任意)この装置をセカンダリ ユニットとして指定します。

hostname(config)# failover lan unit secondary
 

) すでに設定してある場合を除き、デフォルトでは装置はセカンダリ ユニットとして指定されるため、この手順は任意となります。


ステップ 3 (任意)プライマリおよびセカンダリ FWSM に異なるホスト名を指定して、両装置に割り当てられるデフォルト ホスト名「FWSM」と置き換えます。

hostname(config)# hostname primary-hostname
hostname(config)# hostname secondary secondary-hostname
 

ステップ 4 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ ユニットからスタンバイ ユニットに送信されます。コンフィギュレーションが同期すると、メッセージ「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」がアクティブ ユニットのコンソールに表示されます。

ステップ 5 実行コンフィギュレーションで複製が完了したら、設定をフラッシュ メモリに保存します。

hostname(config)# write memory
 


 

設定の確認

スタンバイ FWSM がアクティブ FWSM を継承できるか検証するには、次の条件が満たされているか確認します。

アクティブ FWSM が、他方の装置の設定と完全に同期化する。

コンソールに「access-list compilation complete」というメッセージが表示されている。

show failover コマンドの出力に、「STANDBY-READY」状態のスタンバイ FWSM が示されている。

実行時データベース全体がスタンバイ ユニットに複製されている。
たとえば、 show resource usage コマンドを実行すると、すべての接続(xlate、arp および高速パス エントリ)が複製され、トラフィックを転送する装置とほぼ同じになります。

任意のアクティブ/スタンバイ フェールオーバーの設定

フェールオーバーの初期設定時またはフェールオーバーの設定後に、次の任意のアクティブ/スタンバイ フェールオーバー設定を指定することができます。特に指定のないかぎり、コマンドはアクティブ ユニットに入力します。

ここでは、次の内容について説明します。

「フェールオーバー プリエンプションの設定」

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイスおよび装置のポーリング間隔の設定」

「フェールオーバー基準の設定」

フェールオーバー プリエンプションの設定

アクティブ/スタンバイ フェールオーバー設定のプライマリ ユニットで障害が発生した場合、またはセカンダリ ユニットがプライマリ ユニットよりも前に起動した場合、セカンダリのスタンバイ ユニットがアクティブになります。プライマリ ユニットで障害状態が解決されると、プライマリ ユニットはデフォルトでスタンバイ ステートで起動され、セカンダリ ユニットはアクティブ ステートのままになります。

failover preempt コマンドを使用して、指定した時間が経過したあとでプライマリ ユニットを自動的にアクティブ ユニットにすることができます。次のコマンドを入力して、プライマリ ユニットにプリエンプションを設定します。

hostname(config)# failover preempt [delay]
 

delay は、セカンダリ ユニットのステートが切り替えられるまでの待機時間(秒単位)です。有効な値は、1 ~ 1200 秒です。 delay を省略すると、遅延は発生しません。

プライマリ ユニットがアクティブになると、セカンダリ ユニットはスタンバイ ステートになります。

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続がステート情報複製に含まれるようにするには、HTTP 複製をイネーブルにする必要があります。HTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。

ステートフル フェールオーバーがイネーブルである場合、次のコマンドをグローバル コンフィギュレーション モードで入力して、HTTP ステートの複製をイネーブルにします。

hostname(config)# failover replication http
 

インターフェイスおよび装置のポーリング間隔の設定

FWSM は、フェールオーバーについて、装置とインターフェイスの両方をヘルス モニタします。装置とインターフェイスをヘルス モニタする際、hello メッセージの間隔を設定できます。ポーリング間隔を短くすると、インターフェイスまたは装置の障害をより速く検出できますが、システム リソースの消費量が大きくなります。

インターフェイスのポーリング間隔を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover polltime interface seconds
 

装置のポーリング間隔を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover polltime seconds
 

装置のホールド間隔を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover holdtime seconds
 

デフォルトの設定は次のとおりです。

インターフェイスの poll time は 15 秒です。

装置の poll time は 1 秒です。

poll time を指定し、 holdtime キーワードでホールド間隔を指定しなかった場合、 holdtime の間隔は poll time の 3 倍になります(最小値は 3 秒)。 holdtime キーワードでホールド間隔を指定する場合は、少なくとも poll time の 3 倍にする必要があります。 clear configure failover コマンドを入力すると、ホールド間隔は 15 秒になります。


) 装置のポーリング タイムの 3 倍未満の値を holdtime の値として入力することはできません。ポーリング間隔を短くすると、FWSM で障害を検出し、フェールオーバーをトリガーする速度が速くなります。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要な切り替えが発生する可能性があります。


フェールオーバー基準の設定

デフォルトでは、モニタ対象インターフェイスの障害が 50% になるとフェールオーバーが実行されます。インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

デフォルトのフェールオーバー条件を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover interface-policy num[%]
 

インターフェイスの具体的な数を指定するときは、 num 引数に 1 ~ 250 を設定できます。インターフェイスの割合を指定するときは、 num 引数に 1 ~ 100 を設定できます。

アクティブ/アクティブ フェールオーバーの使用

ここでは、アクティブ/アクティブ フェールオーバーの設定方法について説明します。

ここでは、次の内容について説明します。

「前提条件」

「アクティブ/アクティブ フェールオーバーの設定」

「オプションのアクティブ/アクティブ フェールオーバー設定値の設定」

一般的なフェールオーバーの設定例については、「フェールオーバーの設定例」を参照してください。

前提条件

作業を開始する前に、次のことを確認します。

両装置とも正規のライセンスを持っていること。

両装置ともマルチコンテキスト モードであること。セカンダリ ユニット上でセキュリティ コンテキストのファイアウォール モードを設定する必要はありません。フェールオーバー リンクおよびステート リンクはシステム コンテキスト内に常時設定されているためです。セカンダリ ユニットは、プライマリ ユニットからセキュリティ コンテキスト コンフィギュレーションを取得します。


mode コマンドはセカンダリ ユニットには複製されません。


アクティブ/アクティブ フェールオーバーの設定

ここでは、アクティブ/アクティブ フェールオーバーの設定方法について説明します。プライマリ ユニットから実行コンフィギュレーションを取得する前にフェールオーバー リンクを認識するように、セカンダリ ユニットを設定する必要があります。

ここでは、次の内容について説明します。

「プライマリ ユニットの設定」

「セカンダリ ユニットの設定」

プライマリ ユニットの設定

アクティブ/アクティブ フェールオーバーの設定内のプライマリ ユニットを設定する手順は、次のとおりです。


ステップ 1 各インターフェイス(ルーテッド モード)および各管理アドレス(トランスペアレント モード)のアクティブ IP アドレスとスタンバイ IP アドレスをまだ設定していない場合は、設定します。スタンバイ IP アドレスは、現在スタンバイ ユニットである FWSM で使用されます。この IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。


) フェールオーバー リンクまたはステート リンク(ステートフル フェールオーバーを使用する予定の場合)の IP アドレスは設定しないでください。


hostname(config-if)# ip address active_addr netmask standby standby_addr
 

) マルチコンテキスト モードでは、各コンテキスト内でインターフェイス アドレスを設定する必要があります。changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/context(config-if)# に変わります。ここで、context は、現在のコンテキスト名です。


ステップ 2 システム実行スペースで基本フェールオーバー パラメータを設定します。

a. 装置をプライマリ ユニットとして指定します。

hostname(config)# failover lan unit primary
 

b. フェールオーバー リンクを指定します。

hostname(config)# failover lan interface if_name vlan vlan
 

if_name 引数は、 vlan 引数で指定されたインターフェイスに論理名を割り当てます。このインターフェイスはその他の目的では使用しないでください(ステート リンクを除く(任意))。

c. フェールオーバー リンクのアクティブ IP アドレスとスタンバイ IP アドレスを指定します。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ IP アドレスのサブネット マスクを特定する必要はありません。フェールオーバー リンクの IP アドレスは、フェールオーバー実行後も変更されません。アクティブ IP アドレスは、常にプライマリ ユニットにあります。スタンバイ IP アドレスは、セカンダリ ユニットにあります。

ステップ 3 (任意)ステートフル フェールオーバーをイネーブルにするには、ステート リンクを設定します。ステート リンクは未使用のインターフェイス上で設定する必要があります。

a. ステート リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name [vlan vlan]
 

if_name 引数は、 vlan 引数で指定されたインターフェイスに論理名を割り当てます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。


) ステート リンクがフェールオーバー リンクを使用する場合、if_name 引数を指定するだけで済みます。


b. アクティブ IP アドレスとスタンバイ IP アドレスをステート リンクに割り当てます。


) ステート リンクがフェールオーバー リンクを使用する場合、この手順は省略します。すでにフェールオーバー リンクのアクティブ IP アドレスとスタンバイ IP アドレスを指定しているためです。


hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステート リンクの IP アドレスは、フェールオーバー実行後も変更されません。アクティブ IP アドレスは、常にプライマリ ユニットにあります。スタンバイ IP アドレスは、セカンダリ ユニットにあります。

ステップ 4 フェールオーバー グループを設定します。最大 2 つのフェールオーバー グループを作成できます。 failover group コマンドは、指定されたフェールオーバー グループが存在しない場合はこれを作成し、フェールオーバー グループ コンフィギュレーション モードに移行します。

各フェールオーバー グループについて、 primary または secondary コマンドを使用して、そのフェールオーバー グループでのプライマリ/セカンダリのプリファレンスを指定する必要があります。同じプリファレンスを両方のフェールオーバー グループに割り当てることができます。ロード バランシング設定の場合は、各フェールオーバー グループに異なるプリファレンスを割り当てる必要があります。

次に、フェールオーバー グループ 1 にプライマリ プリファレンスを割り当て、フェールオーバー グループ 2 にセカンダリ プリファレンスを割り当てる例を示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# exit
 

ステップ 5 コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用して、各コンテキストをフェールオーバー グループに割り当てます。

次のコマンドを入力して、各コンテキストをフェールオーバー グループに割り当てます。

hostname(config)# context context_name
hostname(config-context)# join-failover-group {1 | 2}
 

ステップ 6 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

ステップ 7 インターフェイス上のモニタリングをイネーブルにするには、コンテキストに切り替えて、次のコマンドを入力します。

hostname(config)# changeto context context_name
hostname(config)# monitor-interface interface_name
 

FWSM 上(すべてのコンテキスト全体)でモニタできるインターフェイスの最大数は 250 です。


 

セカンダリ ユニットの設定

フェールオーバー リンクを認識するには、セカンダリ ユニットを設定する必要があります。これにより、セカンダリ ユニットはプライマリ ユニットと通信し、プライマリ ユニットから実行コンフィギュレーションを取得することができます。

アクティブ/アクティブ フェールオーバー コンフィギュレーションのセカンダリ ユニットを設定する手順は、次のとおりです。


ステップ 1 フェールオーバー インターフェイスを定義します。プライマリ ユニットに使用した設定と同じ設定を使用します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name vlan vlan
 

if_name 引数は、 vlan 引数で指定されたインターフェイスに論理名を割り当てます。

b. アクティブ IP アドレスとスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) このコマンドは、フェールオーバー インターフェイスの設定時にプライマリ ユニットに入力したとおりに入力します。


スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステップ 2 (任意)この装置をセカンダリ ユニットとして指定します。

hostname(config)# failover lan unit secondary
 

) すでに設定してある場合を除き、デフォルトでは装置はセカンダリ ユニットとして指定されるため、この手順は任意となります。


ステップ 3 (任意)プライマリおよびセカンダリ FWSM に異なるホスト名を指定して、両装置に割り当てられるデフォルト ホスト名「FWSM」と置き換えます。

hostname(config)# hostname primary-hostname secondary secondary-hostname
 

ステップ 4 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ ユニットからスタンバイ ユニットに送信されます。設定を同期化すると、アクティブ ユニットのコンソールに「 Beginning configuration replication: Sending to mate 」および「 End Configuration Replication to mate 」というメッセージが表示されます。

ステップ 5 実行コンフィギュレーションで複製が完了したら、次のコマンドを入力して、設定をフラッシュ メモリに保存します。

hostname(config)# write memory
 

ステップ 6 必要に応じて、プライマリ ユニットでアクティブなフェールオーバー グループすべてを強制的にセカンダリ ユニットでアクティブ状態にします。フェールオーバー グループをセカンダリ ユニット上で強制的にアクティブにするには、プライマリ ユニットのシステム実行スペースで次のコマンドを入力します。

hostname# no failover active group group_id
 

group_id 引数には、セカンダリ ユニット上でアクティブにするグループを指定します。


 

オプションのアクティブ/アクティブ フェールオーバー設定値の設定

次のオプションのアクティブ/アクティブ フェールオーバー設定値は、最初にフェールオーバーを設定するときでも、フェールオーバーがすでに設定された後でも設定できます。特に指定のない限り、コマンドは、フェールオーバー グループ 1 がアクティブ状態の装置で入力する必要があります。

ここでは、次の内容について説明します。

「フェールオーバー グループ プリエンプションの設定」

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイスおよび装置のポーリング間隔の設定」

「フェールオーバー基準の設定」

フェールオーバー グループ プリエンプションの設定

プライマリまたはセカンダリのプライオリティをフェールオーバー グループに割り当てると、両方の装置が同時にブートされるときに、フェールオーバー グループがどの装置上でアクティブになるかが指定されます。ただし、一方の装置がもう一方の装置よりも先に起動した場合、両方のフェールオーバー グループがその装置でアクティブになります。もう一方の装置がオンラインになると、この装置を優先するフェールオーバー グループはすべて、手動で強制しないか、フェールオーバーが発生するか、 preempt コマンドでフェールオーバー グループが設定されないかぎり、この装置上ではアクティブにはなりません。 preempt コマンドによって、フェールオーバー グループは、指定された装置が使用可能になると、その装置で自動的にアクティブになります。

指定されたフェールオーバー グループのプリエンプションを設定するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# preempt [delay]
 

オプションの delay 値に秒数を入力して、その時間フェールオーバー グループが現在の装置でアクティブ状態に維持され、その後に指定された装置で自動的にアクティブになるようにできます。

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続をステート情報に含めることができるようにするには、HTTP 複製をイネーブルにする必要があります。HTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。 replication http コマンドを使用すると、ステートフル フェールオーバーがイネーブルになっている場合に、フェールオーバー グループに HTTP ステート情報を複製させることができます。

フェールオーバー グループによる HTTP ステートの複製をイネーブルにするには、次のコマンドを入力します。このコマンドは、コマンドが設定されたフェールオーバー グループにだけ影響します。両方のフェールオーバー グループによる HTTP ステートの複製をイネーブルにするには、各グループに次のコマンドを入力します。次のコマンドは、システム実行スペースで入力する必要があります。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# replication http
 

インターフェイスおよび装置のポーリング間隔の設定

フェールオーバー グループのインターフェイスをヘルス モニタする際、hello メッセージの間隔を設定できます。インターフェイスのポーリング間隔を短くすると、フェールオーバーを速く実行できますが、システム リソースの消費量が大きくなります。

インターフェイスのデフォルトのポーリング時間を変更するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# polltime interface seconds
 

装置のポーリング間隔では、ピア装置の動作状態を判断するために、フェールオーバー リンクで送信する hello メッセージの間隔を指定します。装置のポーリング間隔を短くすると、装置の障害をより速く検出できますが、システム リソースの消費量が大きくなります。装置のポーリング間隔を変更するには、グローバル コンフィギュレーション モードでシステム実行スペースに次のコマンドを入力します。

hostname(config)# failover polltime seconds
 

フェールオーバー基準の設定

デフォルトでは、モニタ対象インターフェイスの障害が 50% になるとフェールオーバーが実行されます。インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。フェールオーバー基準は、フェールオーバー グループごとに指定されます。

指定されたフェールオーバー グループのデフォルト フェールオーバー基準を変更するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# interface-policy num[%]
 

インターフェイスの具体的な数を指定するときは、 num 引数に 1 ~ 250 を設定できます。インターフェイスの割合を指定するときは、 num 引数に 1 ~ 100 を設定できます。

フェールオーバー通信の認証/暗号化の設定

共有秘密キーまたは 16 進数キーを指定することで、フェールオーバー ピア間の通信の暗号化および認証を実行できます。


注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しない限り、クリア テキストで送信されます。FWSM を使用して VPN トンネルを終端する場合、この情報には任意のユーザ名、パスワードおよびトンネルの確立に使用した事前共有キーが含まれます。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクが生じる可能性があります。FWSM を使用して VPN トンネルを終端している場合、フェールオーバー通信をフェールオーバー キーでセキュリティ保護することを推奨します。

アクティブ/スタンバイ フェールオーバー ペアのアクティブ ユニット上、またはアクティブ/アクティブ フェールオーバー ペア内のアクティブ ステートのフェールオーバー グループ 1 を持つ装置上で、次のコマンドを入力します。

hostname(config)# failover key {secret | hex key}
 

secret 引数は、暗号キーの生成に使用する共有秘密キーを指定します。有効な値の範囲は 1 ~ 63 文字です。数字、文字、または句読点の任意の組み合わせを使用できます。 hex key 引数で、16 進暗号キーを指定します。 キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。


) フェールオーバー キーが既存のフェールオーバーの設定のために、ピア装置にクリア テキストで複製されないようにするには、アクティブ ユニット(または、アクティブ ステートのフェールオーバー グループ 1 を持つ装置のシステム実行スペース)でフェールオーバーをディセーブルにして、両方の装置にフェールオーバー キーを入力してから、フェールオーバーを再びイネーブルにします。フェールオーバーが再びイネーブルになると、フェールオーバー通信はフェールオーバー キーで暗号化されます。


新しいフェールオーバーの設定では、 failover key コマンドが初期フェールオーバー ペアの設定の一部でなければなりません。

フェールオーバー設定の確認

ここでは、フェールオーバーの設定を確認する手順について説明します。ここでは、次の内容について説明します。

「フェールオーバー ステータスの表示」

「モニタ対象インターフェイスの表示」

「フェールオーバーの設定の表示」

「フェールオーバー機能のテスト」

フェールオーバー ステータスの表示

ここでは、フェールオーバー ステータスを確認する方法について説明します。各装置で show failover コマンドを入力してフェールオーバー ステータスを確認できます。表示される情報は、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーのどちらを使用しているかによって異なります。

ここでは、次の内容について説明します。

「アクティブ/スタンバイのフェールオーバー ステータスの表示」

「アクティブ/アクティブのフェールオーバー ステータスの表示」

アクティブ/スタンバイのフェールオーバー ステータスの表示

次に、アクティブ/スタンバイ フェールオーバーの show failover コマンドの出力例を示します。 表 14-4 で、表示される情報について説明します。

hostname# show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: fover Vlan 100(up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
Interface inside (10.130.9.3): Normal
Interface outside (10.132.9.3): Normal
Other host: Secondary - Standby Ready
Active time: 0 (sec)
Interface inside (10.130.9.4): Normal
Interface outside (10.132.9.4): Normal
 
Stateful Failover Logical Update Statistics
Link : fover Vlan100 (up)
Stateful Obj xmit xerr rcv rerr
General 1950 0 1733 0
sys cmd 1733 0 1733 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 6 0 0 0
UDP conn 0 0 0 0
ARP tbl 106 0 0 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 1733
Xmit Q: 0 2 15225
 

マルチコンテキスト モードでは、セキュリティ コンテキストで show failover コマンドを使用すると、そのコンテキストのフェールオーバー情報が表示されます。この情報は、シングルコンテキスト モードでこのコマンドを使用した場合に表示される情報とほぼ同じです。装置のアクティブ/スタンバイ ステータスではなく、コンテキストのアクティブ/スタンバイ ステータスが表示されます。 表 14-4 で、表示される情報について説明します。

 
Failover On
Last Failover at: 04:03:11 UTC Jan 4 2003
This context: Negotiation
Active time: 1222 (sec)
Interface outside (192.168.5.121): Normal
Interface inside (192.168.0.1): Normal
Peer context: Not Detected
Active time: 0 (sec)
Interface outside (192.168.5.131): Normal
Interface inside (192.168.0.11): Normal
 
Stateful Failover Logical Update Statistics
Status: Configured.
Stateful Obj xmit xerr rcv rerr
RPC services 0 0 0 0
TCP conn 99 0 0 0
UDP conn 0 0 0 0
ARP tbl 22 0 0 0
Xlate_Timeout 0 0 0 0
GTP PDP 0 0 0 0
GTP PDPMCB 0 0 0 0
 

 

表 14-4 show failover コマンドの出力の説明

フィールド
オプション

Failover

On

Off

Failover Unit

プライマリまたはセカンダリ

Failover LAN Interface

フェールオーバー リンク名を表示します。

Unit Poll frequency

ピア装置に hello メッセージを送信する間隔(秒)、およびピアの障害を宣言するまでにピア装置がフェールオーバー リンク上で hello メッセージを受信する時間(秒)を指定します。

Interface Poll frequency

n

failover polltime interface コマンドで設定した秒数が表示されます。デフォルトは 15 秒です。

Interface Policy

フェールオーバーをトリガーするために必要な、障害インターフェイスの数または比率を表示します。

Monitored Interfaces

モニタ可能な最大インターフェイス数のうち、モニタ対象のインターフェイス数を表示します。

failover replication http

ステータス フェールオーバーに対して HTTP ステートの複製がイネーブルかどうかを示します。

Last Failover at

最終フェールオーバー日時を次の形式で示します。

hh : mm : ss UTC DayName Month Day yyyy

UTC(協定世界時)はGMT(グリニッジ標準時)に相当します。

This host:

Other host:

各ホストについて、次の情報が表示されます。

Primary(プライマリ)または Secondary(セカンダリ)

Active

Standby

Acitive time

n (秒)

装置がアクティブな時間。累積時間なので、スタンバイ ユニットが以前にアクティブだった場合、その時間が表示されます。

Interface name ( n . n . n . n ):

各インターフェイスについて、装置上で現在使用されている IP アドレスと、次のいずれかの状態が表示されます。

Failed:インターフェイスに障害が発生しています。

No Link:インターフェイス ライン プロトコルがダウンしています。

Normal:インターフェイスは正常に動作しています。

Link Down:インターフェイスは管理者によって明示的に閉じられています。

Unknown:FWSM はこのインターフェイスのステータスを判別できません。

Waiting:他の装置上のネットワーク インターフェイスのモニタリングは、まだ開始されていません。

Stateful Failover Logical Update Statistics

ステートフル フェールオーバー機能の関連フィールドが表示されます。Link フィールドにインターフェイス名が示されている場合、ステートフル フェールオーバーの統計情報が表示されます。

Link

interface_name :ステートフル フェールオーバー リンクに使用されているインターフェイスです。

Unconfigured:ステートフル フェールオーバーが使用されていません。

up:インターフェイスは開かれて機能しています。

down:インターフェイスは管理者によって明示的に閉じられているか、物理的にダウンしています。

failed:インターフェイスに障害が発生しているため、ステートフル データは転送されません。

Stateful Obj

各フィールド タイプに、次の統計情報が表示されます。これらは 2 つの装置間で送信されたステート情報パケット数のカウンタです。必ずしも装置を通過するアクティブな接続が表示されるわけではありません。

xmit:他方の装置への送信パケット数

xerr:他方の装置へのパケット送信中に発生したエラー数

rcv:受信パケット数

rerr:他方の装置からのパケット受信中に発生したエラー数

General

すべてのステートフル オブジェクトの合計

sys cmd

論理更新システム コマンド:LOGIN、Stay Alive など

up time

アクティブ ユニットからスタンバイ ユニットに渡される動作時間

RPC services

リモート プロシージャ コールの接続情報

TCP conn

TCP 接続情報

UDP conn

動的な UDP 接続情報

ARP tbl

動的な ARP テーブル情報

L2BRIDGE tbl

レイヤ 2 ブリッジ テーブル情報(トランスペアレント ファイアウォール モード限定)

Xlate_Timeout

接続変換のタイムアウト情報を示します。

VPN IKE upd

IKE 接続情報

VPN IPSEC upd

IPSec 接続情報

VPN CTCP upd

cTCP トンネル接続情報

VPN SDI upd

SDI AAA 接続情報

VPN DHCP upd

トンネル経由の DHCP 接続情報

GTP PDP

GTP PDP 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

GTP PDPMCB

GTP PDPMCB 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

Logical Update Queue Information

各フィールド タイプに、次の統計情報が使用されます。

Cur:現在のパケット数

Max:最大パケット数

Total:合計パケット数

Recv Q

受信キューのステータス

Xmit Q

送信キューのステータス

アクティブ/アクティブのフェールオーバー ステータスの表示

次に、アクティブ/アクティブ フェールオーバーの show failover コマンドの出力例を示します。 表 14-5 で、表示される情報について説明します。

hostname# show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: fover Vlan 100 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 4 seconds
Interface Policy 1
Monitored Interfaces 8 of 250 maximum
failover replication http
Group 1 last failover at: 13:40:18 UTC Dec 9 2004
Group 2 last failover at: 13:40:06 UTC Dec 9 2004
 
This host: Primary
Group 1 State: Active
Active time: 2896 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
 
admin Interface outside (10.132.8.5): Normal
admin Interface third (10.132.9.5): Normal
admin Interface inside (10.130.8.5): Normal
admin Interface fourth (10.130.9.5): Normal
ctx1 Interface outside (10.1.1.1): Normal
ctx1 Interface inside (10.2.2.1): Normal
ctx2 Interface outside (10.3.3.2): Normal
ctx2 Interface inside (10.4.4.2): Normal
 
Other host: Secondary
Group 1 State: Standby Ready
Active time: 190 (sec)
Group 2 State: Active
Active time: 3322 (sec)
 
admin Interface outside (10.132.8.6): Normal
admin Interface third (10.132.9.6): Normal
admin Interface inside (10.130.8.6): Normal
admin Interface fourth (10.130.9.6): Normal
ctx1 Interface outside (10.1.1.2): Normal
ctx1 Interface inside (10.2.2.2): Normal
ctx2 Interface outside (10.3.3.1): Normal
ctx2 Interface inside (10.4.4.1): Normal
 
Stateful Failover Logical Update Statistics
Link : fover Vlan100 (up)
Stateful Obj xmit xerr rcv rerr
General 1973 0 1895 0
sys cmd 380 0 380 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1435 0 1450 0
UDP conn 0 0 0 0
ARP tbl 124 0 65 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 1895
Xmit Q: 0 0 1940
 

次に、アクティブ/アクティブ フェールオーバーの show failover group コマンドの出力例を示します。表示される情報は、 show failover コマンドの場合と似ていますが、指定されたグループに対象が限定されます。 表 14-5 で、表示される情報について説明します。

 
hostname# show failover group 1
 
Last Failover at: 04:09:59 UTC Jan 4 2005
 
This host: Secondary
State: Active
Active time: 186 (sec)
 
admin Interface outside (192.168.5.121): Normal
admin Interface inside (192.168.0.1): Normal
 
 
Other host: Primary
State: Standby
Active time: 0 (sec)
 
admin Interface outside (192.168.5.131): Normal
admin Interface inside (192.168.0.11): Normal
 
Stateful Failover Logical Update Statistics
Status: Configured.
RPC services 0 0 0 0
TCP conn 33 0 0 0
UDP conn 0 0 0 0
ARP tbl 12 0 0 0
Xlate_Timeout 0 0 0 0
GTP PDP 0 0 0 0
GTP PDPMCB 0 0 0 0
 

 

表 14-5 show failover コマンドの出力の説明

フィールド
オプション

Failover

On

Off

Failover Unit

プライマリまたはセカンダリ

Failover LAN Interface

フェールオーバー リンク名を表示します。

Unit Poll frequency

ピア装置に hello メッセージを送信する間隔(秒)、およびピアの障害を宣言するまでにピア装置がフェールオーバー リンク上で hello メッセージを受信する時間(秒)を指定します。

Interface Poll frequency

n

failover polltime interface コマンドで設定した秒数が表示されます。デフォルトは 15 秒です。

Interface Policy

フェールオーバーをトリガーするために必要な、障害インターフェイスの数または比率を表示します。

Monitored Interfaces

モニタ可能な最大インターフェイス数のうち、モニタ対象のインターフェイス数を表示します。

Group 1 Last Failover at:

Group 2 Last Failover at:

各グループの最終フェールオーバー日時を次の形式で示します。

hh : mm : ss UTC DayName Month Day yyyy

UTC(協定世界時)はGMT(グリニッジ標準時)に相当します。

This host:

Other host:

各ホストについて、次の情報が表示されます。

Role

Primary(プライマリ)または Secondary(セカンダリ)

System State

アクティブまたはスタンバイ準備完了

アクティブ時間(秒)

Group 1 State

Group 2 State

アクティブまたはスタンバイ準備完了

アクティブ時間(秒)

context Interface name ( n . n . n . n ):

各インターフェイスについて、装置上で現在使用されている IP アドレスと、次のいずれかの状態が表示されます。

Failed:インターフェイスに障害が発生しています。

No Link:インターフェイス ライン プロトコルがダウンしています。

Normal:インターフェイスは正常に動作しています。

Link Down:インターフェイスは管理者によって明示的に閉じられています。

Unknown:FWSM はこのインターフェイスのステータスを判別できません。

Waiting:他の装置上のネットワーク インターフェイスのモニタリングは、まだ開始されていません。

Stateful Failover Logical Update Statistics

ステートフル フェールオーバー機能の関連フィールドが表示されます。Link フィールドにインターフェイス名が示されている場合、ステートフル フェールオーバーの統計情報が表示されます。

Link

interface_name :ステートフル フェールオーバー リンクに使用されているインターフェイスです。

Unconfigured:ステートフル フェールオーバーが使用されていません。

up:インターフェイスは開かれて機能しています。

down:インターフェイスは管理者によって明示的に閉じられているか、物理的にダウンしています。

failed:インターフェイスに障害が発生しているため、ステートフル データは転送されません。

Stateful Obj

各フィールド タイプに、次の統計情報が使用されます。これらは 2 つの装置間で送信されたステート情報パケット数のカウンタです。必ずしも装置を通過するアクティブな接続が表示されるわけではありません。

xmit:他方の装置への送信パケット数

xerr:他方の装置へのパケット送信中に発生したエラー数

rcv:受信パケット数

rerr:他方の装置からのパケット受信中に発生したエラー数

General

すべてのステートフル オブジェクトの合計

sys cmd

論理更新システム コマンド:LOGIN、Stay Alive など

up time

アクティブ ユニットからスタンバイ ユニットに渡される動作時間

RPC services

リモート プロシージャ コールの接続情報

TCP conn

TCP 接続情報

UDP conn

動的な UDP 接続情報

ARP tbl

動的な ARP テーブル情報

L2BRIDGE tbl

レイヤ 2 ブリッジ テーブル情報(トランスペアレント ファイアウォール モード限定)

Xlate_Timeout

接続変換のタイムアウト情報を示します。

VPN IKE upd

IKE 接続情報

VPN IPSEC upd

IPSec 接続情報

VPN CTCP upd

cTCP トンネル接続情報

VPN SDI upd

SDI AAA 接続情報

VPN DHCP upd

トンネル経由の DHCP 接続情報

GTP PDP

GTP PDP 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

GTP PDPMCB

GTP PDPMCB 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

Logical Update Queue Information

各フィールド タイプに、次の統計情報が使用されます。

Cur:現在のパケット数

Max:最大パケット数

Total:合計パケット数

Recv Q

受信キューのステータス

Xmit Q

送信キューのステータス

モニタ対象インターフェイスの表示

モニタ対象インターフェイスのステータスを表示するには、次のコマンドを入力します。シングルコンテキスト モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。マルチコンテキスト モードでは、このコマンドをコンテキスト内で入力します。

primary/context(config)# show monitor-interface
 

次に例を示します。

hostname/context(config)# show monitor-interface
This host: Primary - Active
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.91): Normal
Other host: Secondary - Standby
Interface outside (192.168.1.3): Normal
Interface inside (10.1.1.100): Normal

フェールオーバーの設定の表示

実行コンフィギュレーションのフェールオーバー コマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config failover
 

すべてのフェールオーバー コマンドが表示されます。マルチコンテキスト モードで実行する装置では、このコマンドをシステム実行スペースで入力します。 show running-config all failover コマンドを入力すると、実行コンフィギュレーションのフェールオーバー コマンドが表示され、デフォルト値を変更していないコマンドが含められます。

フェールオーバー機能のテスト

フェールオーバー機能をテストするには、次の手順を実行します。


ステップ 1 FTP などを使用して、異なるインターフェイス上のホスト間でファイルを送信し、アクティブ ユニットまたはフェールオーバー グループが予期したとおりにトラフィックを渡しているかどうかをテストします。

ステップ 2 次のコマンドを入力して、スタンバイ ユニットへのフェールオーバーを強制実行します。

アクティブ/スタンバイ フェールオーバーの場合、アクティブ ユニットに次のコマンドを入力します。

hostname(config)# no failover active
 

アクティブ/アクティブ フェールオーバーの場合、ホストに接続しているインターフェイスを含むフェールオーバー グループがアクティブになっている装置に次のコマンドを入力します。

hostname(config)# no failover active group group_id
 

 

ステップ 3 FTP を使用して、2 つの同じホスト間で別のファイルを送信します。

ステップ 4 テストが成功しなかった場合は、 show failover コマンドを入力してフェールオーバー ステータスを確認します。

ステップ 5 終了後、次のコマンドを入力して、装置またはフェールオーバー グループをアクティブ ステータスに戻すことができます。

アクティブ/スタンバイ フェールオーバーの場合、アクティブ ユニットに次のコマンドを入力します。

hostname(config)# failover active
 

アクティブ/アクティブ フェールオーバーの場合、ホストに接続しているインターフェイスを含むフェールオーバー グループがアクティブなユニットに次のコマンドを入力します

hostname(config)# failover active group group_id
 


 

フェールオーバーの制御とモニタ

ここでは、フェールオーバーを制御およびモニタする方法について説明します。ここでは、次の内容について説明します。

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「設定の同期化のディセーブル化」

「障害が発生した装置またはフェールオーバー グループの復元」

「フェールオーバー動作のモニタ」

フェールオーバーの強制実行

スタンバイ ユニットまたはスタンバイ フェールオーバー グループを強制的にアクティブにするには、次のいずれかのコマンドを入力します。

アクティブ/スタンバイ フェールオーバーの場合:

次のコマンドをスタンバイ ユニットに入力します。

hostname# failover active
 

または、次のコマンドをアクティブ ユニットに入力します。

hostname# no failover active
 

アクティブ/アクティブ フェールオーバーの場合:

次のコマンドを、スタンバイ ステートのフェールオーバー グループを持つ装置のシステム実行スペースに入力します。

hostname# failover active group group_id
 

または、フェールオーバー グループがアクティブ状態である装置のシステム実行スペースで、次のコマンドを入力します。

hostname# no failover active group group_id
 

システム実行スペースに次のコマンドを入力すると、すべてのフェールオーバー グループがアクティブになります。

hostname# failover active
 

フェールオーバーのディセーブル化

フェールオーバーをディセーブル化するには、次のコマンドを入力します。

hostname(config)# no failover
 

アクティブ/スタンバイ ペアでフェールオーバーをディセーブルにすると、再起動されるまで各装置のアクティブおよびスタンバイ状態が維持されます。たとえば、スタンバイ ユニットはスタンバイ モードのまま維持されるので、両方の装置はトラフィックの転送を開始しません。(フェールオーバーがディセーブル化されていても)スタンバイ ユニットをアクティブにするには、「フェールオーバーの強制実行」を参照してください。

アクティブ/アクティブ ペアのフェールオーバーをディセーブルにすると、どの装置を優先するように設定されたかに関係なく、現在アクティブなすべての装置上で、フェールオーバー グループはアクティブ ステートのままになります。 no failover コマンドは、システム実行スペースに入力する必要があります。

設定の同期化のディセーブル化

FWSM を複雑な設定にアップグレードすると、管理アプリケーションの接続が失われることがあります。このような場合には、スタンバイ FWSM に、不完全な設定ファイルが適用されます。設定の自動同期化をディセーブルに設定しておけば、スタンバイ FWSM に不完全な設定が適用されるのを防止できます。ソフトウェア イメージをアップグレードする場合、またはアクティブ FWSM の設定を変更する場合には、スタンバイ FWSM に完全なコンフィギュレーション ファイルが同期化されるように、設定の同期化をディセーブルにする必要があります。コンフィギュレーションが完了したことを確認したあと、設定の同期化を再びイネーブルに設定します。

設定の同期化をディセーブルにするには、次のコマンドを入力します。

hostname(config)# failover suspend-config-sync
 

設定の同期化を再びイネーブルにするには、このコマンドの no 形式を使用します。

障害が発生した装置またはフェールオーバー グループの復元

障害が発生した装置を障害のない状態に復元するには、次のコマンドを入力します。

hostname(config)# failover reset
 

障害が発生したアクティブ/アクティブ フェールオーバー グループを障害のない状態に復元するには、次のコマンドを入力します。

hostname(config)# failover reset group group_id
 

障害が発生した装置またはグループを障害前のステートに復元しても、自動的にアクティブにはなりません。復元された装置またはグループは、フェールオーバー(強制実行または自然実行)によってアクティブにされるまで、スタンバイ ステートのままになります。 preempt コマンドで設定されたフェールオーバー グループは例外です。前にアクティブであった場合、フェールオーバー グループが preempt コマンドで設定されていて、優先装置上で障害が発生したのであれば、このフェールオーバー グループはアクティブになります。

フェールオーバー動作のモニタ

フェールオーバーが実行されると、両方の FWSM からシステム ログ メッセージが送信されます。ここでは、次の内容について説明します。

「フェールオーバー システム ログ メッセージ」

「デバッグ メッセージ」

「SNMP」

フェールオーバー システム ログ メッセージ

FWSM は、クリティカル状態を示すプライオリティ レベル 2 で、フェールオーバー関連のシステム ログ メッセージを多数生成します。これらのメッセージを表示するには、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module System Log Messages 』を参照し、ロギングをイネーブルにして、システム ログ メッセージの説明を参照してください。


) スイッチオーバーの過程では、フェールオーバーが論理的にシャットダウンされて、インターフェイスが開かれ、システム ログ メッセージ 411001 および 411002 が生成されます。これは通常のアクティビティです。


デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』を参照してください。


) CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステム パフォーマンスに大きく影響することがあります。このため、debug fover コマンドは、特定の問題に対するトラブルシューティングや、Cisco TAC とのトラブルシューティング セッションに限定して使用してください。


SNMP

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、ご使用の SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。詳細については、『 Catalyst 6500 Series Switch and Cisco 7600 Series Router Firewall Services Module Command Reference 』の snmp-server コマンドと logging コマンドを参照してください。

SNMP 応答の最大パケット サイズは 1400 まで増えたので、1 回のクエリーで複数の OID を簡単にポーリングできます。