Cisco ASA シリーズ CLI コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、ASA 5580、ASA5585-X、および ASA サービス モジュール用ソフトウェア バージョン 9.0
ASA のクラスタの設定
ASA のクラスタの設定
発行日;2013/04/17 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 27MB) | フィードバック

目次

ASA のクラスタの設定

ASA クラスタリングに関する情報

ASA クラスタをネットワークに適合させる方法

パフォーマンス スケーリング係数

クラスタ メンバ

ブートストラップ コンフィギュレーション

マスターおよびスレーブ ユニットの役割

マスター ユニット選定

新しい接続の所有権

ASA クラスタのインターフェイス

インターフェイス タイプ

インターフェイス タイプ モード

クラスタ制御リンク

クラスタ制御リンク トラフィックの概要

クラスタ制御リンク ネットワーク

クラスタ制御リンクのサイジング

クラスタ制御リンクの冗長性

クラスタ制御リンクの障害

ASA のクラスタ内のハイ アベイラビリティ

ユニットのヘルス モニタリング

インターフェイスのモニタ

ユニットまたはインターフェイスの障害

データ パス接続状態の複製

コンフィギュレーションの複製

ASA クラスタ管理

管理ネットワーク

管理インターフェイス

マスター ユニット管理と スレーブ ユニット管理の違い

RSA キー複製

ASDM 接続証明書 IP アドレス不一致

ロード バランシングの方式

スパンド EtherChannel(推奨)

ポリシーベース ルーティング(ルーテッド モードのみ)

等コスト マルチパス ルーティング(ルーテッド モードのみ)

ASA クラスタが接続を管理する方法

接続のロール

サンプル データ フロー

新しい接続のクラスタ全体での再分散

ASA の機能とクラスタリング

サポートされていない機能

中央集中型機能

個々のユニットに適用される機能

ダイナミック ルーティング

マルチキャスト ルーティング

NAT

ネットワーク アクセス用の AAA

syslog および NetFlow

SNMP

VPN

FTP

Cisco TrustSec

ASA クラスタリングのライセンス要件

ASA クラスタリングの前提条件

注意事項と制限事項

デフォルト設定

ASA クラスタリングの設定

ASA クラスタ コンフィギュレーションのタスク フロー

クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定

各ユニットでのクラスタ インターフェイス モードの設定

各ユニットでのクラスタ制御リンク インターフェイスのイネーブル化

マスター ユニットでのインターフェイスの設定

個別インターフェイスの設定(管理インターフェイスの場合に推奨)

スパンド EtherChannel の設定

ASA クラスタの追加または参加

ASA クラスタ メンバの管理

非アクティブ メンバになる

メンバの非アクティブ化

クラスタからの脱退

マスター ユニットの変更

クラスタ全体でのコマンドの実行

ASA クラスタのモニタ

モニタリングのコマンド

関連コマンド

ASA クラスタリングのコンフィギュレーション例

Firewall on a Stick

トラフィックの分離

冗長インターフェイス(PBR または ECMP)

バックアップ リンクを持つスパンド EtherChannel

ASA クラスタリングの機能履歴

ASA のクラスタの設定

クラスタリングを利用すると、複数の ASA をグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

この章の内容は、次のとおりです。

「ASA クラスタリングに関する情報」

「ASA クラスタリングのライセンス要件」

「ASA クラスタリングの前提条件」

「注意事項と制限事項」

「デフォルト設定」

「ASA クラスタリングの設定」

「ASA クラスタ メンバの管理」

「ASA クラスタのモニタ」

「ASA クラスタリングのコンフィギュレーション例」

「ASA クラスタリングの機能履歴」

ASA クラスタリングに関する情報

この項では、次のトピックについて取り上げます。

「ASA クラスタをネットワークに適合させる方法」

「パフォーマンス スケーリング係数」

「クラスタ メンバ」

「ASA クラスタのインターフェイス」

「クラスタ制御リンク」

「ASA のクラスタ内のハイ アベイラビリティ」

「コンフィギュレーションの複製」

「ASA クラスタ管理」

「ロード バランシングの方式」

「ASA クラスタが接続を管理する方法」

「ASA の機能とクラスタリング」

ASA クラスタをネットワークに適合させる方法

クラスタは、最大 8 台の ASA で構成され、これらは 1 つのユニットとして機能します。ASA をクラスタとして機能させるには、次のインフラストラクチャが必要です。

クラスタ内通信用の、隔離された高速バックプレーン ネットワーク。 クラスタ制御リンク と呼ばれます。「クラスタ制御リンク」を参照してください。

各 ASA への管理アクセス(コンフィギュレーションおよびモニタリングのため)。「ASA クラスタ管理」を参照してください。

クラスタをネットワーク内に配置するときは、クラスタが送受信するデータのロード バランシングを、アップストリームおよびダウンストリームのルータが次のいずれかの方法でできることが必要です。

スパンド EtherChannel(推奨):クラスタ内の複数のメンバのインターフェイスをグループ化して 1 つの EtherChannel とします。この EtherChannel がユニット間のロード バランシングを実行します。「スパンド EtherChannel(推奨)」を参照してください。

ポリシーベース ルーティング(ルーテッド モードのみ):アップストリームとダウンストリームのルータが、ルート マップと ACL を使用してユニット間のロード バランシングを実行します。「ポリシーベース ルーティング(ルーテッド モードのみ)」を参照してください。

等コスト マルチパス ルーティング(ルーテッド モードのみ):アップストリームとダウンストリームのルータが、等コストのスタティックまたはダイナミック ルートを使用してユニット間のロード バランシングを実行します。「等コスト マルチパス ルーティング(ルーテッド モードのみ)」を参照してください。

パフォーマンス スケーリング係数

複数のユニットを結合して 1 つのクラスタとしたときに、期待できるパフォーマンスの概算値は次のようになります。

合計スループットの 70%

最大接続数の 60%

接続数/秒の 50%

たとえば、スループットについては、ASA 5585-X と SSP-40 が処理できる実際のファイアウォール トラフィックは、単独動作時は約 10 Gbps となります。8 ユニットのクラスタでは、合計スループットの最大値は約 80 Gbps(8 ユニット x 10 Gbps)の 70%、つまり 56 Gbps となります。

ブートストラップ コンフィギュレーション

各デバイスで、最小限のブートストラップ コンフィギュレーション(クラスタ名、クラスタ制御リンク インターフェイスなどのクラスタ設定)を設定します。クラスタリングを最初にイネーブルにしたユニットが一般的には マスター ユニットとなります。以降のユニットに対してクラスタリングをイネーブルにすると、そのユニットは スレーブ としてクラスタに参加します。

マスターおよびスレーブ ユニットの役割

クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは、ブートストラップ コンフィギュレーション内のプライオリティ設定によって決まります。プライオリティは 1 ~ 100 の範囲内で設定され、1 が最高のプライオリティです。他のすべてのメンバはスレーブ ユニットです。一般的には、クラスタを作成した後で最初に追加したユニットがマスター ユニットとなります。これは単に、その時点でクラスタに存在する唯一のユニットであるからです。

すべてのコンフィギュレーション作業(ブートストラップ コンフィギュレーションを除く)は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。物理的資産(たとえばインターフェイス)の場合は、マスター ユニットのコンフィギュレーションがすべてのスレーブ ユニット上でミラーリングされます。たとえば、GigabitEthernet 0/1 を内部インターフェイスとして、GigabitEthernet 0/0 を外部インターフェイスとして設定した場合は、これらのインターフェイスはスレーブ ユニット上でも、内部および外部のインターフェイスとして使用されます。

機能によっては、クラスタ内でスケーリングしないものがあり、そのような機能についてはマスター ユニットがすべてのトラフィックを処理します。「中央集中型機能」を参照してください。

マスター ユニット選定

クラスタのメンバは、クラスタ制御リンクを介して通信してマスター ユニットを選定します。方法は次のとおりです。

1. ユニットに対してクラスタリングをイネーブルにしたとき(または、クラスタリングがイネーブル済みの状態でそのユニットを初めて起動したとき)に、そのユニットは選定要求を 3 秒間隔でブロードキャストします。

2. プライオリティの高い他のユニットがこの選定要求に応答します。プライオリティは 1 ~ 100 の範囲内で設定され、1 が最高のプライオリティです。

3. 45 秒経過しても、プライオリティの高い他のユニットからの応答を受信していない場合は、そのユニットがマスターになります。


) 最高のプライオリティを持つユニットが複数ある場合は、クラスタ ユニット名、次にシリアル番号を使用してマスターが決定されます。


4. 後からクラスタに参加したユニットのプライオリティの方が高い場合でも、そのユニットが自動的にマスター ユニットになることはありません。既存のマスター ユニットは常にマスターのままです。ただし、マスター ユニットが応答を停止すると、その時点で新しいマスター ユニットが選定されます。


) 特定のユニットを手動で強制的にマスターにすることができます。中央集中型機能については、マスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。中央集中型機能のリストについては、「中央集中型機能」を参照してください。


新しい接続の所有権

新しい接続がクラスタのメンバへのものである場合は、そのユニットがその接続の両方向のオーナーとなります。接続のパケットが別のユニットに到着した場合は、そのパケットはクラスタ制御リンクを介してオーナー ユニットに転送されます。最適なパフォーマンスを得るには、適切な外部ロード バランシングが必要です。1 つのフローの両方向が同じユニットに到着するとともに、フローがユニット間に均等に分散されるようにするためです。逆方向のフローが別のユニットに到着した場合は、元のユニットにリダイレクトされます。詳細については、「ロード バランシングの方式」を参照してください。

ASA クラスタのインターフェイス

たとえば、ASA 5585-X と SSP-60 を使用する場合は、データ インターフェイスはスパンド EtherChannel として設定することも、個別インターフェイスとして設定することもできます。1 つのクラスタ内のすべてのデータ インターフェイスのタイプが同一であることが必要です。

「インターフェイス タイプ」

「インターフェイス タイプ モード」

インターフェイス タイプ

スパンド EtherChannel

ユニットあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのユニットに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはインターフェイスではなくブリッジ グループに割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。「スパンド EtherChannel(推奨)」も参照してください。

 

個別インターフェイス(ルーテッド モードのみ)

個別インターフェイスは通常のルーテッド インターフェイスであり、それぞれが専用のローカル IP アドレスを持ちます。インターフェイス コンフィギュレーションはマスター ユニット上だけで行う必要があるため、このインターフェイス コンフィギュレーションの中で IP アドレス プールを設定して、このプールのアドレスをクラスタ メンバ(マスターを含む)のインターフェイスに使用させることができます。メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。メイン クラスタ IP アドレスは、マスター ユニットのセカンダリ IP アドレスです。ローカル IP アドレスが常にルーティングのプライマリ アドレスになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ただし、ロード バランシングを別途する必要があります(この場合はアップストリーム スイッチ上で)。ロードバランシングについては、「ロード バランシングの方式」を参照してください。

 

インターフェイス タイプ モード

デバイスを設定する前に、インターフェイス タイプを選択する必要があります。インターフェイス タイプ モードについては、次のガイドラインを参照してください。

管理専用インターフェイスはいつでも、個別インターフェイス(推奨)として設定できます(スパンド EtherChannel モードのときでも)。管理インターフェイスは、個別インターフェイスとすることができます(トランスペアレント ファイアウォール モードのときでも)。

スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミック ルーティングをイネーブルにできません。スタティック ルートを使用する必要があります。

マルチ コンテキスト モードでは、すべてのコンテキストに対して 1 つのインターフェイス タイプを選択する必要があります。たとえば、トランスペアレント モードとルーテッド モードのコンテキストが混在している場合は、すべてのコンテキストにスパンド EtherChannel モードを使用する必要があります。これが、トランスペアレント モードで許可される唯一のインターフェイス タイプであるからです。

クラスタ制御リンク

各ユニットの、少なくとも 1 つのハードウェア インターフェイスをクラスタ制御リンク専用とする必要があります。

「クラスタ制御リンク トラフィックの概要」

「クラスタ制御リンク ネットワーク」

「クラスタ制御リンクのサイジング」

「クラスタ制御リンクの冗長性」

「クラスタ制御リンクの障害」

クラスタ制御リンク トラフィックの概要

クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

制御トラフィックには次のものが含まれます。

マスター選定。(「クラスタ メンバ」を参照)。

コンフィギュレーションの複製 (「コンフィギュレーションの複製」を参照)。

ヘルス モニタリング。(「ユニットのヘルス モニタリング」を参照)。

データ トラフィックには次のものが含まれます。

ステート複製。(「データ パス接続状態の複製」を参照)。

接続所有権クエリーおよびデータ パケット転送。(「新しい接続のクラスタ全体での再分散」を参照)。

クラスタ制御リンク ネットワーク

各クラスタ制御リンクは、同じサブネット上の IP アドレスを持ちます。このサブネットは、他のすべてのトラフィックからは隔離し、ASA クラスタ制御リンク インターフェイスだけが含まれるようにしてください。

クラスタ制御リンクのサイジング

クラスタ制御リンクに割り当てる帯域幅は、通過トラフィック用に割り当てるのと同じ大きさにしてください。クラスタ制御リンクには、10 ギガビット イーサネット インターフェイスを使用することを推奨します。たとえば、ASA 5585-X と SSP-60 を使用する場合は、クラスタのユニットあたり最大 14 Gbps を通過させることができるので、クラスタ制御リンクに割り当てるインターフェイスも、約 14 Gbps の通過が可能となるようにしてください。この場合は、たとえば 10 ギガビット イーサネット インターフェイス 2 つを EtherChannel としてクラスタ制御リンクに使用し、残りのインターフェイスを必要に応じてデータ リンクに使用します。

クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。たとえば、状態アップデートは通過トラフィック量の最大 10% に及ぶことがあります(通過トラフィックの内容が、存続期間の短い TCP 接続のみの場合)。転送トラフィックの量は、ロードバランシングの有効性や、中央集中型機能へのトラフィックの多さによって異なります。たとえば、NAT 使用時は接続のロード バランシングが適切に行われなくなるため、すべてのリターン トラフィックが正しいユニットに到達するように再分散が必要になります。また、ネットワーク アクセス用の AAA は中央集中型機能であるため、すべてのトラフィックがマスター ユニットに転送されます。メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。

クラスタ制御リンクの冗長性

十分な数の 10 ギガビット イーサネット インターフェイスがある場合は、EtherChannel をクラスタ制御リンクに使用することを推奨します。トラフィックを EtherChannel の複数のリンクで通過させることができ、同時に冗長化も達成できるからです。

次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の ASA インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。

 

クラスタ制御リンクの障害

クラスタ制御リンク回線プロトコルが特定のユニットでダウンした場合は、クラスタリングがディセーブルになります。データ インターフェイスはシャットダウンされます。影響を受ける各ユニットでクラスタリングが手動で再度イネーブル化される(クラスタ制御リンクを修復した後で)まで、シャットダウン状態が続きます。

ユニットのヘルス モニタリング

マスター ユニットは、各スレーブ ユニットをモニタするために、クラスタ制御リンクを介してキープアライブ メッセージを定期的に送信します(間隔は設定可能です)。各スレーブ ユニットは、同じメカニズムを使用してマスター ユニットをモニタします。

インターフェイスのモニタ

各ユニットは、使用中のすべてのハードウェア インターフェイスのリンク ステータスをモニタし、ステータス変更をマスター ユニットに報告します。

スパンド EtherChannel:クラスタ リンク集約制御プロトコル(cLACP)を使用します。各ユニットは、リンク ステータスおよび cLACP プロトコル メッセージをモニタして、ポートがまだ EtherChannel でアクティブであるかどうかを判断します。ステータスがマスター ユニットに報告されます。

個別インターフェイス(ルーテッド モードのみ):各ユニットが自身のインターフェイスを自己モニタし、インターフェイスのステータスをマスター ユニットに報告します。

ユニットまたはインターフェイスの障害

ヘルス モニタリングがイネーブルのときは、ユニットまたはそのインターフェイスで障害が発生するとそのユニットが削除されます。あるインターフェイスが、特定のユニット上では障害が発生したが、別のユニットではアクティブの場合は、そのユニットはクラスタから削除されます。

クラスタ内のユニットで障害が発生したときに、そのユニットでホスティングされている接続は他のユニットにシームレスに移管されます。トラフィック フローのステート情報は、クラスタ制御リンクを介して共有されます。

マスター ユニットで障害が発生した場合は、そのクラスタの他のメンバのうち、プライオリティが最高(番号が最小)のものがマスターになります。

データ パス接続状態の複製

どの接続にも、1 つのオーナーおよび少なくとも 1 つのバックアップ オーナーがクラスタ内にあります。バックアップ オーナーは、障害が発生しても接続を引き継ぎません。代わりに、TCP/UDP のステート情報を保存します。これは、障害発生時に接続が新しいオーナーにシームレスに移管されるようにするためです。

オーナーが使用不可能になった場合は、その接続からパケットを受け取る最初のユニット(ロード バランシングに基づく)がバックアップ オーナーに問い合わせて、関連するステート情報を取得し、これでそのユニットが新しいオーナーになることができます。

トラフィックの中には、TCP または UDP レイヤよりも上のステート情報を必要とするものがあります。このトラフィックに対するクラスタリング サポートの有無については、 表 7-1 参照してください。

 

表 7-1 クラスタ全体で複製される ASA の機能

トラフィック
状態のサポート
コメント

アップ タイム

Yes

システム アップ タイムをトラッキングします。

ARP テーブル

Yes

トランスペアレント モードのみ。

MAC アドレス テーブル

Yes

トランスペアレント モードのみ。

ユーザ アイデンティティ

Yes

AAA ルール(uauth)とアイデンティティ ファイアウォールが含まれます。

IPv6 ネイバー データベース

Yes

 

ダイナミック ルーティング

Yes

 

複数サイト ライセンス

No

 

SNMP エンジン ID

No

 

VPN

No

VPN セッションは、マスター ユニットで障害が発生すると切断されます。

コンフィギュレーションの複製

クラスタ内のすべてのユニットは、単一のコンフィギュレーションを共有します。最初のブートストラップ コンフィギュレーションを除き、コンフィギュレーション変更を加えることができるのはマスター ユニット上だけであり、変更は自動的にクラスタ内の他のすべてのユニットに複製されます。

管理ネットワーク

すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。

管理インターフェイス

管理インターフェイスについては、専用管理インターフェイスの 1 つを使用することを推奨します。管理インターフェイスは、個別インターフェイスとして設定することも(ルーテッド モードとトランスペアレント モードの両方)、スパンド EtherChannel インターフェイスとして設定することもできます。

管理用には、個別インターフェイスを使用することを推奨します(スパンド EtherChannel をデータ インターフェイスに使用している場合でも)。個別インターフェイスならば、必要に応じて各ユニットに直接接続できますが、スパンド EtherChannel インターフェイスでは、現在のマスター ユニットへのリモート接続しかできません。


) スパンド EtherChannel インターフェイス モードを使用しているときに、管理インターフェイスを個別インターフェイスとして設定する場合は、管理インターフェイスに対してダイナミック ルーティングをイネーブルにすることはできません。スタティック ルートを使用する必要があります。


個別インターフェイスの場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在のマスター ユニットに属します。インターフェイスごとに、管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。

たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。

発信方向の管理トラフィック、たとえば TFTP や syslog については、各ユニットはローカル IP アドレスを使用してサーバに接続します。これには、マスター ユニットも含まれます。

スパンド EtherChannel インターフェイスの場合は、IP アドレスは 1 つだけ設定でき、その IP アドレスは常にマスター ユニットに関連付けられます。EtherChannel インターフェイスを使用してスレーブ ユニットに直接接続することはできません。管理インターフェイスは個別インターフェイスとして設定することを推奨します。各ユニットに接続できるようにするためです。デバイス ローカル EtherChannel を管理に使用できます。

マスター ユニット管理と スレーブ ユニット管理の違い

ブートストラップ コンフィギュレーションを除き、すべての管理とモニタリングはマスター ユニットで実行できます。マスター ユニットから、すべてのユニットの実行時統計情報やリソース使用状況などのモニタリング情報を調べることができます。また、クラスタ内のすべてのユニットに対してコマンドを発行することや、コンソール メッセージをスレーブ ユニットからマスター ユニットに複製することもできます。

必要に応じて、スレーブ ユニットを直接モニタできます。マスター ユニットからでもできますが、ファイル管理をスレーブ ユニット上で実行できます(コンフィギュレーションのバックアップや、イメージの更新など)。次の機能は、マスター ユニットからは使用できません。

ユニットごとのクラスタ固有統計情報のモニタリング。

ユニットごとの Syslog モニタリング。

RSA キー複製

マスター ユニット上で RSA キーを作成すると、そのキーはすべてのスレーブ ユニットに複製されます。メイン クラスタ IP アドレスへの SSH セッションがある場合に、マスター ユニットで障害が発生すると接続が切断されます。新しいマスター ユニットは、SSH 接続に対して同じキーを使用するので、新しいマスター ユニットに再接続するときに、キャッシュ済みの SSH ホスト キーを更新する必要はありません。

ASDM 接続証明書 IP アドレス不一致

デフォルトでは、自己署名証明書は、ローカル IP アドレスに基づいて ASDM 接続に使用されます。ASDM を使用してメイン クラスタ IP アドレスに接続する場合は、IP アドレス不一致に関する警告メッセージが表示されます。これは、証明書で使用されているのがローカル IP アドレスであり、メイン クラスタ IP アドレスではないからです。このメッセージは無視して、ASDM 接続を確立できます。ただし、この種の警告を回避するには、新しい証明書を登録し、この中でメイン クラスタ IP アドレスと、IP アドレス プールからのすべてのローカル IP アドレスを指定します。この証明書を各クラスタ メンバに使用します。詳細については、を参照してください。

スパンド EtherChannel(推奨)

ユニットあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのユニットに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。

「スパンド EtherChannel の利点」

「最大スループットのガイドライン」

「ロード バランシング」

「EtherChannel の冗長性」

「VSS または vPC への接続」

スパンド EtherChannel の利点

EtherChannel 方式のロードバランシングは、次のような利点から、他の方式よりも推奨されます。

障害検出までの時間が短い。

コンバージェンス時間が短い。

コンフィギュレーションが容易である。

EtherChannel 全般(クラスタリングだけでなく)の詳細については、を参照してください。

最大スループットのガイドライン

最大スループットを実現するには、次のことを推奨します。

使用するロード バランシング ハッシュ アルゴリズムは「対称」であるようにします。つまり、どちらの方向からのパケットも同じハッシュを持たせて、スパンド EtherChannel 内の同じ ASA に送信します。送信元と宛先の IP アドレス(デフォルト)または送信元と宛先のポートをハッシュ アルゴリズムとして使用することを推奨します。

ASA をスイッチに接続するときは、同じタイプのラインカードを使用します。すべてのパケットに同じハッシュ アルゴリズムが適用されるようにするためです。

ロード バランシング

EtherChannel リンクは、独自のハッシュ アルゴリズムを使用して選択されます。この基になるのは、送信元または宛先 MAC アドレス、IP アドレス、TCP および UDP ポート番号、および VLAN 番号です。

EtherChannel 内のリンク数はロード バランシングに影響を及ぼします。詳細については、を参照してください。

対称ロード バランシングは常に可能とは限りません。NAT を設定する場合は、フォワード パケットとリターン パケットとで IP アドレスやポートが異なります。リターン トラフィックはハッシュに基づいて別のユニットに送信されるため、クラスタはほとんどのリターン トラフィックを正しいユニットにリダイレクトする必要があります。詳細については、「NAT」を参照してください。

EtherChannel の冗長性

EtherChannel には、冗長性機能が組み込まれています。これは、すべてのリンクの回線プロトコル ステータスをモニタします。リンクの 1 つで障害が発生すると、トラフィックは残りのリンク間で再分散されます。EtherChannel のすべてのリンクが特定のユニット上で停止したが、他方のユニットがまだアクティブである場合は、そのユニットはクラスタから削除されます。

VSS または vPC への接続

1 つの ASA につき複数のインターフェイスを、スパンド EtherChannel に入れることができます。1 つの ASA につき複数のインターフェイスが特に役立つのは、VSS または vPC の両方のスイッチに接続するときです。EtherChannel では、最大 16 個のインターフェイスのうち 8 個しかアクティブにできないことに注意してください。残りの 8 個のインターフェイスは、リンク障害に備えてスタンバイとなります。次の図には、4 ASA クラスタと 8 ASA クラスタがあり、どちらも EtherChannel のリンク数合計は 16 です。アクティブ リンクは実線で、非アクティブ リンクは点線で示しています。cLACP ロードバランシングは、EtherChannel のリンクのうち最良の 8 本を自動的に選択してアクティブにすることができます。つまり、cLACP は、リンク レベルでのロード バランシング実現に役立ちます。

 

ポリシーベース ルーティング(ルーテッド モードのみ)

個別インターフェイスを使用するときは、各 ASA インターフェイスが専用の IP アドレスと MAC アドレスを維持します。ルーテッド モードでのロード バランシング方法の 1 つが、ポリシーベース ルーティング(PBR)です。

この方法が推奨されるのは、すでに PBR を使用しており、既存のインフラストラクチャを活用したい場合です。この方法では、スパンド EtherChannel に比べて、調整のオプションが多くなる可能性があります。

PBR は、ルート マップおよび ACL に基づいて、ルーティングの決定を行います。管理者は、手動でトラフィックをクラスタ内のすべての ASA に分ける必要があります。PBR は静的であるため、常に最適なロード バランシング結果を実現できないこともあります。最高のパフォーマンスを達成するには、PBR ポリシーを設定するときに、同じ接続のフォワードとリターンのパケットが同じ物理的 ASA に送信されるように指定することを推奨します。たとえば、Cisco ルータがある場合は、冗長性を実現するには IOS PBR をオブジェクト トラッキングとともに使用します。IOS オブジェクト トラッキングは、ICMP ping を使用して各 ASA をモニタします。これで、PBR は、特定の ASA の到達可能性に基づいてルート マップをイネーブルまたはディセーブルにできます。詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtpbrtrk.html#wp1057830


) このロードバランシング方法を使用する場合は、デバイス ローカル EtherChannel を個別インターフェイスとして使用できます。


等コスト マルチパス ルーティング(ルーテッド モードのみ)

個別インターフェイスを使用するときは、各 ASA インターフェイスが専用の IP アドレスと MAC アドレスを維持します。ルーテッド モードでのロード バランシング方法の 1 つが、等コスト マルチパス(ECMP)ルーティングです。

この方法が推奨されるのは、すでに ECMP を使用しており、既存のインフラストラクチャを活用したい場合です。この方法では、スパンド EtherChannel に比べて、調整のオプションが多くなる可能性があります。

ECMP ルーティングでは、ルーティング メトリックが同値で最高である複数の「最適パス」を介してパケットを転送できます。EtherChannel のように、送信元および宛先の IP アドレスや送信元および宛先のポートのハッシュを使用してネクスト ホップの 1 つにパケットを送信できます。ECMP ルーティングにスタティック ルートを使用する場合は、ASA の障害発生時に問題が起きることがあります。ルートは引き続き使用されるため、障害が発生した ASA へのトラフィックが失われるからです。スタティック ルートを使用する場合は必ず、オブジェクト トラッキングなどのスタティック ルート モニタリング機能を使用してください。ダイナミック ルーティング プロトコルを使用してルートの追加と削除を行うことを推奨します。この場合は、ダイナミック ルーティングに参加するように各 ASA を設定する必要があります。


) このロードバランシング方法を使用する場合は、デバイス ローカル EtherChannel を個別インターフェイスとして使用できます。


接続のロール

ASA には次の 3 種類のロールがあり、各接続に対して定義されます。

オーナー:最初に接続を受信するユニット。オーナーは、TCP 状態を保持し、パケットを処理します。1 つの接続に対してオーナーは 1 つだけです。

ディレクタ:フォワーダからのオーナー ルックアップ要求を処理するユニット。また、オーナーが停止した場合はバックアップとなり、接続の状態を保持します。オーナーが新しい接続を受信すると、オーナーは、送信元/宛先 IP アドレスおよび TCP ポートのハッシュに基づいてディレクタを選択し、新しい接続を登録するためにメッセージをそのディレクタに送信します。パケットがオーナー以外のユニットに到着した場合は、そのユニットはどのユニットがオーナーかをディレクタに問い合わせます。これで、パケットを転送できるようになります。1 つの接続に対してディレクタは 1 つだけです。

フォワーダ:パケットをオーナーに転送するユニット。フォワーダが接続のパケットを受信したときに、その接続のオーナーが自分ではない場合は、フォワーダはディレクタにオーナーを問い合わせてから、そのオーナーへのフローを確立します。これは、この接続に関してフォワーダが受信するその他のパケット用です。ディレクタは、フォワーダにもなることができます。フォワーダが SYN-ACK パケットを受信した場合は、パケット内の SYN Cookie から直接オーナーを導出できるので、ディレクタに問い合わせる必要はありません(TCP シーケンスのランダム化をディセーブルにした場合は、SYN Cookie は使用されないので、ディレクタへの問い合わせが必要です)。存続期間が短いフロー(たとえば DNS や ICMP)の場合は、フォワーダは問い合わせの代わりにパケットを即座にディレクタに送信し、ディレクタがそのパケットをオーナーに送信します。1 つの接続に対して、複数のフォワーダが存在できます。最も効率的なスループットを実現できるのは、フォワーダが 1 つもなく、接続のすべてのパケットをオーナーが受信するという、優れたロードバランシング方法が使用されている場合です。

サンプル データ フロー

次の例は、新しい接続の確立を示します。

 

1. SYN パケットがクライアントから発信され、ASA の 1 つ(ロード バランシング方法に基づく)に配信されます。これがオーナーとなります。オーナーはフローを作成し、オーナー情報をエンコードして SYN Cookie を生成し、パケットをサーバに転送します。

2. SYN-ACK パケットがサーバから発信され、別の ASA(ロード バランシング方法に基づく)に配信されます。この ASA はフォワーダです。

3. フォワーダはこの接続を所有してはいないので、オーナー情報を SYN Cookie からデコードし、オーナーへの転送フローを作成し、SYN-ACK をオーナーに転送します。

4. オーナーはディレクタに状態アップデートを送信し、SYN-ACK をクライアントに転送します。

5. ディレクタは状態アップデートをオーナーから受信し、オーナーへのフローを作成し、オーナーと同様に TCP ステート情報を記録します。ディレクタは、この接続のバックアップ オーナーとしての役割を持ちます。

6. これ以降、フォワーダに配信されたパケットはすべて、オーナーに転送されます。

7. パケットがその他のユニットに配信された場合は、そのユニットはディレクタに問い合わせてオーナーを特定し、フローを確立します。

8. フローの状態が変化した場合は、状態アップデートがオーナーからディレクタに送信されます。

新しい接続のクラスタ全体での再分散

アップストリームまたはダウンストリーム ルータによるロード バランシングの結果として、フロー分散に偏りが生じた場合は、新しいフローを過負荷のユニットから他のユニットにリダイレクトするように設定できます。既存のフローは他のユニットには移動されません。

サポートされていない機能

これらの機能は、クラスタリングがイネーブルのときは設定できず、コマンドは拒否されます。

ユニファイド コミュニケーション

リモート アクセス VPN(SSL VPN および IPSec VPN)

次のアプリケーション インスペクション:

CTIQBE

GTP

H323、H225、および RAS

IPsec パススルー

MGCP

MMP

RTSP

SIP

SCCP(Skinny)

WAAS

WCCP

Botnet Traffic Filter

Auto Update Server

DHCP クライアント、サーバ、リレー、およびプロキシ

VPN ロード バランシング

フェールオーバー

ASA CX モジュール

中央集中型機能

次の機能は、マスター ユニット上だけでサポートされます。クラスタの場合もスケーリングされません。たとえば、8 ユニット(5585-X と SSP-60)から成るクラスタがあるとします。Other VPN ライセンスでは、1 台の ASA 5585-X と SSP-60 に対して許可される IPSec トンネルの最大数は 10,000 です。8 ユニット クラスタ全体で使用できるトンネル数は 10,000 までです。この機能はスケーリングしません。


) 中央集中型機能のトラフィックは、メンバ ユニットからマスター ユニットに、クラスタ制御リンクを介して転送されます。クラスタ制御リンク用に十分な帯域幅を確保するには、「クラスタ制御リンクのサイジング」を参照してください。

再分散機能(「新しい接続のクラスタ全体での再分散」を参照)を使用する場合は、中央集中型機能のトラフィックが中央集中型機能として分類される前に再分散が行われて、マスター以外のユニットに転送されることがあります。この場合は、トラフィックがマスター ユニットに送り返されます。

中央集中型機能については、マスター ユニットで障害が発生するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。


サイトツーサイト VPN

次のアプリケーション インスペクション:

DCERPC

NetBios

PPTP

RADIUS

RSH

SUNRPC

TFTP

XDMCP

ダイナミック ルーティング(スパンド EtherChannel モードのみ)

マルチキャスト ルーティング(個別インターフェイス モードのみ)

スタティック ルート モニタリング

IGMP マルチキャスト コントロール プレーン プロトコル処理(データ プレーン フォワーディングはクラスタ全体に分散されます)

PIM マルチキャスト コントロール プレーン プロトコル処理(データ プレーン フォワーディングはクラスタ全体に分散されます)

ネットワーク アクセスの認証および許可。アカウンティングは非集中型です。

フィルタリング サービス

個々のユニットに適用される機能

これらの機能は、クラスタ全体ではなく、個々の ASA ユニットに適用されます。

QoS:QoS ポリシーは、コンフィギュレーション複製の一部としてクラスタ全体で同期されます。ただし、ポリシーは、各ユニットに対して個別に適用されます。たとえば、出力に対してポリシングを設定する場合は、適合レートおよび適合バースト値は、特定の ASA から出て行くトラフィックに適用されます。8 ユニットから成るクラスタがあり、トラフィックが均等に分散している場合は、適合レートは実際にクラスタの レート の 8 倍になります。

脅威検出:脅威検出は、各ユニットに対して個別に機能します。たとえば、上位統計情報は、ユニット別です。たとえば、ポート スキャン検出が機能しないのは、スキャン トラフィックが全ユニット間で分散されるので、1 つのユニットがすべてのトラフィックを読み取ることはないからです。

リソース管理:マルチ コンテキスト モードでのリソース管理は、ローカル使用状況に基づいて各ユニットに個別に適用されます。

IPS モジュール:IPS モジュール間でのコンフィギュレーションの同期や状態の共有は行われません。IPS シグニチャによっては、IPS が複数の接続にわたって状態を保持することが必要になります。たとえば、ポート スキャン シグニチャが使用されるのは、同じ人物が同じサーバへの多数の接続を、それぞれ異なるポートを使用して開いていることを IPS モジュールが検出した場合です。クラスタリングでは、これらの接続は複数の ASA デバイス間で分散されます。これらのデバイスそれぞれに専用の IPS モジュールがあります。これらの IPS モジュールはステート情報を共有しないので、結果としてのポート スキャンをクラスタが検出できない場合があります。

スパンド EtherChannel モードでのダイナミック ルーティング

スパンド EtherChannel モードでは、ルーティング プロセスはマスター ユニット上だけで実行されます。ルートはマスター ユニットを介して学習され、スレーブに複製されます。ルーティング パケットがスレーブに到着した場合は、マスター ユニットにリダイレクトされます。

図 7-1 スパンド EtherChannel モードでのダイナミック ルーティング

 

スレーブ メンバがマスター ユニットからルートを学習した後は、各ユニットが個別に転送に関する判断を行います。

OSPF LSA データベースは、マスター ユニットからスレーブ ユニットに同期されません。マスター ユニットのスイッチオーバーが発生した場合は、隣接ルータが再起動を検出します。スイッチオーバーは透過的ではありません。OSPF プロセスが IP アドレスの 1 つをルータ ID として選択します 必須ではありませんが、スタティック ルータ ID を割り当てることができます。これで、同じルータ ID がクラスタ全体で使用されるようになります。

個別インターフェイス モードでのダイナミック ルーティング

個別インターフェイス モードでは、各ユニットがスタンドアロン ルータとしてルーティング プロトコルを実行します。ルートの学習は、各ユニットが個別に行います。

図 7-2 個別インターフェイス モードでのダイナミック ルーティング

 

上の図では、ルータ A はルータ B への等コスト パスが 4 本あることを学習します。パスはそれぞれ 1 つの ASA を通過します。ECMP を使用して、4 パス間でトラフィックのロード バランシングを行います。各 ASA は、外部ルータと通信するときに、それぞれ異なるルータ ID を選択します。

管理者は、各ユニットが別のルータ ID を使用できるように、ルータ ID のクラスタ プールを設定する必要があります。

スパンド EtherChannel モードでのマルチキャスト ルーティング

スパンド EtherChannel モードでは、ファースト パス転送が確立されるまでの間、マスター ユニットがすべてのマルチキャスト ルーティング パケットとデータ パケットを処理します。接続が確立された後は、各スレーブがマルチキャスト データ パケットを転送できます。

個別インターフェイス モードでのマルチキャスト ルーティング

個別インターフェイス モードでは、マルチキャストに関してユニットが個別に動作することはありません。データおよびルーティングのパケットはすべてマスター ユニットで処理されて転送されるので、パケット レプリケーションが回避されます。

NAT

NAT は、クラスタの全体的なスループットに影響を与えることがあります。着信および発信の NAT パケットが、クラスタ内のそれぞれ別の ASA に送信されることがあります。ロード バランシング アルゴリズムは IP アドレスとポートに依存していますが、NAT が使用されるときは、着信と発信とで、パケットの IP アドレスやポートが異なるからです。接続のオーナーではない ASA に到着したパケットは、クラスタ制御リンクを介してオーナーに転送されるので、大量のトラフィックがクラスタ制御リンク上で発生します。

それでもクラスタリングで NAT を使用する場合は、次のガイドラインを考慮してください。

プロキシ ARP なし:個別インターフェイスの場合は、マッピング アドレスについてプロキシ ARP 応答が送信されることはありません。これは、クラスタに存在しなくなった可能性のある ASA と隣接ルータとがピア関係を維持することを防ぐためです。アップストリーム ルータは、メイン クラスタ IP アドレスを指すマッピング アドレスについてはスタティック ルートまたは PBR とオブジェクト トラッキングを使用する必要があります。これは、スパンド EtherChannel の問題ではありません。クラスタ インターフェイスには関連付けられた IP アドレスが 1 つしかないためです。

個別インターフェイスのインターフェイス PAT なし:インターフェイス PAT は、個別インターフェイスではサポートされていません。

NAT プール アドレス分散:マスター ユニットがあらかじめ、アドレスをクラスタ全体で均等に分散させます。メンバが接続を受信したときに、そのメンバのアドレスが 1 つも残っていない場合は、接続はドロップされます(他のメンバにはまだ使用可能なアドレスがある場合でも)。最低でも、クラスタ内のユニットと同数の NAT アドレスが含まれていることを確認してください。各ユニットが確実に 1 つのアドレスを受け取るようにするためです。アドレス割り当てを表示するには、 show nat pool cluster コマンドを使用します。

ラウンドロビンなし:PAT プールのラウンドロビンは、クラスタリングではサポートされません。

マスター ユニットによって管理されるダイナミック NAT xlate:マスター ユニットが xlate テーブルを維持し、スレーブ ユニットに複製します。ダイナミック NAT を必要とする接続をスレーブ ユニットが受信したときに、その xlate がテーブル内にない場合は、スレーブはマスター ユニットに xlate を要求します。スレーブ ユニットが接続を所有します。

Per-session PAT 機能:クラスタリングに限りませんが、Per-session PAT 機能によって PAT のスケーラビリティが向上します。クラスタリングの場合は、各スレーブ ユニットが独自の PAT 接続を持てるようになります。対照的に、Multi-Session PAT 接続はマスター ユニットに転送する必要があり、マスター ユニットがオーナーとなります。デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。Multi-Session PAT を必要とするトラフィックについては(たとえば H.323、SIP、Skinny)、Per-Session PAT をディセーブルにできます。Per-session PAT の詳細については、を参照してください。

ネットワーク アクセス用の AAA

ネットワーク アクセス用の AAA は、認証、許可、アカウンティングの 3 つのコンポーネントで構成されます。認証とアカウンティングは、クラスタリング マスター上で中央集中型機能として実装されており、データ構造がクラスタ スレーブに複製されます。マスターが選定されたときは、確立済みの認証済みユーザおよびユーザに関連付けられた許可を引き続き中断なく運用するのに必要なすべての情報を、新しいマスターが保有します。ユーザ認証のアイドルおよび絶対タイムアウトは、マスター ユニット変更が発生したときも維持されます。

アカウンティングは、クラスタ内の分散型機能として実装されています。アカウンティングはフロー単位で実行されるので、フローを所有するクラスタ ユニットがアカウンティング開始と停止のメッセージを AAA サーバに送信します(フローに対するアカウンティングが設定されているとき)。

syslog および NetFlow

syslog:クラスタの各ユニットは自身の syslog メッセージを生成します。各ユニットの syslog メッセージ ヘッダー フィールドで使用されるデバイス ID を同一にするか、別にするかを設定できます。たとえば、ホスト名コンフィギュレーションはクラスタ内のすべてのユニットに複製されて共有されます。ホスト名をデバイス ID として使用するようにロギングを設定した場合は、どのユニットで生成された syslog メッセージも 1 つのユニットからのように見えます。クラスタ ブートストラップ コンフィギュレーションで割り当てられたローカル ユニット名をデバイス ID として使用するようにロギングを設定した場合は、syslog メッセージはそれぞれ別のユニットからのように見えます。を参照してください。

NetFlow:クラスタの各ユニットは自身の NetFlow ストリームを生成します。NetFlow コレクタは、各 ASA を独立した NetFlow エクスポータとしてのみ扱うことができます。

SNMP

SNMP エージェントは、個々の ASA を、そのローカル IP アドレスによってポーリングします。クラスタの統合データをポーリングすることはできません。

SNMP ポーリングには、メイン クラスタ IP アドレスではなく、常にローカル アドレスを使用してください。SNMP エージェントがメイン クラスタ IP アドレスをポーリングする場合は、新しいマスターが選定されたときに、新しいマスター ユニットのポーリングに失敗します。

VPN

サイトツーサイト VPN は、中央集中型機能です。マスター ユニットだけが VPN 接続をサポートします。リモート アクセス VPN は、クラスタリングではサポートされません。VPN 機能を使用できるのはマスター ユニットだけであり、クラスタのハイ アベイラビリティ能力は活用されません。マスター ユニットで障害が発生した場合は、すべての既存の VPN 接続が失われ、VPN ユーザにとってはサービスの中断となります。新しいマスターが選定されたときに、VPN 接続を再確立する必要があります。

VPN トンネルをスパンド EtherChannel アドレスに接続すると、接続が自動的にマスター ユニットに転送されます。PBR または ECMP を使用するときの個別インターフェイスへの接続については、ローカル インターフェイス アドレスではなく、常にメイン クラスタ IP アドレスに接続する必要があります。

VPN 関連のキーと証明書は、すべてのユニットに複製されます。

FTP

FTP データ チャネルとコントロール チャネルのフローがそれぞれ別のクラスタ メンバによって所有されている場合は、データ チャネルのオーナーは定期的にアイドル タイムアウト アップデートをコントロール チャネルのオーナーに送信し、アイドル タイムアウト値を更新します。ただし、コントロール フローのオーナーがリロードされて、コントロール フローが再ホスティングされた場合は、親子フロー関係は維持されなくなります。したがって、コントロール フローのアイドル タイムアウトは更新されません。

Cisco TrustSec

マスター ユニットだけがセキュリティ グループ タグ(SGT)情報を学習します。マスター ユニットからこの SGT がスレーブに渡されるので、スレーブは、セキュリティ ポリシーに基づいて SGT の一致の決定を行うことができます。

ASA クラスタリングのライセンス要件

 

モデル
ライセンス要件

ASA 5580、ASA 5585-X

クラスタ ライセンス。

各ユニット上にクラスタ ライセンスが必要です。その他の機能ライセンスについては、各クラスタ ユニットのライセンスが同一でなくてもかまいません。複数のユニットに機能ライセンスがある場合は、これらが結合されて単一の実行 ASA クラスタ ライセンスとなります。

(注) 各ユニットに同じ暗号化ライセンスが必要です。

他のすべてのモデル

サポートしない

ASA クラスタリングの前提条件

表 7-2 は、ASA クラスタリングとの相互運用がサポートされる外部ハードウェアおよびソフトウェアの一覧です。

 

表 7-2 ASA クラスタリングに関する外部ハードウェアおよびソフトウェアの依存関係

サポート対象ハードウェア
サポート対象のソフトウェア

Nexus 7000

NXOS 5.2(5)

Catalyst 6500 と Supervisor 32、720、および 720-10GE

IOS 12.2(33)SXI7、SXI8、および SXI9

クラスタ制御リンク インターフェイスのスイッチでは、ASA に接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。

スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。

スパンド EtherChannel:ASA スパンド EtherChannel (クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。

 

デバイス ローカル EtherChannel:ASA デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数の ASA EtherChannel を結合して 1 つの EtherChannel としないでください。

 

注意事項と制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。各メンバ ユニットのモードが一致する必要があります。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

フェールオーバーは、クラスタリングを行うときはサポートされません。

IPv6 のガイドライン

IPv6 をサポートします。ただし、クラスタ制御リンクは、IPv4 のみを使用してサポートされます。

モデルのガイドライン

ASA 5580 および ASA 5585-X のみでサポートされます。

ASA 5585-X と SSP-10 および SSP-20(2 個の 10 ギガビット イーサネット インターフェイスを持つ)については、一方のインターフェイスをクラスタ制御リンクに使用し、他方をデータに使用することを推奨します(データについてはサブインターフェイスを使用できます)。この設定は、クラスタ制御リンクの冗長性には対応しませんが、クラスタ制御リンクのサイズをデータ インターフェイスのサイズと一致させるという要件は満たされます。詳細については、「クラスタ制御リンクのサイジング」を参照してください。

その他のガイドライン

1 つのクラスタに含まれるユニットは 8 個までです。

クラスタ内のすべてのユニットは、同一モデル、同一 DRAM であることが必要です。フラッシュ メモリの容量は同一である必要はありません。

1 つのクラスタのすべてのメンバが同一のソフトウェアを実行する必要があります(イメージ アップグレード時を除く) ヒットレス アップグレードがサポートされるのは、任意のメンテナンス リリースのマイナー リリース内(たとえば 9.0(1) から 9.0(4) へ)、および隣接するマイナー リリース間(たとえば 9.0 から 9.1 へ)です。また、前のバージョンの最後のマイナー リリースから次のメジャー リリースへのアップグレードのときもサポートされます。たとえば 8.6 から 9.0 への場合です(8.6 は、9.0 よりも前のバージョンのうち、使用するモデルでサポートされる最後のバージョンです)。

新しいクラスタ メンバはマスター ユニットと同じ SSL 暗号化設定( ssl encryption コマンド)を使用する必要があります。

何らかのトポロジ変更を行うとき(たとえば、EtherChannel インターフェイスの追加または削除、ASA またはスイッチ上のインターフェイスのイネーブル化またはディセーブル化、VSS または vPC を形成するスイッチの追加)は、ヘルス チェック機能をディセーブルにしてください。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェック機能を再度イネーブルにできます。

ユニットを既存のクラスタに追加したときや、ユニットをリロードしたときは、一時的に、限定的なパケット/接続ドロップが発生します。これは予定どおりの動作です。場合によっては、ドロップされたパケットが原因で接続がハングすることがあります。たとえば、FTP 接続の FIN/ACK パケットがドロップされると、FTP クライアントがハングします。この場合は、FTP 接続を再確立する必要があります。

スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再起動します。トラフィックが再び流れ出すまでに、少し時間がかかります。

デフォルト設定

スパンド EtherChannel を使用するときは、cLACP システム ID は自動生成され、システム プライオリティはデフォルトで 1 です。

クラスタのヘルス チェック機能は、デフォルトでイネーブルになり、ホールド時間は 3 秒です。

接続再分散は、デフォルトではディセーブルです。接続再分散をイネーブルにした場合の、デフォルトの負荷情報交換間隔は 5 秒です。

ASA クラスタリングの設定

「ASA クラスタ コンフィギュレーションのタスク フロー」

「クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定」

「各ユニットでのクラスタ インターフェイス モードの設定」

「各ユニットでのクラスタ制御リンク インターフェイスのイネーブル化」

「マスター ユニットでのインターフェイスの設定」

「ASA クラスタの追加または参加」

ASA クラスタ コンフィギュレーションのタスク フロー

クラスタリングを設定するには、次の手順を実行します。


ステップ 1 機器をケーブルで接続します。クラスタリングを設定する前に、クラスタ制御リンク ネットワーク、管理ネットワーク、およびデータ ネットワークをケーブルで接続します。「クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定」を参照してください。

ステップ 2 コンソール ポートに接続します。コンフィギュレーションは、各ユニットのコンソール ポートで行う必要があります。を参照してください。

ステップ 3 インターフェイス タイプを設定します。クラスタリングに対して設定できるインターフェイスのタイプは、スパンド EtherChannel と個別インターフェイスのうち 1 つのみです。「各ユニットでのクラスタ インターフェイス モードの設定」を参照してください。

ステップ 4 クラスタ制御リンク用のインターフェイスを各ユニットで設定します。「各ユニットでのクラスタ制御リンク インターフェイスのイネーブル化」を参照してください。

ステップ 5 クラスタリング用のインターフェイスをマスター ユニット上で設定します。インターフェイスがクラスタ対応でない場合は、クラスタリングをイネーブルにできません。問題を回避するために、クラスタリングをイネーブルにする前にすべてのインターフェイス コンフィギュレーションを完了してください。「マスター ユニットでのインターフェイスの設定」を参照してください。

ステップ 6 クラスタに参加するために、ブートストラップの設定値を指定します。「ASA クラスタの追加または参加」を参照してください。

ステップ 7 セキュリティ ポリシーをマスター ユニット上で設定します。サポートされる機能をマスター ユニット上で設定するには、このマニュアルの該当する章を参照してください。コンフィギュレーションはスレーブ ユニットに複製されます。サポートされる/されない機能のリストについては、「ASA の機能とクラスタリング」を参照してください。


 

クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定

クラスタリングを設定する前に、クラスタ制御リンク ネットワーク、管理ネットワーク、およびデータ ネットワークをケーブルで接続します。


) クラスタに参加するようにユニットを設定する前に、少なくとも、アクティブなクラスタ制御リンク ネットワークが必要です。


アップストリームとダウンストリームの機器も設定する必要があります。たとえば、EtherChannel を使用する場合は、EtherChannel のアップストリーム/ダウンストリーム機器を設定する必要があります。

手順の詳細


) この例では、ロードバランシングに EtherChannel を使用します。PBR または ECMP を使用する場合は、スイッチ コンフィギュレーションが異なります。


たとえば、4 台の ASA 5585-X のそれぞれにおいて、次のものを使用します。

デバイス ローカル EtherChannel の 10 ギガビット イーサネット インターフェイス 2 個(クラスタ制御リンク用)。

スパンド EtherChannel の 10 ギガビット イーサネット インターフェイス 2 個(内部および外部ネットワーク用)。各インターフェイスは、EtherChannel の VLAN サブインターフェイスです。サブインターフェイスを使用すると、内部と外部の両方のインターフェイスが EtherChannel の利点を活用できます。

管理インターフェイス 1 個。

内部と外部の両方のネットワーク用に 1 台のスイッチがあります。

 

 

目的
4 台の各 ASA の接続インターフェイス
スイッチ ポートへ

クラスタ制御リンク

TenGigabitEthernet 0/6 および TenGigabitEthernet 0/7

合計 8 ポート

TenGigabitEthernet 0/6 と TenGigabitEthernet 0/7 のペアごとに、4 個の EtherChannel(ASA ごとに 1 個の EC)を設定します。

これらの EtherChannel すべてが、同一の独立クラスタ制御 VLAN 上(たとえば VLAN 101)に存在する必要があります。

内部および外部インターフェイス

TenGigabitEthernet 0/8 および TenGigabitEthernet 0/9

合計 8 ポート

単一の EtherChannel を設定します(すべての ASA にまたがる)。

この VLAN およびネットワークは、ここで設定することも、後で設定することもできます。たとえば、VLAN 200(内部用)および VLAN 201(外部用)が含まれるトランクを設定します。

管理インターフェイス

Management 0/0

合計 4 ポート

すべてのインターフェイスを、同一の独立管理 VLAN(たとえば VLAN 100)上に置きます。

次の作業

クラスタ インターフェイス モードを各ユニットのコンソール ポートから設定します。「各ユニットでのクラスタ インターフェイス モードの設定」を参照してください。

各ユニットでのクラスタ インターフェイス モードの設定

クラスタリング用に設定できるインターフェイスのタイプは、スパンド EtherChannel と個別インターフェイスのいずれか一方のみです。1 つのクラスタ内でインターフェイス タイプを混在させることはできません。管理インターフェイスに関する例外およびその他のガイドラインについては、「インターフェイス タイプ モード」を参照してください。

前提条件

この手順をコンソール ポートで実行します。

モードの設定は、クラスタに追加する各 ASA で個別に行う必要があります。

トランスペアレント ファイアウォール モードは、スパンド EtherChannel モードだけをサポートします。

マルチ コンテキスト モードの場合は、この設定をシステム実行スペースで行います。コンテキストごとにモードを設定することはできません。

手順の詳細

 

 
コマンド
目的

ステップ 1

cluster interface-mode { individual | spanned } check-details

 

hostname(config)# cluster interface-mode spanned check-details

check-details コマンドを実行すると、互換性のないコンフィギュレーションが表示されるので、インターフェイス モードを強制的に設定して後で設定を修正するか、インターフェイス モードを設定するときにコンフィギュレーションをクリアするかを決定できます。モードは、このコマンドでは変更されません。

ステップ 2

cluster interface-mode { individual | spanned } [ force ]

 

hostname(config)# cluster interface-mode spanned force

クラスタリングのインターフェイス モードを設定します。デフォルト設定はありません。明示的にモードを選択する必要があります。モードを設定していない場合は、クラスタリングをイネーブルにできません。

スパンド EtherChannel モードでは、インターフェイスに対してクラスタ IP プールを設定することはできません。

個別インターフェイス モードでは、EtherChannel に対してクラスタ スパニングをイネーブルにすることはできません。

force オプションを指定すると、互換性のないコンフィギュレーションの検査は行わずにモードが変更されます。コンフィギュレーションの問題がある場合は、モードを変更した後に手動で解決する必要があります。インターフェイス コンフィギュレーションの修正ができるのはモードの設定後に限られるので、 force オプションを使用することを推奨します。このようにすれば、最低でも、デフォルト コンフィギュレーション(ある場合)の状態から開始できます。さらにガイダンスが必要な場合は、モードを設定した後で check-details オプションを再実行します。

force オプションを指定しない場合は、互換性のないコンフィギュレーションがある場合に、コンフィギュレーションのクリアとリロードが求められます。コンフィギュレーションに互換性の問題がない場合は(まれなケース)、モードが変更され、コンフィギュレーションは維持されます。コンフィギュレーションをクリアしたくない場合は、 n を入力してコマンドを終了します。

インターフェイス モードを解除するには、 no cluster interface-mode コマンドを入力します。

次の作業

クラスタ制御リンク インターフェイスを設定します。「各ユニットでのクラスタ制御リンク インターフェイスのイネーブル化」を参照してください。

各ユニットでのクラスタ制御リンク インターフェイスのイネーブル化

クラスタに参加する前に、クラスタ制御リンク インターフェイスをイネーブルにする必要があります。

十分な数のインターフェイスがある場合は、複数のクラスタ制御リンク インターフェイスを結合して 1 つの EtherChannel とすることを推奨します。この EtherChannel は ASA に対してローカルであり、スパンド EtherChannel ではありません。クラスタ制御リンクには、10 ギガビット イーサネット インターフェイスを使用することを推奨します。

クラスタ制御リンク インターフェイス コンフィギュレーションは、マスター ユニットからスレーブ ユニットには複製されませんが、同じコンフィギュレーションを各ユニットで使用する必要があります。このコンフィギュレーションは複製されないため、クラスタ制御リンク インターフェイスの設定は各ユニットで個別に行う必要があります。

前提条件

「クラスタ制御リンクのサイジング」を参照して、クラスタ制御リンクのサイズを決定します。

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで開始します。まだシステム コンフィギュレーション モードに入っていない場合は、 changeto system コマンドを入力します。

制約事項

VLAN サブインターフェイスをクラスタ制御リンクとして使用することはできません。

管理 x / x インターフェイスをクラスタ制御リンクとして使用することはできません(単独か EtherChannel かにかかわらず)。

IPS モジュール搭載 ASA 5585-X では、IPS モジュール インターフェイスをクラスタ制御リンクに使用することはできません。

手順の詳細

この項には、EtherChannel を設定する手順が含まれます。単一のインターフェイスをクラスタ制御リンクとして使用するには、を参照してください。必要があるのはインターフェイスのイネーブル化だけです。インターフェイスの名前などのパラメータを設定しないでください。

 

 
コマンド
目的

ステップ 1

interface interface_id

 

hostname(config)# interface tengigabitethernet 0/6

インターフェイス コンフィギュレーション モードを開始します。

ステップ 2

channel-group channel_id mode on

 

hostname(config-if)# channel-group 1 mode on

1 ~ 48 の channel_id を指定して、この物理インターフェイスを EtherChannel に割り当てます。このチャネル ID のポートチャネル インターフェイスがコンフィギュレーションにまだ存在しない場合、ポートチャネル インターフェイスが作成されます。

interface port-channel channel_id

クラスタ制御リンクでの不要なトラフィックを削減できるように、メンバ インターフェイスに対しては on モードを使用することを推奨します。クラスタ制御リンクは LACP トラフィックのオーバーヘッドを必要としません。これは隔離された、安定したネットワークであるからです。

ステップ 3

no shutdown

 

hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

ステップ 4

interface interface_id

channel-group channel_id mode on

no shutdown

 

hostname(config)# interface tengigabitethernet 0/7

hostname(config-if)# channel-group 1 mode on

hostname(config-if)# no shutdown

EtherChannel に追加するインターフェイスごとに繰り返します。

次の例では、Port-channel 2 という EtherChannel を、TenGigabitEthernet 0/6 および TenGigabitEthernet 0/7 のために作成します。ポートチャネル インターフェイスは、チャネル グループにインターフェイスを割り当てたときに自動的に作成されます。

interface tengigabitethernet 0/6

channel-group 2 mode on
no shutdown

 

interface tengigabitethernet 0/7

channel-group 2 mode on
no shutdown

 

次の作業

インターフェイスを設定します。「マスター ユニットでのインターフェイスの設定」を参照してください。

マスター ユニットでのインターフェイスの設定

ここでは、クラスタリング互換となるようにインターフェイスを設定する方法について説明します。データ インターフェイスは、スパンド EtherChannel として設定することも、個別インターフェイスとして設定することもできます。各方式は別のロードバランシング メカニズムを使用します。両方のタイプを同じコンフィギュレーションの中で使用することはできません。詳細については、「ASA クラスタのインターフェイス」を参照してください。

インターフェイスがクラスタ対応でない場合は、クラスタリングをイネーブルにできません。問題を回避するために、クラスタリングをイネーブルにする前にすべてのインターフェイス コンフィギュレーションを完了してください。

「個別インターフェイスの設定(管理インターフェイスの場合に推奨)」

「スパンド EtherChannel の設定」

個別インターフェイスの設定(管理インターフェイスの場合に推奨)

個別インターフェイスは通常のルーテッド インターフェイスであり、それぞれが専用の IP アドレスを IP アドレス プールから取得します。メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。

スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定することを推奨します。個別管理インターフェイスならば、必要に応じて各ユニットに直接接続できますが、スパンド EtherChannel インターフェイスでは、現在のマスター ユニットへの接続しかできません。詳細については、「管理インターフェイス」を参照してください。

前提条件

管理専用インターフェイスの場合を除き、個別インターフェイス モードであることが必要です。「各ユニットでのクラスタ インターフェイス モードの設定」を参照してください。

マルチ コンテキスト モードの場合は、この手順を各コンテキストで実行します。まだコンテキスト コンフィギュレーション モードに入っていない場合は、 changeto context name コマンドを入力します。

個別インターフェイスの場合は、ネイバー デバイスでのロード バランシングを設定する必要があります。管理インターフェイスには、外部のロード バランシングは必要ありません。ロードバランシングについては、「ロード バランシングの方式」を参照してください。

(任意)インターフェイスをデバイス ローカル EtherChannel インターフェイスとして設定する、冗長インターフェイスを設定する、およびサブインターフェイスを設定する作業を必要に応じて行います。

EtherChannel については、を参照してください。この EtherChannel はユニットに対してローカルであり、スパンド EtherChannel ではありません。

冗長インターフェイスについては、を参照してください。管理インターフェイスは、冗長インターフェイスにすることはできません。

サブインターフェイスについては、を参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

(IPv4)

ip local pool poolname first-address -- last-address [ mask mask ]

 

(IPv6)

ipv6 local pool poolname ipv6-address/prefix-length number_of_addresses

 

 

hostname(config)# ip local pool ins 192.168.1.2-192.168.1.9

hostname(config-if)# ipv6 local pool insipv6 2001:DB8::1002/32 8

IP アドレス(IPv4 と IPv6 の一方または両方)のプールを設定します。このアドレスの 1 つが、このインターフェイス用に各クラスタ ユニットに割り当てられます。最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。クラスタを拡張する予定の場合は、アドレスを増やします(最大 8 個)。現在のマスター ユニットに属するメイン クラスタ IP アドレスは、このプールの一部では ありません 。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。

各ユニットに割り当てられるアドレスを、事前に正確に特定することはできません。各ユニットで使用されているアドレスを表示するには、 show ip [ v6 ] local pool poolname コマンドを入力します。各クラスタ メンバには、クラスタに参加したときにメンバ ID が割り当てられます。この ID によって、プールから使用されるローカル IP が決定します。

ステップ 2

interface interface_id

 

hostname(config)# interface tengigabitethernet 0/8

インターフェイス コンフィギュレーション モードを開始します。

ステップ 3

(管理インターフェイスのみ)

management-only

 

hostname(config-if)# management-only

インターフェイスを管理専用モードに設定してトラフィックが通過しないようにします。

デフォルトでは、管理タイプのインターフェイスは管理専用として設定されます。トランスペアレント モードでは、このコマンドは管理タイプのインターフェイスに対して常にイネーブルになります。

ステップ 4

nameif name

 

hostname(config-if)# nameif inside

インターフェイスに名前を付けます。

name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。名前を変更するには、このコマンドで新しい値を再入力します。

ステップ 5

(IPv4)

ip address ip_address [ mask ] cluster-pool poolname

 

(IPv6)

ipv6 address ipv6-address/prefix-length cluster-pool poolname

 

hostname(config-if)# ip address 192.168.1.1 255.255.255.0 cluster-pool ins

hostname(config-if)# ipv6 address 2001:DB8::1002/32 cluster-pool insipv6

メイン クラスタ IP アドレスを設定します。この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。IPv4 アドレスと IPv6 アドレスの一方または両方を設定できます。

DHCP、PPPoE、および IPv6 自動設定はサポートされません。IP アドレスを手動で設定する必要があります。

ステップ 6

security-level number

 

hostname(config-if)# security-level 100

セキュリティ レベルを設定します。 number には、0(最下位)~ 100(最上位)の整数を指定します。を参照してください。

ステップ 7

no shutdown

 

hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

次の例では、管理 0/0 および管理 0/1 インターフェイスをデバイス ローカル EtherChannel として設定してから、この EtherChannel を個別インターフェイスとして設定します。

ip local pool mgmt 10.1.1.2-10.1.1.9

ipv6 local pool mgmtipv6 2001:DB8:45:1002/64 8

 

interface management 0/0

channel-group 1 mode active
no shutdown

 

interface management 0/1

channel-group 1 mode active
no shutdown

 

interface port-channel 1

nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
ipv6 address 2001:DB8:45:1001/64 cluster-pool mgmtipv6
security-level 100
management-only
 

次の作業

スパンド インターフェイス モードの場合は、データ インターフェイスを設定します。「スパンド EtherChannel の設定」を参照してください。

個別インターフェイス モードの場合は、クラスタに参加します。「ASA クラスタの追加または参加」を参照してください。

スパンド EtherChannel の設定

スパンド EtherChannel は、クラスタ内のすべての ASA に広がるものであり、EtherChannel の動作の一部としてロード バランシングを行うことができます。

前提条件

スパンド EtherChannel インターフェイス モードに入っている必要があります。「各ユニットでのクラスタ インターフェイス モードの設定」を参照してください。

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで開始します。まだシステム コンフィギュレーション モードに入っていない場合は、 changeto system コマンドを入力します。

トランスペアレント モードの場合は、に従ってブリッジ グループを設定します。

ガイドライン

EtherChannel の最大および最小のリンク数を指定 しないでください 。EtherChannel の最大および最小のリンク数の指定( lacp max-bundle コマンドと port-channel min-bundle コマンド)は、ASA とスイッチのどちらにおいても行わないことを推奨します。これらを使用する必要がある場合は、次の点に注意してください。

ASA 上で設定されるリンクの最大数は、クラスタ全体のアクティブ ポートの合計数です。スイッチ上で設定された最大リンク数の値が、ASA での値を超えていないことを確認してください。

ASA 上で設定される最小リンク数は、ポートチャネル インターフェイスを起動するための最小アクティブ ポート数( ユニットあたり )です。スイッチ上では、最小リンク数はクラスタ全体の最小リンク数であるため、この値は ASA での値とは一致しません。

lacp port-priority コマンドと lacp system-priority コマンドは、スパンド EtherChannel には使用されません。

EtherChannel の詳細なガイドライン、制限、および前提条件については、を参照してください。

も参照してください。

手順の詳細

 

 
コマンド
目的

ステップ 1

interface physical_interface

 

hostname(config)# interface gigabitethernet 0/0

チャネル グループに追加するインターフェイスを指定します。 physical_interface ID では、タイプ、スロット、ポート番号を type [ slot / ] port の形式で指定します。チャネル グループのこの最初のインターフェイスによって、グループ内の他のすべてのインターフェイスのタイプと速度が決まります。

ステップ 2

channel-group channel_id mode active [ vss-id { 1 | 2 }]

 

hostname(config-if)# channel-group 1 mode active

1 ~ 48 の channel_id を指定して、このインターフェイスを EtherChannel に割り当てます。このチャネル ID のポートチャネル インターフェイスがコンフィギュレーションにまだ存在しない場合、ポートチャネル インターフェイスが作成されます。

interface port-channel channel_id

 

active モードだけがスパンド EtherChannel に対してサポートされます。

VSS または vPC の 2 台のスイッチに ASA を接続する場合は、このインターフェイスをどのスイッチに接続するかを指定するために vss-id キーワードを設定します(1 または 2)。また、ステップ 6 port-channel span-cluster vss-load-balance コマンドをポートチャネル インターフェイスに対して使用する必要があります。詳細については、「VSS または vPC への接続」も参照してください。

ステップ 3

no shutdown

 

hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

ステップ 4

(任意)EtherChannel にさらにインターフェイスを追加するには、ステップ 1 からステップ 3 までを繰り返します。

 

hostname(config)# interface gigabitethernet 0/1

hostname(config-if)# channel-group 1 mode active

hostname(config-if)# no shutdown

ユニットごとに複数のインターフェイスが EtherChannel に含まれていると、VSS または vPC のスイッチに接続する場合に役立ちます。EtherChannel では(スパンド EtherChannel もこれに含まれます)、最大 16 個のインターフェイスのうち 8 個しかアクティブにできないことに注意してください。残りの 8 個のインターフェイスは、リンク障害に備えてスタンバイとなります。たとえば、8 台の ASA から成るクラスタの場合は、各 ASA で最大 2 個のインターフェイスを使用でき、EtherChannel の合計は 16 インターフェイスとなります。

ステップ 5

interface port-channel channel_id

 

hostname(config)# interface port-channel 1

ポートチャネル インターフェイスを指定します。このインターフェイスは、チャネル グループにインターフェイスを追加したときに自動的に作成されたものです。

ステップ 6

port-channel span-cluster [ vss-load-balance ]

 

hostname(config-if)# port-channel span-cluster

この EtherChannel を、スパンド EtherChannel として設定します。

ASA を VSS または vPC の 2 台のスイッチに接続する場合は、 vss-load-balance キーワードを使用して VSS ロード バランシングをイネーブルにする必要があります。この機能を使用すると、ASA と VSS(または vPC)ペアとの間の物理リンク接続の負荷が確実に分散されます。ロード バランシングをイネーブルにする前に、各メンバ インターフェイスに対して channel-group コマンドの vss-id キーワードを設定する必要があります(ステップ 2を参照)。

ステップ 7

(任意)

ポートチャネル インターフェイスのイーサネット プロパティを設定します。この設定は、個別インターフェイスに対して設定されたプロパティよりも優先されます。

これらのパラメータはチャネル グループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。イーサネットのコマンドについては、を参照してください。

ステップ 8

(任意)

この EtherChannel 上に VLAN サブインターフェイスを作成する予定の場合は、この時点で作成します。この手順の残りの部分は、サブインターフェイスに適用されます。

 

hostname(config)# interface port-channel 1.10

hostname(config-if)# vlan 10

を参照してください。

ステップ 9

(マルチ コンテキスト モード)

インターフェイスをコンテキストに割り当てます。を参照してください。

その後で、次のとおりに入力します。

changeto context name

interface port-channel channel_id

 

hostname(config)# context admin

hostname(config)# allocate-interface port-channel1

hostname(config)# changeto context admin

hostname(config-if)# interface port-channel 1

マルチ コンテキスト モードの場合は、インターフェイス コンフィギュレーションの残りの部分は各コンテキスト内で行われます。

ステップ 10

nameif name

 

hostname(config-if)# nameif inside

インターフェイスに名前を付けます。

name は最大 48 文字のテキスト文字列です。大文字と小文字は区別されません。名前を変更するには、このコマンドで新しい値を再入力します。

ステップ 11

ファイアウォール モードに応じて、次のいずれかを実行します。

 

ルーテッド モード:

(IPv4)

ip address ip_address [ mask ]

 

(IPv6)

ipv6 address ipv6-prefix/prefix-length

 

hostname(config-if)# ip address 10.1.1.1 255.255.255.0

hostname(config-if)# ipv6 address 2001:DB8::1001/32

IPv4 アドレスと IPv6 アドレスの一方または両方を設定します。DHCP、PPPoE、および IPv6 自動設定はサポートされません。

 

トランスペアレント モード:

bridge-group number

 

hostname(config-if)# bridge-group 1

インターフェイスをブリッジ グループに割り当てます。 number は 1 ~ 100 の範囲の整数です。ブリッジ グループには最大 4 個のインターフェイスを割り当てることができます。同一インターフェイスを複数のブリッジ グループに割り当てることはできません。

ステップ 12

security-level number

 

hostname(config-if)# security-level 50

セキュリティ レベルを設定します。 number には、0(最下位)~ 100(最上位)の整数を指定します。を参照してください。

ステップ 13

mac-address mac_address

 

hostname(config-if)# mac-address 000C.F142.4CDE

シングル モードでは、スパンド EtherChannel の MAC アドレスを設定する必要があります。現在のマスター ユニットがクラスタから脱退しても MAC アドレスが変更されないようにするためです。MAC アドレスが手動設定されている場合は、その MAC アドレスは現在のマスター ユニットに留まります。

マルチ コンテキスト モードでは、インターフェイスをコンテキスト間で共有する場合に、MAC アドレスの自動生成がデフォルトでイネーブルになっています。したがって、共有インターフェイスの MAC アドレスを手動で設定する必要があるのは、自動生成をディセーブルにした場合だけです。

mac_address は、H.H.H 形式で指定します。H は 16 ビットの 16 進数です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

自動生成された MAC アドレスも使用する場合、手動で割り当てる MAC アドレスの最初の 2 バイトには A2 を使用できません。

次の作業

クラスタに参加します。「ASA クラスタの追加または参加」を参照してください。

ASA クラスタの追加または参加

クラスタ内の各ユニットがクラスタに参加するには、ブートストラップ コンフィギュレーションが必要です。一般的には、クラスタに参加するように最初に設定したユニットがマスター ユニットとなります。クラスタリングをイネーブルにした後で、選定期間が経過すると、クラスタのマスター ユニットが選定されます。最初はクラスタ内のユニットが 1 つだけであるため、そのユニットがマスター ユニットになります。それ以降クラスタに追加されるユニットは、スレーブ ユニットとなります。

前提条件

クラスタリングをイネーブルまたはディセーブルにするには、コンソール ポートまたは ASDM を使用する必要があります。Telnet または SSH を使用することはできません。

コンフィギュレーションをバックアップします。後でクラスタから脱退する必要が生じたときに備えて、コンフィギュレーションを復元できるようにしておくためです。

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。コンテキストからシステム実行スペースに切り替えるには、 changeto system コマンドを入力します。

クラスタ制御リンクで使用するためのジャンボ フレームの予約をイネーブルにすることを推奨します。を参照してください。

マスター ユニットの場合:クラスタ制御リンクを除いて、コンフィギュレーション内のインターフェイスはすべて、クラスタ IP プールを指定して設定されているか、スパンド EtherChannel として設定されている必要があります。この設定は、クラスタリングをイネーブルにする前に、インターフェイス モードに応じて行います。既存のインターフェイス コンフィギュレーションがある場合は、そのインターフェイス コンフィギュレーションをクリアすることも( clear configure interface )、「マスター ユニットでのインターフェイスの設定」に従ってインターフェイスをクラスタ インターフェイスに変換することもできます。これは、クラスタリングをイネーブルにする前に行います。

スレーブ ユニットの場合:コンフィギュレーション内に、クラスタリング用として設定されていないインターフェイスがある場合は(たとえば、デフォルト コンフィギュレーションの管理 0/0 インターフェイス)、スレーブ ユニットとしてクラスタに参加させることができます(現在の選定でマスターになる可能性はありません)。

クラスタ制御リンク インターフェイスがアップ状態である必要があります。

稼働中のクラスタにユニットを追加すると、一時的に、限定的なパケット/接続ドロップが発生することがあります。これは予定どおりの動作です。

手順の詳細

 

 
コマンド
目的

ステップ 1

(任意)

mtu cluster-interface bytes

 

hostname(config)# mtu cluster-interface 9000

クラスタ制御リンク インターフェイスの最大伝送単位を 64 ~ 65,535 バイトの範囲内で指定します。デフォルトの MTU は 1500 バイトです。MTU を 1600 バイト以上に設定することを推奨します。このようにするには、ジャンボ フレームの予約をイネーブルにする必要があります。を参照してください。

このコマンドはグローバル コンフィギュレーション コマンドですが、ブートストラップ コンフィギュレーションの一部でもあります。ブートストラップ コンフィギュレーションは、ユニット間で複製されません。

ステップ 2

cluster group name

 

hostname(config)# cluster group pod1

クラスタに名前を付け、クラスタ コンフィギュレーション モードを開始します。名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。クラスタ グループはユニットあたり 1 つしか設定できません。クラスタのすべてのメンバが同じ名前を使用する必要があります。

ステップ 3

local-unit unit_name

 

hostname(cfg-cluster)# local-unit unit1

このクラスタ メンバの固有の名前を、1 ~ 38 文字の ASCII 文字列で指定します。各ユニットに固有の名前が必要です。クラスタ内の他のユニットと同じ名前を付けることはできません。

ステップ 4

cluster-interface interface_id ip ip_address mask

 

hostname(cfg-cluster)# cluster-interface port-channel2 ip 192.168.1.1 255.255.255.0

INFO: Non-cluster interface config is cleared on Port-Channel2

クラスタ制御リンク インターフェイス(EtherChannel を推奨)を指定します。サブインターフェイスと管理インターフェイスは許可されません。「各ユニットでのクラスタ制御リンク インターフェイスのイネーブル化」を参照してください。

IP アドレスには IPv4 アドレスを指定します。IPv6 は、このインターフェイスではサポートされません。このインターフェイスには、 nameif を設定することはできません。

ユニットごとに、同じネットワークにある別の IP アドレスを指定します。

ステップ 5

priority priority_number

 

hostname(cfg-cluster)# priority 1

マスター ユニット選定用に、このユニットのプライオリティを 1 ~ 100 の範囲内で設定します。1 が最高のプライオリティです。詳細については、「マスター ユニット選定」を参照してください。

ステップ 6

(任意)

key shared_secret

 

hostname(cfg-cluster)# key chuntheunavoidable

クラスタ制御リンクの制御トラフィックの認証キーを設定します。共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このコマンドは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

ステップ 7

(マスター ユニットのみ)

no health-check

 

hostname(cfg-cluster)# no health-check

クラスタのヘルス チェック機能(ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングを含む)をディセーブルにします。クラスタに新しいユニットを追加して、ASA またはスイッチ上でトポロジに変更を加えるときは、クラスタが完成するまで、この機能を一時的にディセーブルにする必要があります。クラスタとトポロジの変更が完了したら、この機能を再度イネーブルにすることができます。

ステップ 8

(任意、マスター ユニットのみ)

clacp system-mac { mac_address | auto } [ system-priority number ]

 

hostname(cfg-cluster)# clacp system-mac 000a.0000.aaaa

スパンド EtherChannel を使用するときは、ASA は cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。cLACP ネゴシエーションのときに、同じクラスタ内の ASA は互いに連携し、スイッチに対して全体で 1 つの(仮想)デバイスであるかのように見せます。cLACP ネゴシエーションのパラメータの 1 つであるシステム ID は、MAC アドレスの形式をとります。すべての ASA が同じシステム ID を使用します。これはマスター ユニットによって自動生成され(デフォルト)、すべてのスレーブに複製されます。または手動で、このコマンドを使用して H . H . H の形式で指定します。H は 16 ビットの 16 進数字です。(たとえば、MAC アドレス 00-0A-00-00-AA-AA は 000A.0000.AAAA と入力されます)。MAC アドレスの手動設定が必要になるのは、たとえば、トラブルシューティング目的で、認識しやすい MAC アドレスを使用したい場合です。一般的には、自動生成された MAC アドレスを使用します。

システム プライオリティ(1 ~ 65535)は、どのユニットがバンドルの決定を行うかを決めるために使用されます。デフォルトでは、ASA はプライオリティ 1(最高のプライオリティ)を使用します。このプライオリティは、スイッチのプライオリティよりも高いことが必要です。

このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。ただし、クラスタリングをイネーブルにした後は、この値は変更できません。

ステップ 9

(任意、マスター ユニットのみ)

conn-rebalance [ frequency seconds ]

 

hostname(cfg-cluster)# conn-rebalance frequency 60

接続の再分散をイネーブルにします。このコマンドは、デフォルトでディセーブルになっています。イネーブルの場合は、ASA は負荷情報を定期的に交換し、新しい接続の負荷を高負荷のデバイスから低負荷のデバイスに移動します。負荷情報を交換する間隔を、1 ~ 360 秒の範囲内で指定します。デフォルトは 5 秒です。

このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

ステップ 10

(任意、マスター ユニットのみ)

console-replicate

 

hostname(cfg-cluster)# console-replicate

スレーブ ユニットからマスター ユニットへのコンソール複製をイネーブルにします。この機能はデフォルトで無効に設定されています。ASA は、特定の重大イベントが発生したときに、メッセージを直接コンソールに出力します。コンソール複製をイネーブルにすると、スレーブ ユニットからマスター ユニットにコンソール メッセージが送信されるので、モニタが必要になるのはクラスタのコンソール ポート 1 つだけとなります。

このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

ステップ 11

マスター ユニットの場合:

enable [ noconfirm ]

 

スレーブ ユニットの場合(クラスタリング以外のインターフェイスが存在する場合):

enable as-slave

 

 

hostname(cfg-cluster)# enable

INFO: Clustering is not compatible with following commands:

policy-map global_policy

class inspection_default

inspect skinny

policy-map global_policy

class inspection_default

inspect sip

Would you like to remove these commands? [Y]es/[N]o:Y

 

INFO: Removing incompatible commands from running configuration...

Cryptochecksum (changed): f16b7fc2 a742727e e40bc0b0 cd169999

INFO: Done

クラスタリングをイネーブルにします。 enable コマンドが入力されると、ASA は実行コンフィギュレーションをスキャンして、クラスタリングに対応していない機能の非互換コマンドの有無を調べます。デフォルト コンフィギュレーションにあるコマンドも、これに該当することがあります。互換性のないコマンドを削除するように求められます。応答として No を入力した場合は、クラスタリングはイネーブルになりません。確認を省略し、互換性のないコマンドを自動的に削除するには、 noconfirm キーワードを使用します。

最初にイネーブルにしたユニットについては、マスター ユニット選定が発生します。最初のユニットは、その時点でクラスタの唯一のメンバであるため、そのユニットがマスター ユニットになります。この期間中にコンフィギュレーション変更を実行しないでください。

すでにマスター ユニットがある場合に、クラスタにスレーブ ユニットを追加するときは、 enable as-slave コマンドを使用すると、コンフィギュレーションの互換性の問題(主にまだクラスタリング用に設定されていないインターフェイスの存在)を回避できます。このコマンドを実行すると、クラスタに参加させるスレーブが現在の選定においてマスターとなる可能性をなくすことができます。スレーブのコンフィギュレーションは、マスター ユニットから同期されたコンフィギュレーションによって上書きされます。

クラスタリングをディセーブルにするには、 no enable コマンドを入力します。

(注) クラスタリングをディセーブルにした場合は、すべてのデータ インターフェイスがシャットダウンされ、管理インターフェイスだけがアクティブになります。ユニットをクラスタから完全に削除する(その結果としてデータ インターフェイスをアクティブにする)場合は、「クラスタからの脱退」を参照してください。

ステップ 12

(マスター ユニットのみ)

health-check [ holdtime timeout ]

 

hostname(cfg-cluster)# health-check

すべてのスレーブ ユニットが追加され、クラスタ トポロジが安定したら、クラスタのヘルス チェック機能を再びイネーブルにします。これには、ユニットのヘルス モニタリングおよびインターフェイスのヘルス モニタリングが含まれます。メンバ間のキープアライブ メッセージによって、メンバのヘルス状態が特定されます。ユニットがホールド時間内にピア ユニットからキープアライブ メッセージを受信しない場合は、そのピア ユニットは応答不能またはデッド状態と見なされます。インターフェイス ステータス メッセージによって、リンク障害が検出されます。あるインターフェイスが、特定のユニット上では障害が発生したが、別のユニットではアクティブの場合は、そのユニットはクラスタから削除されます。

ホールド時間は、キープアライブまたはインターフェイス ステータス メッセージの間隔を決定するものであり、0.8 ~ 45 秒の範囲内で設定します。デフォルトは 5 秒です。

ユニットがホールド時間内にインターフェイス ステータス メッセージを受信しない場合に、ASA がメンバをクラスタから削除するまでの時間は、インターフェイスのタイプと、そのユニットが確立済みメンバであるか、またはクラスタに参加しようとしているかによって異なります。EtherChannel の場合(スパニングかどうかを問わない)は、確立済みメンバのインターフェイスがダウン状態のときに、ASA はそのメンバを 9 秒後に削除します。ユニットが新しいメンバとしてクラスタに参加しようとしているときは、ASA は 45 秒待機してからその新しいユニットを拒否します。非 EtherChannel の場合は、メンバ状態に関係なく、ユニットは 500 ミリ秒後に削除されます。

ヘルス チェックはデフォルトでイネーブルです。このコマンドの no 形式を使用してディセーブルにできます。

(注) 何らかのトポロジ変更を行うとき(たとえば、データ インターフェイスの追加または削除、ASA またはスイッチ上のインターフェイスのイネーブル化またはディセーブル化、VSS または vPC を形成するスイッチの追加)は、ヘルス チェック機能をディセーブルにしてください。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェック機能を再度イネーブルにできます。

このコマンドは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

次の例では、管理インターフェイスを設定し、クラスタ制御リンク用のデバイス ローカル EtherChannel を設定し、ヘルス チェックをディセーブルにし(一時的に)、その後で、「unit1」という名前の ASA のクラスタリングをイネーブルにします。これは最初にクラスタに追加されるユニットであるため、マスター ユニットになります。

ip local pool mgmt 10.1.1.2-10.1.1.9

ipv6 local pool mgmtipv6 2001:DB8::1002/32 8

 

interface management 0/0

nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6
security-level 100
management-only
no shutdown

 

interface tengigabitethernet 0/6

channel-group 1 mode active
no shutdown

 

interface tengigabitethernet 0/7

channel-group 1 mode active
no shutdown

 

cluster group pod1

local-unit unit1
cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
no health-check
enable noconfirm
 

次の例には、スレーブ ユニット unit2 のコンフィギュレーションが含まれています。

interface tengigabitethernet 0/6

channel-group 1 mode active
no shutdown

 

interface tengigabitethernet 0/7

channel-group 1 mode active
no shutdown

 

cluster group pod1

local-unit unit2
cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
priority 2
key chuntheunavoidable
no health-check
enable as-slave

次の作業

セキュリティ ポリシーをマスター ユニット上で設定します。サポートされる機能をマスター ユニット上で設定するには、このマニュアルの該当する章を参照してください。コンフィギュレーションはスレーブ ユニットに複製されます。サポートされる/されない機能のリストについては、「ASA の機能とクラスタリング」を参照してください。

ASA クラスタ メンバの管理

「非アクティブ メンバになる」

「メンバの非アクティブ化」

「クラスタからの脱退」

「マスター ユニットの変更」

「クラスタ全体でのコマンドの実行」

非アクティブ メンバになる

クラスタの非アクティブ メンバになるには、クラスタリング コンフィギュレーションは変更せずに、そのユニット上でクラスタリングをディセーブルにします。


) ASA が非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開させるには、クラスタリングを再びイネーブルにします。または、そのユニットをクラスタから完全に削除します。「クラスタからの脱退」を参照してください。管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードした場合は、管理インターフェイスはアクセス不可能になります(このインターフェイスはマスター ユニットと同じ IP アドレスを使用するからです)。それ以降のコンフィギュレーション作業には、コンソール ポートを使用する必要があります。


前提条件

コンソール ポートを使用する必要があります。クラスタリングのイネーブルまたはディセーブルを、リモート CLI 接続から行うことはできません。

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、 changeto system コマンドを入力します。

手順の詳細

 

 
コマンド
目的

ステップ 1

cluster group name

 

hostname(config)# cluster group pod1

クラスタ コンフィギュレーション モードを開始します。

ステップ 2

no enable

 

hostname(cfg-cluster)# no enable

クラスタリングをディセーブルにします。このユニットがマスター ユニットであった場合は、新しいマスターの選定が実行され、別のメンバがマスター ユニットになります。

クラスタ コンフィギュレーションは維持されるので、後でクラスタリングを再度イネーブルにできます。

メンバの非アクティブ化

任意のユニットからメンバを非アクティブにするには、次の手順を実行します。


) ASA が非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開させるには、クラスタリングを再びイネーブルにします。または、そのユニットをクラスタから完全に削除します。「クラスタからの脱退」を参照してください。管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードした場合は、管理インターフェイスはアクセス不可能になります(このインターフェイスはマスター ユニットと同じ IP アドレスを使用するからです)。それ以降のコンフィギュレーション作業には、コンソール ポートを使用する必要があります。


前提条件

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、 changeto system コマンドを入力します。

手順の詳細

 

コマンド
目的

cluster remove unit unit_name

 

hostname(config)# cluster remove unit ?

 

Current active units in the cluster:

asa2

 

hostname(config)# cluster remove unit asa2

WARNING: Clustering will be disabled on unit asa2. To bring it back

to the cluster please logon to that unit and re-enable clustering

ユニットをクラスタから削除します。ブートストラップ コンフィギュレーションは変更されず、マスター ユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。マスター ユニットを削除するためにスレーブ ユニットでこのコマンドを入力した場合は、新しいマスター ユニットが選定されます。

メンバ名を一覧表示するには、 cluster remove unit ? と入力するか、 show cluster info コマンドを入力します。

クラスタからの脱退

クラスタから完全に脱退するには、クラスタ ブートストラップ コンフィギュレーション全体を削除する必要があります。実際には、コンフィギュレーション全体を消去または置換する必要があります。

前提条件

各メンバの現在のコンフィギュレーションは同一(マスター ユニットから同期された)であるため、クラスタから脱退すると、クラスタリング前のコンフィギュレーションをバックアップから復元するか、コンフィギュレーションを消去して初めからやり直すことも必要になります。

コンソール ポートを使用する必要があります。クラスタリングのイネーブルまたはディセーブルを、リモート CLI 接続から行うことはできません。

手順の詳細

 

 
コマンド
目的

ステップ 1

スレーブ ユニットの場合:

cluster group cluster_name

no enable
 

hostname(config)# cluster group cluster1

hostname(cfg-cluster)# no enable

クラスタリングをディセーブルにします。クラスタリングがスレーブ ユニット上でイネーブルになっている間は、コンフィギュレーション変更を行うことはできません。

ステップ 2

clear configure all

 

hostname(config)# clear configure all

実行コンフィギュレーションをクリアします。

ステップ 3

バックアップ コンフィギュレーションがある場合:

copy backup_cfg running-config

 

hostname(config)# copy backup_cluster.cfg running-config

 

Source filename [backup_cluster.cfg]?

 

Destination filename [running-config]?

hostname(config)#

バックアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

ステップ 4

write memory

 

hostname(config)# write memory

コンフィギュレーションをスタートアップに保存します。

マスター ユニットの変更

マスター ユニットを変更するには、次の手順を実行します。


) 中央集中型機能については、マスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。中央集中型機能のリストについては、「中央集中型機能」を参照してください。


前提条件

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、 changeto system コマンドを入力します。

手順の詳細

 

コマンド
目的

cluster master unit unit_name

 

hostname(config)# cluster master unit asa2

新しいユニットをマスター ユニットとして設定します。メイン クラスタ IP アドレスへの再接続が必要になります。

メンバ名を一覧表示するには、 cluster master unit ? (現在のユニットを除くすべての名前が表示される)と入力するか、 show cluster info コマンドを入力します。

クラスタ全体でのコマンドの実行

コマンドをクラスタ内のすべてのメンバに、または特定のメンバに送信するには、次の手順を実行します。 show コマンドをすべてのメンバに送信すると、すべての出力が収集されて現在のユニットのコンソールに表示されます。その他のコマンド、たとえば capture copy も、クラスタ全体での実行を活用できます。

手順の詳細

 

コマンド
目的

cluster exec [ unit unit_name ] command

 

hostname# cluster exec show xlate

コマンドをすべてのメンバに送信します。ユニット名を指定した場合は、特定のメンバに送信されます。

メンバ名を一覧表示するには、 cluster exec unit ? (現在のユニットを除くすべての名前が表示される)と入力するか、 show cluster info コマンドを入力します。

同じキャプチャ ファイルをクラスタ内のすべてのユニットから同時に TFTP サーバにコピーするには、マスター ユニットで次のコマンドを入力します。

hostname# cluster exec copy /pcap capture: tftp://10.1.1.56/capture1.pcap
 

複数の PCAP ファイル(各ユニットから 1 つずつ)が TFTP サーバにコピーされます。宛先のキャプチャ ファイル名には自動的にユニット名が付加され、capture1_asa1.pcap、capture1_asa2.pcap などとなります。この例では、asa1 および asa2 がクラスタ ユニット名です。

次の例では、 cluster exec show port-channel summary コマンドの出力に、クラスタの各メンバの EtherChannel 情報が表示されています。

hostname# cluster exec show port-channel summary
primary(LOCAL):***********************************************************
Number of channel-groups in use: 2
Group Port-channel Protocol Span-cluster Ports
------+-------------+-----------+-----------------------------------------------
1 Po1 LACP Yes Gi0/0(P)
2 Po2 LACP Yes Gi0/1(P)
secondary:******************************************************************
Number of channel-groups in use: 2
Group Port-channel Protocol Span-cluster Ports
------+-------------+-----------+-----------------------------------------------
1 Po1 LACP Yes Gi0/0(P)
2 Po2 LACP Yes Gi0/1(P)

ASA クラスタのモニタ

「モニタリングのコマンド」

「関連コマンド」

モニタリングのコマンド

クラスタをモニタするには、次のいずれかのコマンドを入力します。

 

コマンド
目的

show cluster info [ conn-distribution | packet-distribution | health | loadbalance | trace ]

キーワードを指定しないで show cluster info コマンドを実行すると、クラスタ内のすべてのメンバのステータスが表示されます。

show cluster info conn-distribution コマンドと show cluster info packet-distribution コマンドは、すべてのクラスタ ユニットへのトラフィック分散を表示します。これらのコマンドは、外部ロード バランサを評価し、調整するのに役立ちます。

show cluster info trace コマンドは、トラブルシューティングのためのデバッグ情報を表示します。

show cluster info health コマンドは、インターフェイス、ユニットおよびクラスタ全体の現在の状態を表示します。

show cluster info loadbalance コマンドは、接続再分散の統計情報を表示します。

show cluster { access-list | conn | cpu | history | interface-mode | memory | resource | traffic | xlate } [ options ]

クラスタ全体の集約データを表示します。使用可能な options はデータのタイプによって異なります。

show cluster user-identity [ options ]

クラスタ全体のユーザ アイデンティティ情報と統計情報を表示します。

show lacp cluster { system-mac | system-id }

cLACP システム ID およびプライオリティを表示します。

debug cluster [ ccp | datapath | fsm | general | hc | license | rpc | transport ]

クラスタリングのデバッグ メッセージを表示します。

debug lacp cluster [ all | ccp | misc | protocol ]

cLACP のデバッグ メッセージを表示します。

show asp cluster counter

このコマンドは、データパスのトラブルシューティングに役立ちます。

例 7-1 show cluster info

hostname# show cluster info
Cluster stbu: On
This is "C" in state SLAVE
ID : 0
Version : 100.8(0.52)
Serial No.: P3000000025
CCL IP : 10.0.0.3
CCL MAC : 000b.fcf8.c192
Last join : 17:08:59 UTC Sep 26 2011
Last leave: N/A
Other members in the cluster:
Unit "D" in state SLAVE
ID : 1
Version : 100.8(0.52)
Serial No.: P3000000001
CCL IP : 10.0.0.4
CCL MAC : 000b.fcf8.c162
Last join : 19:13:11 UTC Sep 23 2011
Last leave: N/A
Unit "A" in state MASTER
ID : 2
Version : 100.8(0.52)
Serial No.: JAB0815R0JY
CCL IP : 10.0.0.1
CCL MAC : 000f.f775.541e
Last join : 19:13:20 UTC Sep 23 2011
Last leave: N/A
Unit "B" in state SLAVE
ID : 3
Version : 100.8(0.52)
Serial No.: P3000000191
CCL IP : 10.0.0.2
CCL MAC : 000b.fcf8.c61e
Last join : 19:13:50 UTC Sep 23 2011
Last leave: 19:13:36 UTC Sep 23 2011
 

例 7-2 show cluster info trace

hostname# show cluster info trace
Feb 02 14:19:47.456 [DBUG]Receive CCP message: CCP_MSG_LOAD_BALANCE
Feb 02 14:19:47.456 [DBUG]Receive CCP message: CCP_MSG_LOAD_BALANCE
Feb 02 14:19:47.456 [DBUG]Send CCP message to all: CCP_MSG_KEEPALIVE from 80-1 at MASTER
 

例 7-3 show cluster access-list

hostname# show cluster access-list
hitcnt display order: cluster-wide aggregated result, unit-A, unit-B, unit-C, unit-D
access-list cached ACL log flows: total 0, denied 0 (deny-flow-max 4096) alert-interval 300
access-list 101; 122 elements; name hash: 0xe7d586b5
access-list 101 line 1 extended permit tcp 192.168.143.0 255.255.255.0 any eq www (hitcnt=0, 0, 0, 0, 0) 0x207a2b7d
access-list 101 line 2 extended permit tcp any 192.168.143.0 255.255.255.0 (hitcnt=0, 0, 0, 0, 0) 0xfe4f4947
access-list 101 line 3 extended permit tcp host 192.168.1.183 host 192.168.43.238 (hitcnt=1, 0, 0, 0, 1) 0x7b521307
access-list 101 line 4 extended permit tcp host 192.168.1.116 host 192.168.43.238 (hitcnt=0, 0, 0, 0, 0) 0x5795c069
access-list 101 line 5 extended permit tcp host 192.168.1.177 host 192.168.43.238 (hitcnt=1, 0, 0, 1, 0) 0x51bde7ee
access list 101 line 6 extended permit tcp host 192.168.1.177 host 192.168.43.13 (hitcnt=0, 0, 0, 0, 0) 0x1e68697c
access-list 101 line 7 extended permit tcp host 192.168.1.177 host 192.168.43.132 (hitcnt=2, 0, 0, 1, 1) 0xc1ce5c49
access-list 101 line 8 extended permit tcp host 192.168.1.177 host 192.168.43.192 (hitcnt=3, 0, 1, 1, 1) 0xb6f59512
access-list 101 line 9 extended permit tcp host 192.168.1.177 host 192.168.43.44 (hitcnt=0, 0, 0, 0, 0) 0xdc104200
access-list 101 line 10 extended permit tcp host 192.168.1.112 host 192.168.43.44 (hitcnt=429, 109, 107, 109, 104)
0xce4f281d
access-list 101 line 11 extended permit tcp host 192.168.1.170 host 192.168.43.238 (hitcnt=3, 1, 0, 0, 2) 0x4143a818
access-list 101 line 12 extended permit tcp host 192.168.1.170 host 192.168.43.169 (hitcnt=2, 0, 1, 0, 1) 0xb18dfea4
access-list 101 line 13 extended permit tcp host 192.168.1.170 host 192.168.43.229 (hitcnt=1, 1, 0, 0, 0) 0x21557d71
access-list 101 line 14 extended permit tcp host 192.168.1.170 host 192.168.43.106 (hitcnt=0, 0, 0, 0, 0) 0x7316e016
access-list 101 line 15 extended permit tcp host 192.168.1.170 host 192.168.43.196 (hitcnt=0, 0, 0, 0, 0) 0x013fd5b8
access-list 101 line 16 extended permit tcp host 192.168.1.170 host 192.168.43.75 (hitcnt=0, 0, 0, 0, 0) 0x2c7dba0d
 

使用中の接続の、すべてのユニットでの合計数を表示するには、次のとおりに入力します。

hostname# show cluster conn count
Usage Summary In Cluster:*********************************************
200 in use (cluster-wide aggregated)
cl2(LOCAL):***********************************************************
100 in use, 100 most used
 
cl1:******************************************************************
100 in use, 100 most used

関連コマンド

 

コマンド
目的

show conn [ detail ]

show conn コマンドは、フローがディレクタ、バックアップ、またはフォワーダのどのフローであるかを示します。接続に対するさまざまなロールの詳細については、「接続のロール」を参照してください。 cluster exec show conn コマンドを任意のユニットで使用すると、すべての接続が表示されます。このコマンドの表示からは、1 つのフローのトラフィックがクラスタ内のさまざまな ASA にどのように到達するかがわかります。クラスタのスループットは、ロード バランシングの効率とコンフィギュレーションによって異なります。このコマンドを利用すると、ある接続のトラフィックがクラスタ内をどのように流れるかが簡単にわかります。また、ロード バランサがフローのパフォーマンスにどのように影響を与えるかを理解するのに役立ちます。

show route cluster

debug route cluster

クラスタのルーティング情報を表示します。

cluster exec capture

 

クラスタ全体のトラブルシューティングをサポートするには、 cluster exec capture コマンドを使用してマスター ユニット上でのクラスタ固有トラフィックのキャプチャをイネーブルにします。これで、クラスタ内のすべてのスレーブ ユニットでも自動的にイネーブルになります。

を参照してください。

 

mac-address pool name start_mac_address - end_mac_address

 

個別インターフェイス用の MAC アドレスプールを作成します。

prompt cluster-unit

 

CLI プロンプトにクラスタ ユニット名が表示されるように設定します。

を参照してください。

logging device-id

 

クラスタ内の各ユニットは、syslog メッセージを個別に生成します。 logging device-id コマンドを使用すると、同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。

を参照してください。

show port-channel

ポートチャネルがスパンドかどうかに関する情報が含まれます。

例 7-4 show conn

接続フローのトラブルシューティングを行うには、最初にすべてのユニットの接続を一覧表示します。それには、任意のユニットで cluster exec show conn コマンドを入力します。ディレクタ(Y)、バックアップ(y)、およびフォワーダ(z)のフラグを持つフローを探します。次の例には、3 つのすべての ASA での 172.18.124.187:22 から 192.168.103.131:44727 への SSH 接続が表示されています。ASA1 には z フラグがあり、この接続のフォワーダであることを表しています。ASA3 には Y フラグがあり、この接続のディレクタであることを表しています。ASA2 には特別なフラグはなく、これがオーナーであることを表しています。アウトバウンド方向では、この接続のパケットは ASA2 の内部インターフェイスに入り、外部インターフェイスから出ていきます。インバウンド方向では、この接続のパケットは ASA1 および ASA3 の外部インターフェイスに入り、クラスタ制御リンクを介して ASA2 に転送され、次に ASA2 の内部インターフェイスから出ていきます。

hostname/ASA1/master# cluster exec show conn
ASA1(LOCAL):**********************************************************
18 in use, 22 most used
Cluster stub connections: 0 in use, 5 most used
TCP outside 172.18.124.187:22 inside 192.168.103.131:44727, idle 0:00:00, bytes 37240828, flags z
 
 
ASA2:*****************************************************************
12 in use, 13 most used
Cluster stub connections: 0 in use, 46 most used
TCP outside 172.18.124.187:22 inside 192.168.103.131:44727, idle 0:00:00, bytes 37240828, flags UIO
 
 
ASA3:*****************************************************************
10 in use, 12 most used
Cluster stub connections: 2 in use, 29 most used
TCP outside 172.18.124.187:22 inside 192.168.103.131:44727, idle 0:00:03, bytes 0, flags Y
 

次に、 show conn detail コマンドの出力例を示します。

 
hostname/ASA2/slave# show conn detail
12 in use, 13 most used
Cluster stub connections: 0 in use, 46 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
B - initial SYN from outside, b - TCP state-bypass or nailed,
C - CTIQBE media, c - cluster centralized,
D - DNS, d - dump, E - outside back connection, F - outside FIN, f - inside FIN,
G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
k - Skinny media, M - SMTP data, m - SIP media, n - GUP
O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
q - SQL*Net data, R - outside acknowledged FIN,
R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
V - VPN orphan, W - WAAS,
X - inspected by service module,
x - per session, Y - director stub flow, y - backup stub flow,
Z - Scansafe redirection, z - forwarding stub flow
ESP outside: 10.1.227.1/53744 NP Identity Ifc: 10.1.226.1/30604, , flags c, idle 0s, uptime 1m21s, timeout 30s, bytes 7544, cluster sent/rcvd bytes 0/0, owners (0,255) Traffic received at interface outside Locally received: 7544 (93 byte/s) Traffic received at interface NP Identity Ifc Locally received: 0 (0 byte/s) UDP outside: 10.1.227.1/500 NP Identity Ifc: 10.1.226.1/500, flags -c, idle 1m22s, uptime 1m22s, timeout 2m0s, bytes 1580, cluster sent/rcvd bytes 0/0, cluster sent/rcvd total bytes 0/0, owners (0,255) Traffic received at interface outside Locally received: 864 (10 byte/s) Traffic received at interface NP Identity Ifc Locally received: 716 (8 byte/s)

ASA クラスタリングのコンフィギュレーション例

この項では、次のトピックについて取り上げます。

「Firewall on a Stick」

「トラフィックの分離」

「冗長インターフェイス(PBR または ECMP)」

「バックアップ リンクを持つスパンド EtherChannel」

Firewall on a Stick

 

異なるセキュリティ ドメインからのデータ トラフィックには、異なる VLAN が関連付けられます。たとえば内部ネットワーク用には VLAN 10、外部ネットワークには VLAN 20 とします。各 ASA は単一の物理ポートがあり、外部スイッチまたはルータに接続されます。トランキングがイネーブルになっているので、物理リンク上のすべてのパケットが 802.1q カプセル化されます。ASA は、VLAN 10 と VLAN 20 の間のファイアウォールです。

スパンド EtherChannel を使用するときは、スイッチ側ですべてのデータ リンクがグループ化されて 1 つの EtherChannel となります。ASA の 1 つが使用不可能になった場合は、スイッチは残りのユニット間でトラフィックを再分散します。

各ユニットのインターフェイス モード

cluster-interface mode spanned force

ASA1 マスター ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa1
cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
enable noconfirm
 

ASA2 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa2
cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
priority 2
key chuntheunavoidable
enable as-slave
 

ASA3 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa3
cluster-interface port-channel1 ip 192.168.1.3 255.255.255.0
priority 3
key chuntheunavoidable
enable as-slave
 

マスター インターフェイス コンフィギュレーション

ip local pool mgmt 10.1.1.2-10.1.1.9

ipv6 local pool mgmtipv6 2001:DB8::1002/64 8

 

interface management 0/0

nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6
security-level 100
management-only
no shutdown
 

interface tengigabitethernet 0/8

channel-group 2 mode active
no shutdown
interface port-channel 2
port-channel span-cluster
interface port-channel 2.10
vlan 10
nameif inside
ip address 10.10.10.5 255.255.255.0
ipv6 address 2001:DB8:1::5/64
mac-address 000C.F142.4CDE
interface port-channel 2.20
vlan 20
nameif outside
ip address 209.165.201.1 255.255.255.224
ipv6 address 2001:DB8:2::8/64
mac-address 000C.F142.5CDE
 

トラフィックの分離

 

内部ネットワークと外部ネットワークの間で、トラフィックを物理的に分離することができます。

上の図に示すように、左側に一方のスパンド EtherChannel があり、内部スイッチに接続されています。他方は右側にあり、外部スイッチに接続されています。必要であれば、各 EtherChannel 上に VLAN サブインターフェイスを作成することもできます。

各ユニットのインターフェイス モード

cluster-interface mode spanned force

ASA1 マスター ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa1
cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
enable noconfirm
 

ASA2 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa2
cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
priority 2
key chuntheunavoidable
enable as-slave
 

ASA3 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa3
cluster-interface port-channel1 ip 192.168.1.3 255.255.255.0
priority 3
key chuntheunavoidable
enable as-slave
 

マスター インターフェイス コンフィギュレーション

ip local pool mgmt 10.1.1.2-10.1.1.9

ipv6 local pool mgmtipv6 2001:DB8::1002/64 8

 

interface management 0/0

nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6
security-level 100
management-only
no shutdown
 

interface tengigabitethernet 0/8

channel-group 2 mode active
no shutdown
interface port-channel 2
port-channel span-cluster
nameif inside
ip address 10.10.10.5 255.255.255.0
ipv6 address 2001:DB8:1::5/64
mac-address 000C.F142.4CDE
 

interface tengigabitethernet 0/9

channel-group 3 mode active
no shutdown
interface port-channel 3
port-channel span-cluster
nameif outside
ip address 209.165.201.1 255.255.255.224
ipv6 address 2001:DB8:2::8/64
mac-address 000C.F142.5CDE
 

冗長インターフェイス(PBR または ECMP)

 

冗長インターフェイスを使用すると、リンク レベルの冗長性が実現します。

個別インターフェイスを使用するときのバックアップ インターフェイスへの切り替えは、非クラスタリング モードでの動作に似ています。プライマリ リンクに障害が発生したときは、ASA によってバックアップ リンクがアクティブ化されます。スイッチ上のスパニングツリーがコンバージするのに少し時間がかかります。完了すると、スイッチ側でバックアップ リンクがアクティブになります。バックアップ リンクを別のスイッチに接続すると、スイッチ間冗長性が実現します。

各ユニットのインターフェイス モード

cluster-interface mode individual force

ASA1 マスター ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa1
cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
enable noconfirm
 

ASA2 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa2
cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
priority 2
key chuntheunavoidable
enable as-slave
 

ASA3 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa3
cluster-interface port-channel1 ip 192.168.1.3 255.255.255.0
priority 3
key chuntheunavoidable
enable as-slave
 

マスター インターフェイス コンフィギュレーション

ip local pool mgmt 10.1.1.2-10.1.1.9

ipv6 local pool mgmtipv6 2001:DB8::1002/64 8

 

interface management 0/0

channel-group 2 mode active
no shutdown

interface management 0/1

channel-group 2 mode active
no shutdown
interface port-channel 2
nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
ipv6 address 2001:DB8::1001/32 cluster-pool mgmtipv6
security-level 100
management-only
no shutdown
 

ip local pool inside 10.10.10.1-10.10.10.2

ipv6 local pool insideipv6 2001:DB8:4:5/64 2

 
interface redundant 1
member-interface tengigabitethernet 1/6
member-interface tengigabitethernet 1/7
nameif inside
ip address 10.10.10.5 255.255.255.0 cluster-pool inside
ipv6 address 2001:DB8:4:3/64 cluster-pool insideipv6
security-level 100
 

ip local pool outside 209.165.201.5-209.165.201.6

ipv6 local pool outsideipv6 2001:DB8:DD:5/64 2

 
interface redundant 2
member-interface tengigabitethernet 0/8
member-interface tengigabitethernet 0/9
nameif outside
ip address 209.165.201.1 255.255.255.224 cluster-pool outside
ipv6 address 2001:DB8:DD:1/64 cluster-pool outsideipv6
security-level 0

バックアップ リンクを持つスパンド EtherChannel

1 つの EtherChannel のアクティブ ポートの最大数は、スイッチ側からの 8 までとなります。8 台の ASA から成るクラスタがあり、EtherChannel にユニットあたり 2 ポートを割り当てた場合は、合計 16 ポートのうち 8 ポートをスタンバイ モードにする必要があります。ASA は、どのリンクをアクティブまたはスタンバイにするかを、LACP を使用してネゴシエートします。VSS または vPC を使用してマルチスイッチ EtherChannel をイネーブルにした場合は、スイッチ間の冗長性を実現できます。ASA では、すべての物理ポートが最初にスロット番号順、次にポート番号順に並べられます。次の図では、番号の小さいポートが「プライマリ」ポートとなり(たとえば GigabitEthernet 0/0)、他方が「セカンダリ」ポートとなります(たとえば GigabitEthernet 0/1)。ハードウェア接続の対称性を保証する必要があります。つまり、すべてのプライマリ リンクは 1 台のスイッチが終端となり、すべてのセカンダリ リンクは別のスイッチが終端となっている必要があります(VSS/vPC が使用されている場合)。次の図は、クラスタに参加するユニットが増えてリンクの総数が増加したときに、どのようになるかを示しています。

 

原則として、初めにチャネル内のアクティブ ポート数を最大化し、そのうえで、アクティブなプライマリ ポートとアクティブなセカンダリ ポートの数のバランスを保ちます。5 番目のユニットがクラスタに参加したときは、トラフィックがすべてのユニットに均等には分散されないことに注意してください。

リンクまたはデバイスの障害が発生したときも、同じ原則で処理されます。その結果、ロード バランシングが理想的な状態にはならないこともあります。次の図は、4 ユニットのクラスタを示しています。このユニットの 1 つで、単一リンク障害が発生しています。

 

ネットワーク内に複数の EtherChannel を設定することも考えられます。次の図では、EtherChannel が内部に 1 つ、外部に 1 つあります。ASA は、一方の EtherChannel でプライマリとセカンダリの両方のリンクが障害状態になった場合にクラスタから削除されます。これは、その ASA がすでに内部ネットワークへの接続を失っているにもかかわらず、外部ネットワークからトラフィックを受信するのを防ぐためです。

 

各ユニットのインターフェイス モード

cluster-interface mode spanned force

ASA1 マスター ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/8

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/9

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa1
cluster-interface port-channel1 ip 192.168.1.1 255.255.255.0
priority 1
key chuntheunavoidable
enable noconfirm
 

ASA2 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/8

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/9

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa2
cluster-interface port-channel1 ip 192.168.1.2 255.255.255.0
priority 2
key chuntheunavoidable
enable as-slave
 

ASA3 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/8

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/9

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa3
cluster-interface port-channel1 ip 192.168.1.3 255.255.255.0
priority 3
key chuntheunavoidable
enable as-slave
 

ASA4 スレーブ ブートストラップ コンフィギュレーション

interface tengigabitethernet 0/6

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/7

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/8

channel-group 1 mode on
no shutdown

interface tengigabitethernet 0/9

channel-group 1 mode on
no shutdown
interface port-channel 1
no shutdown
description CCL
 

cluster group cluster1

local-unit asa4
cluster-interface port-channel1 ip 192.168.1.4 255.255.255.0
priority 4
key chuntheunavoidable
enable as-slave
 

マスター インターフェイス コンフィギュレーション

ip local pool mgmt 10.1.1.2-10.1.1.9

 

interface management 0/0

channel-group 2 mode active
no shutdown

interface management 0/1

channel-group 2 mode active
no shutdown
interface port-channel 2
nameif management
ip address 10.1.1.1 255.255.255.0 cluster-pool mgmt
security-level 100
management-only
no shutdown
 

interface tengigabitethernet 1/6

channel-group 3 mode active vss-id 1
no shutdown

interface tengigabitethernet 1/7

channel-group 3 mode active vss-id 2
no shutdown
interface port-channel 3
port-channel span-cluster vss-load-balance
nameif inside
ip address 10.10.10.5 255.255.255.0
mac-address 000C.F142.4CDE
 

interface tengigabitethernet 1/8

channel-group 4 mode active vss-id 1
no shutdown

interface tengigabitethernet 1/9

channel-group 4 mode active vss-id 2
no shutdown
interface port-channel 4
port-channel span-cluster vss-load-balance
nameif outside
ip address 209.165.201.1 255.255.255.224
mac-address 000C.F142.5CDE
 

ASA クラスタリングの機能履歴

表 7-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 7-3 クラスタリングの機能履歴

機能名
プラットフォーム リリース
機能情報

ASA クラスタリング

9.0(1)

クラスタリングを利用すると、複数の ASA をグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

channel-group clacp system-mac clear cluster info clear configure cluster cluster exec cluster group cluster interface-mode cluster-interface conn-rebalance、console-replicate cluster master unit cluster remove unit debug cluster debug lacp cluster enable (クラスタ グループ)、 health-check ip address ipv6 address key (クラスタ グループ)、 local-unit、mac-address (インターフェイス)、 mac-address pool mtu cluster-interface、port-channel span-cluster、priority (クラスタ グループ)、 prompt cluster-unit show asp cluster counter show asp table cluster chash-table show cluster show cluster info show cluster user-identity show lacp cluster show running-config cluster の各コマンドが導入または変更されました。