Cisco セキュリティ アプライアンス コマンドライン コンフィギュレーション ガイド Cisco ASA 5500 シリーズ/Cisco PIX 500 シリーズ用 ソフトウェア バージョン 7.2
failover.fm
フェールオーバーの設定
発行日;2013/09/05 | 英語版ドキュメント(2011/04/01 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 11MB) | フィードバック

目次

フェールオーバーの設定

フェールオーバーの概要

フェールオーバーのシステム要件

ハードウェア要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

ステートフル フェールオーバー リンク

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー

アクティブ/ スタンバイ フェールオーバー

アクティブ/アクティブ フェールオーバー

使用するフェールオーバーのタイプの決定

標準フェールオーバーとステートフル フェールオーバー

標準フェールオーバー

ステートフル フェールオーバー

トランスペアレント ファイアウォール モードの要件

フェールオーバー ヘルスのモニタリング

装置ヘルスのモニタリング

インターフェイスのモニタリング

フェールオーバー機能およびプラットフォーム表

プラットフォーム別フェールオーバー時間

フェールオーバーの設定

フェールオーバー設定の制限事項

アクティブ/ スタンバイ フェールオーバーの設定

前提条件

ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定(PIX セキュリティ アプライアンスのみ)

LAN ベースのアクティブ/ スタンバイ フェールオーバーの設定

オプションのアクティブ/スタンバイ フェールオーバー設定値の設定

アクティブ/ アクティブ フェールオーバーの設定

前提条件

ケーブルベースのアクティブ/アクティブ フェールオーバーの設定(PIX )

LAN ベースのアクティブ/ アクティブ フェールオーバーの設定

オプションのアクティブ/アクティブ フェールオーバー設定値の設定

装置ヘルス モニタリングの設定

フェールオーバー通信の認証/暗号化の設定

フェールオーバー コンフィギュレーションの確認

show failover コマンドの使用

監視対象インターフェイスの表示

実行コンフィギュレーション内のフェールオーバー コマンドの表示

フェールオーバー機能のテスト

フェールオーバーの制御およびモニタリング

フェールオーバーの強制実行

フェールオーバーのディセーブル化

障害が発生した装置またはフェールオーバー グループの復元

フェールオーバー動作のモニタ

フェールオーバー システム メッセージ

デバッグ メッセージ

SNMP

フェールオーバーの設定

この章では、セキュリティ アプライアンスのフェールオーバー機能について説明します。この機能を使用すると、2 つのセキュリティ アプライアンスを設定して、一方の装置が故障した場合に、もう一方の装置が動作を引き継ぐようにできます。


) ASA 5505 シリーズ適応型セキュリティ アプライアンスは、ステートフル フェールオーバーまたはアクティブ/アクティブ フェールオーバーをサポートしません。


この章は、次の項で構成されています。

「フェールオーバーの概要」

「フェールオーバーの設定」

「フェールオーバーの制御およびモニタリング」

フェールオーバーの設定例は、 付録 B「設定例」 を参照してください。

フェールオーバーの概要

フェールオーバー設定には、同じセキュリティ アプライアンスが 2 台、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。アクティブ インターフェイスおよび装置のヘルスがモニタされて、所定のフェールオーバー条件に一致しているかどうかが判断されます。所定の条件に一致すると、フェールオーバーが行われます。

セキュリティ アプライアンスは、アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーの 2 つのフェールオーバーをサポートします。各フェールオーバー コンフィギュレーションには、フェールオーバーを判定および実行する独自の方式があります。

アクティブ/アクティブ フェールオーバーでは、両方の装置がネットワーク トラフィックを渡すことができます。これによって、ネットワークのロードバランシングを設定できます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで実行中の装置でのみ使用できます。

アクティブ/スタンバイ フェールオーバーでは、1 つの装置だけがトラフィックを渡すことができ、もう 1 つの装置はスタンバイ状態で待機します。アクティブ/スタンバイ フェールオーバーは、シングル コンテキスト モードで実行中の装置とマルチ コンテキスト モードで実行中の装置の両方で使用できます。

両フェールオーバー コンフィギュレーションとも、ステートフルまたはステートレス(通常)フェールオーバーをサポートします。


) VPN フェールオーバーは、マルチコンテキスト モードで動作中の装置ではサポートされません。VPN フェールオーバーは、アクティブ/ スタンバイ フェールオーバー コンフィギュレーションに限り使用できます。


この項では、次のトピックについて取り上げます。

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステートフル フェールオーバー リンク」

「アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー」

「標準フェールオーバーとステートフル フェールオーバー」

「トランスペアレント ファイアウォール モードの要件」

「フェールオーバー ヘルスのモニタリング」

「フェールオーバー機能およびプラットフォーム表」

「プラットフォーム別フェールオーバー時間」

フェールオーバーのシステム要件

この項では、フェールオーバー コンフィギュレーションにあるセキュリティ アプライアンスのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。ここでは、次の内容について説明します。

「ハードウェア要件」

「ソフトウェア要件」

「ライセンス要件」

ハードウェア要件

フェールオーバー コンフィギュレーションでは、2 台の装置が同じハードウェア コンフィギュレーションになっていなければなりません。つまり、同じモデル、同じ数とタイプのインターフェイス、および同じ RAM 量でなければなりません。


) 2 台の装置のフラッシュ メモリ サイズが同じである必要はありません。フェールオーバー コンフィギュレーションでフラッシュ メモリのサイズが異なる装置を使用している場合、フラッシュ メモリが小さい方の装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルに対応する十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。


ソフトウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は同じ動作モード(ルーテッドまたは透過、シングル コンテキストまたはマルチ コンテキスト)でなければなりません。ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを使用できます。たとえば、ある装置をバージョン 7.0(1) からバージョン 7.0(2) にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

フェールオーバー ペアでのソフトウェアのアップグレードについては、「フェールオーバー ペアのゼロ ダウンタイム アップグレードの実行」を参照してください。

ライセンス要件

PIX 500 シリーズ セキュリティ アプライアンスでは、少なくとも 1 台の装置に無制限(UR)ライセンスが必要です。もう一方の装置は、Failover Only(FO)ライセンス、Failover Only Active-Active(FO_AA)ライセンス、または別の UR ライセンスのどれでもかまいません。制限付きライセンスの装置はフェールオーバーには使用できません。FO または FO_AA ライセンスの装置 2 台をフェールオーバー ペアとして一緒に使用できません。


) FO ライセンスは、アクティブ/ アクティブ フェールオーバーをサポートしません。


FO ライセンスおよび FO_AA ライセンスは、フェールオーバー コンフィギュレーションの装置だけに使用することが予定されており、スタンドアロン モードの装置で使用することは考えられていません。このいずれかのライセンスのフェールオーバー装置をスタンドアロン モードで使用すると、フェールオーバー動作に戻るまで、少なくとも 24 時間に 1 回リブートされます。FO または FO_AA ライセンスの装置は、UR ライセンスのフェールオーバー ピアに接続されていない状態でブートされると、スタンドアロン モードで動作します。フェールオーバー ペアの UR ライセンスの装置が故障して、コンフィギュレーションから削除された場合、FO または FO_AA ライセンスの装置は、24 時間ごとに自動的にリブートすることはなくなります。手動でリブートされない限り、中断することなく動作します。

装置が自動的にリブートされると、次のメッセージがコンソールに表示されます。

=========================NOTICE=========================
This machine is running in secondary mode without
a connection to an active primary PIX. Please
check your connection to the primary system.
 
REBOOTING....
========================================================
 

ASA 5500 シリーズ適応型セキュリティ アプライアンス プラットフォームには、この制限はありません。

フェールオーバー リンクとステートフル フェールオーバー リンク

この項では、フェールオーバー リンクおよびステートフル フェールオーバー リンクについて説明します。これらのリンクは、フェールオーバー コンフィギュレーションで 2 台の装置を接続する専用のリンクです。この項では、次のトピックについて取り上げます。

「フェールオーバー リンク」

「ステートフル フェールオーバー リンク」

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。次の情報がフェールオーバー リンク経由で伝達されています。

装置の状態(アクティブまたはスタンバイ)

電源ステータス(ケーブルベースのフェールオーバー限定:PIX 500 シリーズ セキュリティ アプライアンスに限り使用可能)

Hello メッセージ(キープアライブ)

ネットワーク リンク ステータス

MAC アドレス交換

設定の複製と同期化


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にセキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。セキュリティ アプライアンスを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

PIX 500 シリーズ セキュリティ アプライアンスでは、フェールオーバー リンクは LAN ベース接続または専用シリアル フェールオーバー ケーブルのいずれかになります。ASA 5500 シリーズ適応型セキュリティ アプライアンスでは、フェールオーバー リンクは LAN ベース接続だけになります。

この項では、次のトピックについて取り上げます。

「LAN ベースのフェールオーバー リンク」

「シリアル ケーブル フェールオーバー リンク(PIX セキュリティ アプライアンス限定)」

LAN ベースのフェールオーバー リンク

デバイス上のイーサネット インターフェイスは、使用されていなければどれでも、フェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。LAN フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとして設定できません。フェールオーバー通信専用です。このインターフェイスは、LAN フェールオーバー リンク(および、オプションでステートフル フェールオーバー リンク)専用とする必要があります。

LAN フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。

ASA の LAN フェールオーバー インターフェイスと同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)に他の装置のないスイッチを使用する。

クロス イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。


) LAN フェールオーバー リンクにクロスオーバー ケーブルを使用した場合、LAN インターフェイスで障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。



) ASA は、銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているため、クロスオーバー ケーブルまたはストレート ケーブルのいずれかを使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。


シリアル ケーブル フェールオーバー リンク(PIX セキュリティ アプライアンス限定)

シリアル フェールオーバー ケーブル、つまり「ケーブルベースのフェールオーバー」は PIX 500 シリーズ セキュリティ アプライアンスだけで使用できます。2 台の装置の距離が約 1.8 m 以内の場合は、シリアル フェールオーバー ケーブルを使用することをお勧めします。

2 台の装置を接続するケーブルは、117,760 bps(115 Kbps)でデータを転送する修正 RS-232 シリアル リンク ケーブルです。ケーブルの一方の端には「Primary」のラベルが付いています。ケーブルのこの端に接続される装置は、自動的にプライマリ装置になります。ケーブルのもう一方の端には「Secondary」のラベルが付いています。ケーブルのこの端に接続される装置は、自動的にセカンダリ装置になります。PIX 500 シリーズ セキュリティ アプライアンス ソフトウェアでこれらの指定を上書きできません。PIX 500 シリーズ セキュリティ アプライアンス フェールオーバー バンドルを購入すると、このケーブルが含まれています。予備を注文する場合は、部品番号 PIX-FO= を使用します。

ケーブルベースのフェールオーバーを使用する利点は次のとおりです。

PIX 500 シリーズ セキュリティ アプライアンスは、ピア装置の電源断を即時に検出でき、さらに電源断とケーブルが外れている状態とを区別できます。

スタンバイ装置はアクティブ装置と通信でき、またフェールオーバーのブートストラップを行わなくても、コンフィギュレーション全体を受信できます。LAN ベースのフェールオーバーでは、スタンバイ装置がアクティブ装置と通信するには、事前にスタンバイ装置にフェールオーバー リンクを設定しておく必要があります。

LAN ベースのフェールオーバーで 2 台の装置間のスイッチが、別のハードウェア障害ポイントとなる場合があります。ケーブルベースのフェールオーバーでは、この潜在的な障害ポイントはなくなります。

イーサネット インターフェイス(およびスイッチ)をフェールオーバー リンク専用にする必要はありません。

ケーブルによってプライマリ装置とセカンダリ装置が判別されるため、装置コンフィギュレーションでその情報を手動で入力する必要がなくなります。

欠点は次のとおりです。

距離の制限:装置は約 6 フィートを超えて離せません。

コンフィギュレーションの複製に時間がかかります。

ステートフル フェールオーバー リンク

ステートフル フェールオーバーを使用するには、ステートフル フェールオーバー リンクを設定してすべてのステート情報を渡す必要があります。ステートフル フェールオーバー リンクを設定する方法としては、次の 3 つのオプションがあります。

ステートフル フェールオーバー リンクに、専用のイーサネット インターフェイスを使用できます。

LAN ベースのフェールオーバーを使用する場合は、フェールオーバー リンクを共有できます。

内部インターフェイスなど、通常のデータ インターフェイスを共有できます。しかし、このオプションはお勧めしません。

ステートフル フェールオーバー リンクに専用のイーサネット インターフェイスを使用する場合は、スイッチまたはクロス ケーブルを使用して、ユニットを直接接続できます。スイッチを使用する場合は、このリンク上に他のホストやルータを配置しないようにする必要があります。


) セキュリティ アプライアンスに直接接続されている Cisco スイッチ ポートの PortFast オプションをイネーブルにします。


データ インターフェイスをステートフル フェールオーバー リンクとして使用する場合、そのインターフェイスをステートフル フェールオーバー リンクと指定すると、次の警告が表示されます。

******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
 

データ インターフェイスとステートフル フェールオーバー インターフェイスを共有すると、リプレイ攻撃を受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。


) データ インターフェイスは、シングル コンテキストのルーテッド モードでのみステートフル フェールオーバー インターフェイスとして使用できます。


マルチ コンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にセキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。セキュリティ アプライアンスを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

ステートフル リンクのフェールオーバー インターフェイス速度

フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

Cisco PIX セキュリティ アプライアンスおよび Cisco ASA 適応型セキュリティ アプライアンスについては、次のフェールオーバー インターフェイスの速度ガイドラインを使用します。

Cisco ASA 5520/5540/5550 および PIX 515E/535

ステートフル リンク スピードが最速データリンクと一致している必要があります。

Cisco ASA 5510 および PIX 525

データ インターフェイスが 1 ギガビットで動作できる場合であっても、CPU 速度の制限により、ステートフル リンクが動作できる速度は 100 Mbps です。

長距離の LAN フェールオーバーを使用する場合の遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒未満の場合、フェールオーバー メッセージの再送信によって、パフォーマンスが低下する可能性があります。

すべてのプラットフォームがフェールオーバー ハートビートとステートフル リンクの共有をサポートしますが、ステートフル フェールオーバー トラフィックの多いシステムでは、ハートビート リンクを分けることをお勧めします。

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー

ここでは、各フェールオーバーの設定について詳しく説明します。この項では、次のトピックについて取り上げます。

「アクティブ/ スタンバイ フェールオーバー」

「アクティブ/アクティブ フェールオーバー」

「使用するフェールオーバーのタイプの決定」

アクティブ/ スタンバイ フェールオーバー

ここでは、アクティブ/スタンバイ フェールオーバーを設定する手順について説明します。次の項目を取り上げます。

「アクティブ/スタンバイ フェールオーバーの概要」

「プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス」

「デバイスの初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバー アクション」

アクティブ/スタンバイ フェールオーバーの概要

アクティブ/スタンバイ フェールオーバーでは、障害が発生した装置の機能を、スタンバイ セキュリティ アプライアンス に引き継ぐことができます。アクティブ装置が故障すると、スタンバイ状態に変わり、そしてスタンバイ装置がアクティブ状態に変わります。アクティブになる装置が、障害の発生した装置の IP アドレス(または、トランスペアレント ファイアウォールの場合は管理 IP アドレス)および MAC アドレスを引き継いで、トラフィックの転送を開始します。現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク デバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。


) マルチ コンテキスト モードの場合、セキュリティ アプライアンスは装置全体(すべてのコンテキストを含む)をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーすることはできません。


プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

フェールオーバー ペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。この規則の例外は、セカンダリ装置がアクティブであり、フェールオーバー リンク経由でプライマリ装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アドレスが使用されます。

デバイスの初期化とコンフィギュレーションの同期

コンフィギュレーションの同期は、フェールオーバー ペアの一方または両方のデバイスがブートされると行われます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。スタンバイ装置は、その初期スタートアップを完了すると、自分の実行コンフィギュレーションを削除し(アクティブ装置との通信に必要なフェールオーバー コマンドを除く)、アクティブ装置は自分のコンフィギュレーション全体をスタンバイ装置に送信します。

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

両方の装置を同時に起動する場合、プライマリ ユニットがアクティブ ユニットになり、セカンダリ ユニットがスタンバイ ユニットになります。


) セカンダリ装置がブートされてプライマリ装置を検出できないと、その装置はアクティブ装置になります。アクティブ IP アドレスには、セカンダリ装置自体の MAC アドレスを使用します。しかし、プライマリ装置が使用可能になると、セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。これを回避するには、フェールオーバー ペアを仮想 MAC アドレスで設定します。詳細については、「仮想 MAC アドレスの設定」を参照してください。


複製が開始されると、アクティブ装置のセキュリティ アプライアンス コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、セキュリティ アプライアンスに「End Configuration Replication to mate」というメッセージが表示されます。複製中、アクティブ装置に入力されたコマンドがスタンバイ装置に適切に複製されないことがあり、またスタンバイ装置に入力されたコマンドが、アクティブ装置から複製されているコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。

スタンバイ装置の場合、コンフィギュレーションは実行メモリにだけ存在します。同期後の設定をフラッシュ メモリに保存する手順は、次のとおりです。

シングル コンテキスト モードの場合は、アクティブ装置で write memory コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチ コンテキスト モードの場合は、システム実行スペースからアクティブ装置で write memory all コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。このコマンドで all キーワードを使用すると、システムとすべてのコンテキスト コンフィギュレーションが保存されます。


) 外部のサーバに保存されたスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。スタンバイ装置で、装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

コマンドの複製は常に、アクティブ装置からスタンバイ装置の方向に行われます。アクティブ装置にコマンドを入力すると、そのコマンドがフェールオーバー リンクを通してスタンバイ装置に送信されます。コマンドを複製する場合、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。

スタンバイ ユニットに複製されるコマンドは、次のとおりです。

mode firewall 、および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config

delete

mkdir

rename

rmdir

write memory

スタンバイ ユニットに複製されないコマンドは、次のとおりです。

copy running-config startup-config を除く、すべての形式の copy コマンド

write memory を除く、すべての形式の write コマンド

debug

failover lan unit

firewall

mode

show


) スタンバイ装置上で行った変更は、アクティブ装置に複製されません。スタンバイ装置にコマンドを入力すると、セキュリティ アプライアンスに「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit.Configurations are no longer synchronized.」というメッセージが表示されます。このメッセージは、コンフィギュレーションに影響しない数多くのコマンドを入力したときにも表示されます。


アクティブ装置に write standby コマンドを入力すると、スタンバイ装置で実行コンフィギュレーションが削除され(アクティブ装置との通信に使用するフェールオーバー コマンドを除く)、アクティブ装置のコンフィギュレーション全体がスタンバイ装置に送信されます。

マルチ コンテキスト モードの場合、システム実行スペースに write standby コマンドを入力すると、すべてのコンテキストが複製されます。あるコンテキスト内で write standby コマンドを入力すると、コマンドはそのコンテキスト コンフィギュレーションだけを複製します。

複製されたコマンドは、実行コンフィギュレーションに保存されます。スタンバイ装置のフラッシュ メモリに複製されたコマンドを保存するには、次のように行います。

シングル コンテキスト モードの場合は、アクティブ装置で copy running-config startup-config コマンドを使用します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチ コンテキスト モードの場合は、システム実行スペースおよびディスク上の各コンテキスト内からアクティブ装置に copy running-config startup-config コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。外部のサーバにスタートアップ コンフィギュレーションがあるコンテキストは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。

フェールオーバーのトリガー

次のいずれかのイベントが発生した場合、装置が故障する可能性があります。

装置でハードウェア障害または電源断が発生した。

装置でソフトウェア障害が発生した。

多くのモニタ対象インターフェイスが故障した。

アクティブ ユニット上に no failover active コマンドが入力された場合、またはスタンバイ ユニット上に failover active コマンドが入力された場合

フェールオーバー アクション

アクティブ/スタンバイ フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチ コンテキスト モードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

表 14-1 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 14-1 フェールオーバー動作

障害の状況
ポリシー
アクティブ アクション
スタンバイ アクション
注意事項

アクティブ装置が故障(電源またはハードウェア)

フェールオーバー

n/a

アクティブになる

アクティブに故障とマークする

モニタ対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーなし

スタンバイになる

動作なし

なし。

スタンバイ装置が故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

n/a

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

フェールオーバー インターフェイスに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

アクティブ装置におけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし。

スタンバイ装置におけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

アクティブ/アクティブ フェールオーバー

この項では、アクティブ/アクティブ フェールオーバーについて説明します。この項では、次のトピックについて取り上げます。

「アクティブ/アクティブ フェールオーバーの概要」

「プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス」

「デバイスの初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバーのアクション」

アクティブ/アクティブ フェールオーバーの概要

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードのセキュリティ アプライアンスでのみ使用できます。アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のセキュリティ アプライアンスがネットワーク トラフィックを渡すことができます。

アクティブ/アクティブ フェールオーバーでは、セキュリティ アプライアンスのセキュリティ コンテキストは、 フェールオーバー グループ に分割されます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。セキュリティ アプライアンスには最大 2 つのフェールオーバー グループを作成できます。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバです。

フェールオーバー グループは、アクティブ/アクティブ フェールオーバーにおいてフェールオーバーの基本単位を形成します。インターフェイス障害モニタリング、フェールオーバー、およびアクティブ/スタンバイ ステータスはすべて、フェールオーバー グループの属性であって、装置の属性ではありません。アクティブ側のフェールオーバー グループに障害が発生するとスタンバイ状態に変わり、一方で、スタンバイ側のフェールオーバー グループがアクティブになります。アクティブになったフェールオーバー グループのインターフェイスが、故障したフェールオーバー グループのインターフェイスの MAC アドレスと IP アドレスを引き継ぎます。スタンバイ状態になったフェールオーバー グループのインターフェイスが、スタンバイ MAC アドレスと IP アドレスを引き継ぎます。


) あるフェールオーバー グループが装置上で故障したというのは、装置が故障したという意味ではありません。その装置では、別のフェールオーバー グループが依然としてトラフィックを渡している場合があります。


フェールオーバー グループを作成する場合は、フェールオーバー グループ 1 がアクティブ状態にある装置に作成する必要があります。


) アクティブ/アクティブ フェールオーバーでは、各フェールオーバー グループのインターフェイスに対して仮想 MAC アドレスが生成されます。同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

アクティブ/スタンバイ フェールオーバーの場合のように、アクティブ/アクティブ フェールオーバー ペアの一方の装置がプライマリ装置に指定され、もう一方の装置がセカンダリ装置に指定されます。アクティブ/スタンバイ フェールオーバーの場合とは異なり、両方の装置が同時に起動された場合、この指定ではどちらの装置がアクティブになるか指示しません。代わりに、プライマリまたはセカンダリの指定時に、次の 2 つの点を判定します。

同時にブートされたときに、実行コンフィギュレーションをペアに提供する装置がいずれかを判定します。

装置が同時にブートされたときに、各フェールオーバー グループがアクティブ状態で表示される装置がいずれかを判定します。コンフィギュレーションの各フェールオーバー グループは、プライマリまたはセカンダリ装置プリファレンスが設定されます。両方のフェールオーバー グループをペアのうち一方の装置でアクティブ状態に設定して、もう一方の装置にはスタンバイ状態のフェールオーバー グループが含まれるように設定できます。ただし、さらに一般的なコンフィギュレーションでは、各フェールオーバー グループに異なる役割プリファレンスを割り当て、装置ごとにそれぞれ 1 つをアクティブにして、デバイス全体でトラフィックが分散するようにします。


) セキュリティ アプライアンスには、ロードバランシング サービスは用意されていません。ロードバランシングは、セキュリティ アプライアンスにトラフィックを渡すルータが処理する必要があります。


各フェールオーバー グループがアクティブになる装置は、次のように特定されます。

ピア装置が使用できないときに装置がブートされると、両方のフェールオーバー グループがピア装置でアクティブになります。

ピア装置がアクティブ(両方のフェールオーバー グループがアクティブ状態)の場合に装置がブートされると、フェールオーバー グループは、アクティブ装置でアクティブ状態のままになります。これは、次のいずれかの状態になるまで、フェールオーバー グループのプライマリ プリファレンスまたはセカンダリ プリファレンスには関係ありません。

フェールオーバーが発生した。

no failover active コマンドを使用して、別の装置にフェールオーバー グループを手動で設定した。

preempt コマンドでフェールオーバー グループを設定した。この設定により、優先する装置が使用可能になると、フェールオーバー グループはその装置上で自動的にアクティブになります。

同時に両方の装置がブートされると、コンフィギュレーションが同期化された後、各フェールオーバー グループは優先する装置上でアクティブになります。

デバイスの初期化とコンフィギュレーションの同期

コンフィギュレーションの同期がとられるのは、フェールオーバー ペアの一方または両方の装置がブートされたときです。コンフィギュレーションは、次のように同期化されます。

ピア装置がアクティブ(ピア装置で両方のフェールオーバー グループがアクティブ)の間に装置がブートされると、ブートされた装置のプライマリまたはセカンダリ指定に関係なく、ブートされた装置はアクティブ装置にアクセスして実行コンフィギュレーションを取得します。

両方の装置が同時にブートされた場合、セカンダリ装置はプライマリ装置から実行コンフィギュレーションを取得します。

複製が開始されると、コンフィギュレーションを送信する装置のセキュリティ アプライアンス コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、セキュリティ アプライアンスに「End Configuration Replication to mate」というメッセージが表示されます。複製中、コンフィギュレーションを送信する装置に入力されたコマンドがピア装置に適切に複製されないことがあり、またコンフィギュレーションを受信する装置に入力されたコマンドが、受信中のコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。

コンフィギュレーションを受信する装置の場合、コンフィギュレーションは実行メモリにだけ存在します。同期後にコンフィギュレーションをフラッシュ メモリに保存するには、フェールオーバー グループ 1 がアクティブ状態にあるシステム実行スペースに write memory all コマンドを入力します。コマンドはピア装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。このコマンドで all キーワードを使用すると、システムとすべてのコンテキスト コンフィギュレーションが保存されます。


) 外部のサーバに保存されたスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、コンテキスト コンフィギュレーション ファイルをプライマリ装置のディスク上から外部サーバにコピーし、それからセカンダリ装置のディスクにコピーできます。セカンダリ装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

両方の装置が動作中になった後で、次のように、コマンドが一方の装置からもう一方の装置に複製されます。

セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。


) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。


システム実行スペースに入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

コンフィギュレーション コマンドとファイル コマンド(copy、rename、delete、mkdir、rmdir など)はすべて複製されますが、次の例外があります。 show debug mode firewall failover lan unit コマンドは複製されません。

コマンドの複製を行うのに適切な装置上でコマンドを入力しなかった場合は、コンフィギュレーションは非同期になります。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。

スタンバイ ユニットに複製されるコマンドは、次のとおりです。

mode firewall 、および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config

delete

mkdir

rename

rmdir

write memory

スタンバイ ユニットに複製されないコマンドは、次のとおりです。

copy running-config startup-config を除く、すべての形式の copy コマンド

write memory を除く、すべての形式の write コマンド

debug

failover lan unit

firewall

mode

show

write standby コマンドを使用すると、非同期になったコンフィギュレーションを再同期化できます。アクティブ/アクティブ フェールオーバーの場合、 write standby コマンドは次のように動作します。

システム実行スペースで write standby コマンドを入力した場合は、セキュリティ アプライアンス上のシステム コンフィギュレーションおよびすべてのセキュリティ コンテキストのコンフィギュレーションがピア ユニットに書き込まれます。これには、スタンバイ状態のセキュリティ コンテキストのコンフィギュレーション情報が含まれています。このコマンドの入力は、フェールオーバー グループ 1 がアクティブ状態の装置上のシステム実行スペースで行う必要があります。


) セキュリティ コンテキストがピア装置でアクティブ状態にある場合、write standby コマンドによって、これらのコンテキストのアクティブな接続が切断されます。write standby コマンドを入力する前に、コンフィギュレーションを提供する装置で failover active コマンドを使用して、その装置ですべてのコンテキストがアクティブになるようにします。


セキュリティ コンテキストで write standby コマンドを入力すると、セキュリティ コンテキストのコンフィギュレーションだけがピア装置に書き込まれます。このコマンドの入力は、セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストで行う必要があります。

複製されたコマンドは、ピア装置に複製された場合、フラッシュ メモリに保存されません。実行コンフィギュレーションに追加されます。複製されたコマンドを両方の装置のフラッシュ メモリに保存するには、変更を行った装置で write memory または copy running-config startup-config コマンドを使用します。コマンドはピア装置に複製されて、コンフィギュレーションがピア装置のフラッシュ メモリに保存されます。

フェールオーバーのトリガー

アクティブ/アクティブ フェールオーバーでは、次のいずれかのイベントが発生すると、フェールオーバーが装置レベルでトリガーされます。

装置でハードウェア障害が発生した。

装置で電源障害が発生した。

装置でソフトウェア障害が発生した。

システム実行スペースに no failover active コマンドまたは failover active コマンドが入力された場合

フェールオーバーは、次のいずれかのイベントが発生すると、フェールオーバー グループ レベルでトリガーされます。

グループ内の多くのモニタ対象インターフェイスが故障した。

no failover active group group_id コマンド、または failover active group group_id コマンドが入力された。

フェールオーバー グループ内のインターフェイスの数または割合を指定することで各フェールオーバー グループにフェールオーバーしきい値を設定し、故障したインターフェイスがこのしきい値(インターフェイスの数または割合)を超えた場合にそのグループは故障したと判断されます。フェールオーバー グループには複数のコンテキストを含めることができ、また各コンテキストには複数のインターフェイスを含めることができるので、1 つのコンテキストのインターフェイスがすべて故障しても、そのコンテキストに関連するフェールオーバー グループが故障と判断されない可能性があります。

インターフェイスと装置のモニタリングの詳細については、「フェールオーバー ヘルスのモニタリング」を参照してください。

フェールオーバーのアクション

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバー グループごとに行われます。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定し、フェールオーバー グループ 1 が故障すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。


) アクティブ/アクティブ フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


表 14-2 に、各障害イベントに対するフェールオーバー アクションを示します。各障害イベントに対して、ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ フェールオーバー グループのアクション、およびスタンバイ フェールオーバー グループのアクションを示します。

 

表 14-2 アクティブ/アクティブ フェールオーバーのフェールオーバー動作

障害の状況
ポリシー
アクティブ グループのアクション
スタンバイ グループのアクション
注意事項

装置で電源断またはソフトウェア障害が発生した

フェールオーバー

スタンバイになり、故障とマークする

アクティブになる

アクティブに故障とマークする

フェールオーバー ペアの装置が故障すると、その装置のアクティブ フェールオーバー グループはすべて故障とマークされ、ピア装置のフェールオーバー グループがアクティブになります。

アクティブ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブ グループに故障とマークする

アクティブになる

なし。

スタンバイ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイ グループに故障とマークする

スタンバイ フェールオーバー グループが故障とマークされている場合、インターフェイス フェールオーバー障害しきい値を超えても、アクティブ フェールオーバー グループはフェールオーバーを行いません。

以前にアクティブであったフェールオーバー グループの復旧

フェールオーバーなし

動作なし

動作なし

preempt コマンドで設定された場合を除き、フェールオーバー グループは現在の装置上でアクティブのままになります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

アクティブになる

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置の両方のフェールオーバー グループがアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

n/a

n/a

各装置で、フェールオーバー インターフェイスが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

使用するフェールオーバーのタイプの決定

選択するフェールオーバーのタイプは、セキュリティ アプライアンスのコンフィギュレーションとセキュリティ アプライアンスの使用計画によって決定されます。

セキュリティ アプライアンスをシングルモードで動作させている場合、使用できるのはアクティブ/ スタンバイ フェールオーバーのみです。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作しているセキュリティ アプライアンスでのみ使用できます。

セキュリティ アプライアンスをマルチ コンテキスト モードで動作させている場合は、アクティブ/アクティブ フェールオーバーまたはアクティブ/スタンバイ フェールオーバーを設定できます。

ロードバランシングを行うには、アクティブ/ アクティブ フェールオーバーを使用します。

ロードバランシングを行わない場合は、アクティブ/ スタンバイ フェールオーバーまたはアクティブ/ アクティブ フェールオーバーを使用します。

表 14-3 に、各タイプのフェールオーバー コンフィギュレーションでサポートされる機能を比較して示します。

 

表 14-3 フェールオーバー コンフィギュレーション機能のサポート

機能
アクティブ/アクティブ
アクティブ/スタンバイ

シングル コンテキスト モード

No

Yes

マルチ コンテキスト モード

Yes

Yes

ロード バランシング ネットワーク コンフィギュレーション

Yes

No

装置のフェールオーバー

Yes

Yes

コンテキスト グループのフェールオーバー

Yes

No

個別コンテキストのフェールオーバー

No

No

標準フェールオーバーとステートフル フェールオーバー

セキュリティ アプライアンスは、標準およびステートフルという 2 つのタイプのフェールオーバーをサポートします。この項では、次のトピックについて取り上げます。

「標準フェールオーバー」

「ステートフル フェールオーバー」

標準フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。

ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルになっている場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

スタンバイ装置に渡されるステート情報には、次が含まれます。

NAT 変換テーブル

TCP 接続ステート

UDP 接続ステート

ARP テーブル

レイヤ 2 ブリッジ テーブル(トランスペアレント ファイアウォール モードで実行している場合)

HTTP 接続ステート(HTTP の複製がイネーブルになっている場合)

ISAKMP および IPSec SA テーブル

GTP PDP 接続データベース

ステートフル フェールオーバーがイネーブルの場合、次の情報はスタンバイ ユニットには渡されません。

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

ユーザ認証(uauth)テーブル

ルーティング テーブル。フェールオーバーが発生した後、ダイナミック ルーティング プロトコルがルートを再検出しているときに、一部のパケットが失われたり、故障のあるインターフェイス(デフォルト ルート)のルートから外れることがあります。

セキュリティ サービス モジュールのステート情報

DHCP サーバ アドレスのリース

L2TP over IPSec セッション。


) アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが行われると、コール セッション ステート情報がスタンバイ装置に複製されているので、コールはアクティブのままになります。コールが終了すると、IP SoftPhone クライアントでは CallManager との接続が失われます。これは、CTIQBE ハングアップ メッセージのセッション情報がスタンバイ装置に存在しないために発生します。IP SoftPhone クライアントでは、一定の時間内に CallManager からの応答が受信されない場合、CallManager に到達できないものと判断されて登録が解除されます。


トランスペアレント ファイアウォール モードの要件

アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニングツリー プロトコル(STP)を実行している接続済みスイッチ ポートは、トポロジ変更を検出すると 30 ~ 50 秒間ブロッキング ステートに移行できます。ポートがブロッキング ステートである間のトラフィックの損失を回避するために、スイッチ ポート モードに応じて次の回避策のいずれかを設定できます。

アクセス モード:スイッチで STP PortFast 機能をイネーブルにします。

interface interface_id
spanning-tree portfast
 

PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディング モードに遷移します。ポートは引き続き STP に参加しています。したがって、ポートがループの一部になる場合、最終的には STP ブロッキング モードに遷移します。

トランク モード:セキュリティ アプライアンス で、inside インターフェイスと outside インターフェイスの両方で BPDU をブロックします。

access-list id ethertype deny bpdu
access-group id in interface inside_name
access-group id in interface outside_name
 

BPDU をブロックすると、スイッチの STP はディセーブルになります。ネットワーク レイアウトで セキュリティ アプライアンス を含むループを設定しないでください。

上記のオプションのどちらも使用できない場合は、フェールオーバー機能または STP の安定性に影響する、推奨度の低い次の回避策のいずれかを使用できます。

フェールオーバー インターフェイスのモニタリングをディセーブルにします。

フェールオーバー インターフェイスの保持時間を、セキュリティ アプライアンス がフェールオーバーする前に STP が収束できる高い値に増やします。

STP タイマーを減らし、フェールオーバー インターフェイスの保持時間よりも速く STP が収束できるようにします。

フェールオーバー ヘルスのモニタリング

セキュリティ アプライアンスは、各装置について全体的なヘルスおよびインターフェイス ヘルスをモニタします。セキュリティ アプライアンスがテストを実行して、各装置の状態を判断する方法の詳細については、次の項を参照してください。

「装置ヘルスのモニタリング」

「インターフェイスのモニタリング」

装置ヘルスのモニタリング

セキュリティ アプライアンスは、フェールオーバー リンクをモニタして相手装置のヘルスを判断します。装置は、フェールオーバー リンクで 3 回連続して hello メッセージを受信しないときは、フェールオーバー インターフェイスを含む各インターフェイスでインターフェイス hello メッセージを送信し、ピア インターフェイスが応答するかどうかを検証します。セキュリティ アプライアンスが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。

セキュリティ アプライアンスがフェールオーバー インターフェイスで応答を受信した場合は、フェールオーバーを行いません。

セキュリティ アプライアンスがフェールオーバー リンクで応答を受信せず、他のインターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

セキュリティ アプライアンスがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


hello メッセージの頻度と、フェールオーバーが行われる前の保持時間を設定できます。ポーリング時間が速くて保持時間が短いほど、装置の故障が短時間で検出され、フェールオーバーの実行が迅速になりますが、キープアライブ パケットを遅延させるネットワーク輻輳が原因で「偽の」障害が生じる可能性もあります。装置ヘルスのモニタリングについては、「装置ヘルス モニタリングの設定」を参照してください。

インターフェイスのモニタリング

すべてのコンテキスト間に分割された最大 250 のインターフェイスをモニタできます。重要なインターフェイスを監視する必要があります。たとえば、共有インターフェイスを監視するように 1 つのコンテキストを設定する場合があります(インターフェイスが共有されているため、すべてのコンテキストがそのモニタリングで監視されます)。

設定した保持時間が半分経過しても装置がモニタ対象のインターフェイスで hello メッセージを受信しない場合は、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイスのステータスのテスト。リンク アップ/ダウン テストでインターフェイスが動作していることが示された場合、セキュリティ アプライアンスはネットワーク テストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク アクティビティ テスト:受信ネットワーク アクティビティ テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト ping テスト:ブロードキャスト ping 要求の送信で構成される ping テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したセキュリティ アプライアンスは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


フェールオーバー機能およびプラットフォーム表

表 14-4 に、各ハードウェア プラットフォームでサポートされているフェールオーバー機能を示します。

 

表 14-4 プラットフォームでサポートされているフェールオーバー機能

プラットフォーム
ケーブルベース フェールオーバー
LAN ベース フェールオーバー
ステートフル フェールオーバー

ASA 5505 シリーズ適応型セキュリティ アプライアンス

No

Yes

No

ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA 5505 以外)

No

Yes

Yes

PIX 500 シリーズ セキュリティ アプライアンス

Yes

Yes

Yes

プラットフォーム別フェールオーバー時間

表 14-5 に、PIX 500 シリーズ セキュリティ アプライアンスのフェールオーバーの最小時間、デフォルト時間、および最大時間を示します。

 

表 14-5 PIX 500 シリーズ セキュリティ アプライアンス フェールオーバー時間

フェールオーバー条件
最小ハードウェア
デフォルト
最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

45 秒

45 秒

アクティブ装置のインターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

表 14-6 に、ASA 5500 シリーズ セキュリティ アプライアンスのフェールオーバーの最小時間、デフォルト時間、および最大時間を示します。

 

表 14-6 ASA 5500 シリーズ適応型セキュリティ アプライアンスのフェールオーバー時間

フェールオーバー条件
最小ハードウェア
デフォルト
最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

15 秒

45 秒

アクティブ装置のメインボード インターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置の 4GE カード インターフェイス リンクがダウンする。

2 秒

5 秒

15 秒

アクティブ装置の IPS または CSC カードに障害がある。

2 秒

2 秒

2 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

フェールオーバーの設定

ここでは、フェールオーバーを設定する手順について説明します。内容は次のとおりです。

「フェールオーバー設定の制限事項」

「アクティブ/ スタンバイ フェールオーバーの設定」

「アクティブ/ アクティブ フェールオーバーの設定」

「装置ヘルス モニタリングの設定」

「フェールオーバー通信の認証/暗号化の設定」

「フェールオーバー コンフィギュレーションの確認」

フェールオーバー設定の制限事項

次のタイプの IP アドレスを使用してフェールオーバーを設定することはできません。

DHCP 経由で取得された IP アドレス

PPPoE から取得した IP アドレス

IPv6 アドレス

さらに、次の制限が適用されます。

ステートフル フェールオーバーは、ASA 5505 適応型セキュリティ アプライアンスでサポートされない。

アクティブ/ アクティブ フェールオーバーは、ASA 5505 適応型セキュリティ アプライアンスでサポートされない。

ASA 5505 適応型セキュリティ アプライアンスで Easy VPN リモートが有効になっていると、フェールオーバーを設定できません。

VPN フェールオーバーは、マルチ コンテキスト モードでサポートされない。

アクティブ/ スタンバイ フェールオーバーの設定

ここでは、アクティブ/スタンバイ フェールオーバーの設定手順を説明します。この項では、次のトピックについて取り上げます。

「前提条件」

「ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定(PIX セキュリティ アプライアンスのみ)」

「LAN ベースのアクティブ/ スタンバイ フェールオーバーの設定」

「オプションのアクティブ/スタンバイ フェールオーバー設定値の設定」

前提条件

はじめる前に、次の事項を確認してください。

両方の装置のハードウェア、ソフトウェア コンフィギュレーション、必要なライセンスが同じである。

両方の装置が同じモードである(シングルまたはマルチ、トランスペアレントまたはルーテッド)。

ケーブル ベースのアクティブ/スタンバイ フェールオーバーの設定(PIX セキュリティ アプライアンスのみ)

次の手順に従って、シリアル ケーブルをフェールオーバー リンクとして使用してアクティブ/ スタンバイ フェールオーバーを設定します。このタスクのコマンドは、フェールオーバー ペアの プライマリ 装置で入力します。プライマリ装置とは、ケーブルの「Primary」と表記された端が接続されている装置のことです。マルチ コンテキスト モードの装置では、特に注記がない限り、システム実行スペースでコマンドを入力します。

ケーブルベースのフェールオーバーを使用する場合、フェールオーバー ペアのセカンダリ装置をブートストラップする必要はありません。指示があるまで、セカンダリ装置の電源はオフのままにします。

ケーブルベースのフェールオーバーは、PIX 500 シリーズ セキュリティ アプライアンスだけで使用できます。

ケーブルベースのアクティブ/ スタンバイ フェールオーバーを設定するには、次の手順を実行します。


ステップ 1 フェールオーバー ケーブルを PIX 500 シリーズ セキュリティ アプライアンスに接続します。必ず「Primary」とマークされているケーブルの端をプライマリ装置として使用する装置に接続し、「Secondary」とマークされているケーブルの端をもう一方の装置に接続します。

ステップ 2 プライマリ装置の電源を投入します。

ステップ 3 まだ行っていない場合、各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(トランスペアレント モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定します。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されていて、アクティブ IP アドレスと同じサブネットである必要があります。


) 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。


hostname(config-if)# ip address active_addr netmask standby standby_addr
 

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。トランスペアレント ファイアウォール モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。

マルチコンテキスト モードでは、各コンテキスト内でインターフェイス アドレスを設定する必要があります。 changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/ context (config-if)# に変わります。ここで、 context は、現在のコンテキスト名です。トランスペアレント ファイアウォール マルチコンテキスト モードで各コンテキストの管理 IP アドレスを入力する必要があります。

ステップ 4 (任意)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。


) ステートフル フェールオーバーは、ASA 5505 シリーズ適応型セキュリティ アプライアンスでは使用できません。


a. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください。

b. アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) ステートフル フェールオーバー リンクがデータ インターフェイスを使用する場合は、このステップをスキップします。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ IP アドレスのサブネット マスクを特定する必要はありません。

ステートフル フェールオーバー リンク IP アドレスおよび MAC アドレスは、データ インターフェイスを使用しない限り、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 5 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

ステップ 6 セカンダリ装置の電源を投入し、まだイネーブルにしていない場合、装置でフェールオーバーをイネーブルにします。

hostname(config)# failover
 

実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションが同期すると、メッセージ「Beginning configuration replication: sending to mate」および「End Configuration Replication to mate」がプライマリ コンソールに表示されます。

ステップ 7 コンフィギュレーションをプライマリ装置のフラッシュ メモリに保存します。プライマリ装置で入力されたコマンドはセカンダリ装置に複製されるため、セカンダリ装置もコンフィギュレーションをフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 


 

LAN ベースのアクティブ/ スタンバイ フェールオーバーの設定

ここでは、イーサネット フェールオーバー リンクを使用してアクティブ/ スタンバイ フェールオーバーを設定する方法について説明します。LAN ベースのフェールオーバーを設定するときは、セカンダリ デバイスがプライマリ デバイスから実行コンフィギュレーションを取得する前に、セカンダリ デバイスをブートストラップしてフェールオーバー リンクを認識させる必要があります。


) ケーブルベースのフェールオーバーから LAN ベースのフェールオーバーに変更する場合、ケーブルベースのフェールオーバー コンフィギュレーションで完了している手順(各インターフェイスのアクティブ IP アドレスおよびスタンバイ IP アドレスの割り当てなど)はスキップできます。


この項では、次のトピックについて取り上げます。

「プライマリ装置の設定」

「セカンダリ装置の設定」

プライマリ装置の設定

次の手順に従って、LAN ベースのアクティブ/ スタンバイ フェールオーバー コンフィギュレーションのプライマリ装置を設定します。この手順では、プライマリ装置でフェールオーバーをイネーブルにするために必要な最小のコンフィギュレーションが用意されています。マルチコンテキスト モードでは、特に明記されていないかぎり、すべての手順をシステム実行スペースで行います。

アクティブ/スタンバイ フェールオーバー ペアのプライマリ ユニットを設定する手順は、次のとおりです。


ステップ 1 まだ行っていない場合、各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(トランスペアレント モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定します。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されていて、アクティブ IP アドレスと同じサブネットである必要があります。


) 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。


hostname(config-if)# ip address active_addr netmask standby standby_addr
 

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。トランスペアレント ファイアウォール モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。

マルチコンテキスト モードでは、各コンテキスト内でインターフェイス アドレスを設定する必要があります。 changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/ context (config-if)# に変わります。ここで、 context は、現在のコンテキスト名です。トランスペアレント ファイアウォール マルチコンテキスト モードで各コンテキストの管理 IP アドレスを入力する必要があります。

ステップ 2 (PIX セキュリティ アプライアンスのみ)次のように、LAN ベースのフェールオーバーを有効にします。

hostname(config)# failover lan enable
 

ステップ 3 装置をプライマリ ユニットとして指定します。

hostname(config)# failover lan unit primary
 

ステップ 4 フェールオーバー インターフェイスを定義します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。ASA 5505 セキュリティ アプライアンスでは、 phy_if は VLAN を指定します。

b. アクティブ IP アドレスとスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。フェールオーバー リンクのアクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 5 (任意)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。


) ステートフル フェールオーバーは、ASA 5505 シリーズ適応型セキュリティ アプライアンスでは使用できません。


a. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name phy_if
 

) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、if_name 引数を指定することだけが必要です。


if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。

b. アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順をスキップします。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステートフル フェールオーバー リンク IP アドレスおよび MAC アドレスは、データ インターフェイスを使用しない限り、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順をスキップします。インターフェイスは、すでにイネーブルです。


hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 6 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

ステップ 7 システム コンフィギュレーションをフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 


 

セカンダリ装置の設定

セカンダリ装置に必要なコンフィギュレーションは、フェールオーバー インターフェイス用のコンフィギュレーションだけです。プライマリ ユニットと初回の通信を開始するには、セカンダリ ユニットにこれらのコマンドが必要です。プライマリ装置がセカンダリ装置にコンフィギュレーションを送信した後、2 つのコンフィギュレーション間で唯一、不変の相違点は failover lan unit コマンドです。このコマンドで各装置がプライマリかセカンダリかを識別します。

マルチコンテキスト モードでは、特に明記されていないかぎり、すべての手順をシステム実行スペースで行います。

セカンダリ装置を設定するには、次の手順を実行します。


ステップ 1 (PIX セキュリティ アプライアンスのみ)次のように、LAN ベースのフェールオーバーを有効にします。

hostname(config)# failover lan enable
 

ステップ 2 フェールオーバー インターフェイスを定義します。プライマリ ユニットに使用した設定と同じ設定を使用します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。

b. アクティブおよびスタンバイの各 IP アドレスをフェールオーバー リンクに割り当てます。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) このコマンドは、フェールオーバー インターフェイスの設定時にプライマリ ユニットに入力したとおりに入力します。


c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 3 (任意)この装置をセカンダリ ユニットとして指定します。

hostname(config)# failover lan unit secondary
 

) すでに設定してある場合を除き、デフォルトでは装置はセカンダリ ユニットとして指定されるため、この手順は任意となります。


ステップ 4 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションの同期時に、メッセージ「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」がアクティブ装置のコンソールに表示されます。

ステップ 5 実行コンフィギュレーションで複製が完了したら、設定をフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 


 

オプションのアクティブ/スタンバイ フェールオーバー設定値の設定

フェールオーバーの初期設定時またはフェールオーバーの設定後に、次の任意のアクティブ/スタンバイ フェールオーバー設定を指定することができます。特に指定のないかぎり、コマンドはアクティブ ユニットに入力します。

この項では、次のトピックについて取り上げます。

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「インターフェイス ヘルス モニタリングの設定」

「フェールオーバー基準の設定」

「仮想 MAC アドレスの設定」

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続がステート情報複製に含まれるようにするには、HTTP 複製をイネーブルにする必要があります。HTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。

ステートフル フェールオーバーがイネーブルである場合、次のコマンドをグローバル コンフィギュレーション モードで入力して、HTTP ステートの複製をイネーブルにします。

hostname(config)# failover replication http
 

インターフェイス モニタリングのディセーブル化とイネーブル化

デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。1 台の装置で最大 250 のインターフェイスをモニタできます。特定のインターフェイスのモニタリングをディセーブルにし、別のモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。これによって、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

マルチ コンフィギュレーション モードの装置の場合は、次のコマンドを使用して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。

インターフェイスのヘルス モニタリングをディセーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# no monitor-interface if_name
 

インターフェイスのヘルス モニタリングをイネーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# monitor-interface if_name
 

シングル コンフィギュレーション モードの装置の場合は、次のコマンドを使用して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。

インターフェイスのヘルス モニタリングをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# no monitor-interface if_name
 

インターフェイスのヘルス モニタリングをイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# monitor-interface if_name
 

インターフェイス ヘルス モニタリングの設定

セキュリティ アプライアンスは、各データ インターフェイスから hello パケットを送信して、インターフェイス ヘルスをモニタします。保持時間の半分以上が経過してもセキュリティ アプライアンスがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、セキュリティ アプライアンスはインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。

インターフェイスのポーリング間隔を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover polltime interface [msec] time [holdtime time]
 

ポーリング時間に有効な値は 1 ~ 15 秒で、オプションの msec キーワードを使用すると、500 ~ 999 ミリ秒です。hello パケットを受信できなかったときからインターフェイスが失敗としてマークされるまでの時間が、保持時間によって決まります。保持時間に有効な値は、5 ~ 75 秒です。ポーリング時間の 5 倍に満たない保持時間は入力できません。


) インターフェイス リンクがダウンしていると、インターフェイスのテストは実行されず、設定されたフェールオーバー基準に障害のあるインターフェイスの数が合致するか、または基準を超過している場合、スタンバイ装置は、1 つのインターフェイス ポーリング期間内でアクティブになります。


フェールオーバー基準の設定

デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

デフォルトのフェールオーバー条件を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover interface-policy num[%]
 

インターフェイスの具体的な数を指定するときは、 num 引数に 1 ~ 250 を設定できます。インターフェイスの割合を指定するときは、 num 引数に 1 ~ 100 を設定できます。

仮想 MAC アドレスの設定

アクティブ/スタンバイ フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを使用しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステートフル フェールオーバー リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


アクティブ装置で次のコマンドを入力して、インターフェイスの仮想 MAC アドレスを設定します。

hostname(config)# failover mac address phy_if active_mac standby_mac
 

phy_if 引数は、インターフェイスの物理名(Ethernet1 など)です。 active_mac および standby_mac 引数は、H.H.H 形式(H は 16 ビットの 16 進数)の MAC アドレスです。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連付けられ、 standby_mac はインターフェイスのスタンバイ IP アドレスに関連付けられます。

セキュリティ アプライアンスに仮想 MAC アドレスを設定するには複数の方法があります。仮想 MAC アドレスを設定するために複数の方式を使用した場合、セキュリティ アプライアンスは次の優先順位で、インターフェイスに割り当てる仮想 MAC アドレスを決定します。

1. mac-address コマンド(インターフェイス コンフィギュレーション モード)のアドレス

2. failover mac address コマンドのアドレス

3. mac-address auto コマンドが生成したアドレス

4. 焼き付け済み MAC アドレス

show interface コマンドを使用して、インターフェイスが使用している MAC アドレスを表示します。

アクティブ/ アクティブ フェールオーバーの設定

ここでは、アクティブ/アクティブ フェールオーバーの設定方法について説明します。


) ASA 5505 シリーズ適応型セキュリティ アプライアンスでは、アクティブ/アクティブ フェールオーバーは使用できません。


この項では、次のトピックについて取り上げます。

「前提条件」

「ケーブルベースのアクティブ/アクティブ フェールオーバーの設定(PIX セキュリティ アプライアンス)」

「LAN ベースのアクティブ/ アクティブ フェールオーバーの設定」

「オプションのアクティブ/アクティブ フェールオーバー設定値の設定」

前提条件

はじめる前に、次の事項を確認してください。

両方の装置のハードウェア、ソフトウェア コンフィギュレーション、必要なライセンスが同じである。

両装置ともマルチコンテキスト モードであること。

ケーブルベースのアクティブ/アクティブ フェールオーバーの設定(PIX セキュリティ アプライアンス)

次の手順に従って、シリアル ケーブルをフェールオーバー リンクとして使用してアクティブ/ アクティブ フェールオーバーを設定します。このタスクのコマンドは、フェールオーバー ペアの プライマリ 装置で入力します。プライマリ装置とは、ケーブルの「Primary」と表記された端が接続されている装置のことです。マルチ コンテキスト モードの装置では、特に注記がない限り、システム実行スペースでコマンドを入力します。

ケーブルベースのフェールオーバーを使用する場合、フェールオーバー ペアのセカンダリ装置をブートストラップする必要はありません。指示があるまで、セカンダリ装置の電源はオフのままにします。

ケーブルベースのフェールオーバーは、PIX 500 シリーズ セキュリティ アプライアンスだけで使用できます。

ケーブルベースのアクティブ/ アクティブ フェールオーバーを設定するには、次の手順を実行します。


ステップ 1 フェールオーバー ケーブルを PIX 500 シリーズ セキュリティ アプライアンスに接続します。必ず「Primary」とマークされているケーブルの端をプライマリ装置として使用する装置に接続し、「Secondary」とマークされているケーブルの端をセカンダリ装置として使用する装置に接続します。

ステップ 2 プライマリ装置の電源を投入します。

ステップ 3 まだ行っていない場合、各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(トランスペアレント モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定します。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されていて、アクティブ IP アドレスと同じサブネットである必要があります。

各コンテキストからインターフェイス アドレスを設定する必要があります。 changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/ context (config-if)# に変わります。ここで、 context は、現在のコンテキスト名です。トランスペアレント ファイアウォール マルチコンテキスト モードで各コンテキストの管理 IP アドレスを入力する必要があります。


) 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。


hostname/context(config-if)# ip address active_addr netmask standby standby_addr
 

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。トランスペアレント ファイアウォール モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。

ステップ 4 (任意)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。

a. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。

b. アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ IP アドレスのサブネット マスクを特定する必要はありません。

ステートフル フェールオーバー リンクの IP アドレスおよび MAC アドレスは、ステートフル フェールオーバーで標準データ インターフェイスを使用する場合を除き、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 5 フェールオーバー グループを設定します。最大 2 つのフェールオーバー グループを作成できます。 failover group コマンドは、指定されたフェールオーバー グループが存在しない場合はこれを作成し、フェールオーバー グループ コンフィギュレーション モードに移行します。

各フェールオーバー グループについて、 primary または secondary コマンドを使用して、そのフェールオーバー グループでのプライマリ/セカンダリのプリファレンスを指定する必要があります。同じプリファレンスを両方のフェールオーバー グループに割り当てることができます。ロード バランシング設定の場合は、各フェールオーバー グループに異なるプリファレンスを割り当てる必要があります。

次に、フェールオーバー グループ 1 にプライマリ プリファレンスを割り当て、フェールオーバー グループ 2 にセカンダリ プリファレンスを割り当てる例を示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# exit
 

ステップ 6 コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用して、各ユーザ コンテキストをフェールオーバー グループに割り当てます。

未割り当てのコンテキストはすべて、自動的にフェールオーバー グループ 1 に割り当てられます。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。

次のコマンドを入力して、各コンテキストをフェールオーバー グループに割り当てます。

hostname(config)# context context_name
hostname(config-context)# join-failover-group {1 | 2}
hostname(config-context)# exit
 

ステップ 7 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

ステップ 8 セカンダリ装置の電源を投入し、まだイネーブルにしていない場合、装置でフェールオーバーをイネーブルにします。

hostname(config)# failover
 

実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションが同期すると、メッセージ「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」がプライマリ コンソールに表示されます。

ステップ 9 コンフィギュレーションをプライマリ装置のフラッシュ メモリに保存します。プライマリ装置で入力されたコマンドはセカンダリ装置に複製されるため、セカンダリ装置もコンフィギュレーションをフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 

ステップ 10 必要に応じて、プライマリ装置でアクティブなフェールオーバー グループすべてを強制的にセカンダリ装置でアクティブ状態にします。フェールオーバー グループを強制的にセカンダリ装置でアクティブにするには、プライマリ装置のシステム実行スペースで次のコマンドを入力します。

hostname# no failover active group group_id
 

group_id 引数には、セカンダリ ユニット上でアクティブにするグループを指定します。


 

LAN ベースのアクティブ/ アクティブ フェールオーバーの設定

この項では、イーサネット フェールオーバー リンクを使用してアクティブ/アクティブ フェールオーバーを設定する方法について説明します。LAN ベースのフェールオーバーを設定するときは、セカンダリ デバイスがプライマリ デバイスから実行コンフィギュレーションを取得する前に、セカンダリ デバイスをブートストラップしてフェールオーバー リンクを認識させる必要があります。

この項では、次のトピックについて取り上げます。

「プライマリ ユニットの設定」

「セカンダリ ユニットの設定」

プライマリ ユニットの設定

アクティブ/アクティブ フェールオーバーの設定内のプライマリ ユニットを設定する手順は、次のとおりです。


ステップ 1 まだ行っていない場合、各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(トランスペアレント モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定します。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されていて、アクティブ IP アドレスと同じサブネットである必要があります。

各コンテキストからインターフェイス アドレスを設定する必要があります。 changeto context コマンドを使用して、コンテキスト間の切り替えを行います。コマンド プロンプトが hostname/ context (config-if)# に変わります。ここで、 context は、現在のコンテキスト名です。トランスペアレント ファイアウォール モードでは、各コンテキストの管理 IP アドレスを入力する必要があります。


) 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。


hostname/context(config-if)# ip address active_addr netmask standby standby_addr
 

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。トランスペアレント ファイアウォール モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。

ステップ 2 システム実行スペースで基本フェールオーバー パラメータを設定します。

a. (PIX セキュリティ アプライアンスのみ)次のように、LAN ベースのフェールオーバーを有効にします。

hostname(config)# hostname(config)# failover lan enable
 

b. 装置をプライマリ ユニットとして指定します。

hostname(config)# failover lan unit primary
 

c. フェールオーバー リンクを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。ASA 5505 セキュリティ アプライアンスでは、 phy_if は VLAN を指定します。このインターフェイスは、他の目的に使用しないでください(オプションのステートフル フェールオーバー リンクは除く)。

d. フェールオーバー リンクのアクティブ IP アドレスとスタンバイ IP アドレスを指定します。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットに属している必要があります。スタンバイ IP アドレスのサブネット マスクを特定する必要はありません。フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

ステップ 3 (任意)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。

a. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたは標準データ インターフェイスを使用する場合は、if_name 引数を指定することだけが必要です。


b. アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたは標準データ インターフェイスを使用する場合は、このステップをスキップします。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステート リンクの IP アドレスおよび MAC アドレスは、フェールオーバー実行後も変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたは標準データ インターフェイスを使用する場合は、このステップをスキップします。インターフェイスは、すでにイネーブルです。


hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 4 フェールオーバー グループを設定します。最大 2 つのフェールオーバー グループを作成できます。 failover group コマンドは、指定されたフェールオーバー グループが存在しない場合はこれを作成し、フェールオーバー グループ コンフィギュレーション モードに移行します。

フェールオーバー グループごとに primary コマンドまたは secondary コマンドを使用して、フェールオーバー グループがプライマリ プリファレンスとセカンダリ プリファレンスのどちらを持つかを指定します。同じプリファレンスを両方のフェールオーバー グループに割り当てることができます。ロード バランシング設定の場合は、各フェールオーバー グループに異なるプリファレンスを割り当てる必要があります。

次に、フェールオーバー グループ 1 にプライマリ プリファレンスを割り当て、フェールオーバー グループ 2 にセカンダリ プリファレンスを割り当てる例を示します。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# exit
 

ステップ 5 コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用して、各ユーザ コンテキストをフェールオーバー グループに割り当てます。

未割り当てのコンテキストはすべて、自動的にフェールオーバー グループ 1 に割り当てられます。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。

次のコマンドを入力して、各コンテキストをフェールオーバー グループに割り当てます。

hostname(config)# context context_name
hostname(config-context)# join-failover-group {1 | 2}
hostname(config-context)# exit
 

ステップ 6 フェールオーバーをイネーブルにします。

hostname(config)# failover
 


 

セカンダリ ユニットの設定

LAN ベースのアクティブ/ アクティブ フェールオーバーを設定するときは、セカンダリ装置をブートストラップしてフェールオーバー リンクを認識させる必要があります。これにより、セカンダリ ユニットはプライマリ ユニットと通信し、プライマリ ユニットから実行コンフィギュレーションを取得することができます。

アクティブ/ アクティブ フェールオーバー コンフィギュレーションのセカンダリ装置をブートストラップするには、次の手順を実行します。


ステップ 1 (PIX セキュリティ アプライアンスのみ)次のように、LAN ベースのフェールオーバーを有効にします。

hostname(config)# failover lan enable
 

ステップ 2 フェールオーバー インターフェイスを定義します。プライマリ装置に使用している設定と同じ設定を使用します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。ASA 5505 セキュリティ アプライアンスでは、 phy_if は VLAN を指定します。

b. アクティブおよびスタンバイの各 IP アドレスをフェールオーバー リンクに割り当てます。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) このコマンドは、フェールオーバー インターフェイスの設定時にプライマリ ユニットに入力したとおりに入力します。


スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 3 (任意)この装置をセカンダリ ユニットとして指定します。

hostname(config)# failover lan unit secondary
 

) すでに設定してある場合を除き、デフォルトでは装置はセカンダリ ユニットとして指定されるため、この手順は任意となります。


ステップ 4 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。設定を同期化すると、アクティブ ユニットのコンソールに「 Beginning configuration replication: Sending to mate 」および「 End Configuration Replication to mate 」というメッセージが表示されます。

ステップ 5 実行コンフィギュレーションで複製が完了したら、次のコマンドを入力して、設定をフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 

ステップ 6 必要に応じて、プライマリ装置でアクティブなフェールオーバー グループすべてを強制的にセカンダリ装置でアクティブ状態にします。フェールオーバー グループをセカンダリ ユニット上で強制的にアクティブにするには、プライマリ ユニットのシステム実行スペースで次のコマンドを入力します。

hostname# no failover active group group_id
 

group_id 引数には、セカンダリ ユニット上でアクティブにするグループを指定します。


 

オプションのアクティブ/アクティブ フェールオーバー設定値の設定

次のオプションのアクティブ/アクティブ フェールオーバー設定値は、最初にフェールオーバーを設定するときでも、フェールオーバーがすでに設定された後でも設定できます。特に指定のない限り、コマンドは、フェールオーバー グループ 1 がアクティブ状態の装置で入力する必要があります。

この項では、次のトピックについて取り上げます。

「フェールオーバー グループのプリエンプションの設定」

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「インターフェイス ヘルス モニタリングの設定」

「フェールオーバー基準の設定」

「仮想 MAC アドレスの設定」

「非対称ルーティング サポートの設定」

フェールオーバー グループのプリエンプションの設定

プライマリまたはセカンダリのプライオリティをフェールオーバー グループに割り当てると、両方の装置が同時にブートされるときに、フェールオーバー グループがどの装置上でアクティブになるかが指定されます。しかし、ある装置がもう一方の装置よりも先にブートした場合、どちらのフェールオーバー グループもその装置上でアクティブになります。もう一方の装置がオンラインになると、この装置を優先するフェールオーバー グループはすべて、手動で強制しないか、フェールオーバーが発生するか、 preempt コマンドでフェールオーバー グループが設定されないかぎり、この装置上ではアクティブにはなりません。 preempt コマンドによって、フェールオーバー グループは、指定された装置が使用可能になると、その装置で自動的にアクティブになります。

指定されたフェールオーバー グループのプリエンプションを設定するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# preempt [delay]
 

オプションの delay 値に秒数を入力して、その時間フェールオーバー グループが現在の装置でアクティブ状態に維持され、その後に指定された装置で自動的にアクティブになるようにできます。

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続をステート情報に含めることができるようにするには、HTTP 複製をイネーブルにする必要があります。HTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。 replication http コマンドを使用すると、ステートフル フェールオーバーがイネーブルになっている場合に、フェールオーバー グループに HTTP ステート情報を複製させることができます。

フェールオーバー グループによる HTTP ステートの複製をイネーブルにするには、次のコマンドを入力します。このコマンドは、コマンドが設定されたフェールオーバー グループにだけ影響します。両方のフェールオーバー グループの HTTP ステート複製をイネーブルにするには、各グループで次のコマンドを入力する必要があります。次のコマンドは、システム実行スペースで入力する必要があります。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# replication http
 

インターフェイス モニタリングのディセーブル化とイネーブル化

1 台の装置で最大 250 のインターフェイスをモニタできます。デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。特定のインターフェイスのモニタリングをディセーブルにし、別のモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。これによって、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

インターフェイスのヘルス モニタリングをディセーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# no monitor-interface if_name
 

インターフェイスのヘルス モニタリングをイネーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# monitor-interface if_name
 

インターフェイス ヘルス モニタリングの設定

セキュリティ アプライアンスは、各データ インターフェイスから hello パケットを送信して、インターフェイス ヘルスをモニタします。保持時間の半分以上が経過してもセキュリティ アプライアンスがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、セキュリティ アプライアンスはインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。

インターフェイスのデフォルトのポーリング時間を変更するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# polltime interface seconds
 

ポーリング時間に有効な値は 1 ~ 15 秒で、オプションの msec キーワードを使用すると、500 ~ 999 ミリ秒です。hello パケットを受信できなかったときからインターフェイスが失敗としてマークされるまでの時間が、保持時間によって決まります。保持時間に有効な値は、5 ~ 75 秒です。ポーリング時間の 5 倍に満たない保持時間は入力できません。

フェールオーバー基準の設定

デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。フェールオーバー基準は、フェールオーバー グループごとに指定されます。

指定されたフェールオーバー グループのデフォルト フェールオーバー基準を変更するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# interface-policy num[%]
 

インターフェイスの具体的な数を指定するときは、 num 引数に 1 ~ 250 を設定できます。インターフェイスの割合を指定するときは、 num 引数に 1 ~ 100 を設定できます。

仮想 MAC アドレスの設定

アクティブ/アクティブ フェールオーバーでは、すべてのインターフェイスで仮想 MAC アドレスを使用します。仮想 MAC アドレスを指定しない場合は、次のように計算されます。

アクティブ ユニットのデフォルトの MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01

スタンバイ ユニットのデフォルトの MAC アドレス:00a0.c9 physical_port_number . failover_group_id 02


同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、すべてのフェールオーバー グループに対して、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


インターフェイスの特定のアクティブおよびスタンバイ MAC アドレスを設定するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# mac address phy_if active_mac standby_mac
 

phy_if 引数は、インターフェイスの物理名(Ethernet1 など)です。 active_mac および standby_mac 引数は、H.H.H 形式(H は 16 ビットの 16 進数)の MAC アドレスです。たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。

active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連付けられ、 standby_mac はインターフェイスのスタンバイ IP アドレスに関連付けられます。

セキュリティ アプライアンスに仮想 MAC アドレスを設定するには複数の方法があります。仮想 MAC アドレスを設定するために複数の方式を使用した場合、セキュリティ アプライアンスは次の優先順位で、インターフェイスに割り当てる仮想 MAC アドレスを決定します。

1. mac-address コマンド(インターフェイス コンフィギュレーション モード)のアドレス

2. failover mac address コマンドのアドレス

3. mac-address auto コマンドが生成するアドレス

4. 自動的に生成されたフェールオーバー MAC アドレス

show interface コマンドを使用して、インターフェイスが使用している MAC アドレスを表示します。

非対称ルーティング サポートの設定

アクティブ/アクティブ フェールオーバーで動作中の場合、装置は、ピア装置を経由して送信された接続用の返送パケットを受信することがあります。そのパケットを受信するセキュリティ アプライアンスにはそのパケットの接続情報がないために、パケットはドロップされます。これが最もよく発生するのは、アクティブ/アクティブ フェールオーバー ペアのセキュリティ アプライアンス 2 台が異なるサービス プロバイダーに接続されており、発信接続で NAT アドレスが使用されていない場合です。

返送パケットのドロップは、ドロップが発生する可能性のあるインターフェイスで asr-group コマンドを使用することで防止できます。 asr-group コマンドで設定されたインターフェイスがセッション情報を持たないパケットを受信すると、同じグループ内の他のインターフェイスのセッション情報をチェックします。一致する情報が見つからない場合、パケットはドロップされます。一致する情報が見つかると、次の動作のうちいずれかが開始します。

着信トラフィックがピア装置に発信されると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットは他の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。

着信トラフィックが同じ装置の別のインターフェイスに発信されると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットはストリームに再注入されます。


) 非対称ルーティングのサポートを設定するためにasr-groupコマンドを使用する方法は、nailed オプションを指定して static コマンドを使用する方法よりも安全です。asr-group コマンドは、非対称ルーティングを提供しません。非対称にルーティングされたパケットを正しいインターフェイスに戻します。

asr-group コマンドは、非対称ルーティングを提供しません。非対称にルーティングされたパケットを正しいインターフェイスに戻します。


前提条件

非対称ルーティングのサポートを正常に機能させるには、次の設定がされている必要があります。

アクティブ/アクティブ フェールオーバー

ステートフル フェールオーバー:アクティブ フェールオーバー グループにあるインターフェイスのセッションのステート情報を、スタンバイ フェールオーバー グループに渡します。

replication http :HTTP セッションのステート情報は、スタンバイ フェールオーバー グループに渡されないため、スタンバイ インターフェイスに存在しません。セキュリティ アプライアンスが非対称にルーティングされた HTTP パケットを再ルーティングできるように、HTTP ステート情報を複製する必要があります。

フェールオーバーを設定しなくても asr-group コマンドをインターフェイスに設定できますが、ステートフル フェールオーバーがイネーブルになるまで効果はありません。

非対称にルーティングされたパケットのサポートの設定

非対称にルーティングされたパケットのサポートを設定するには、次の手順を実行します。


ステップ 1 フェールオーバー ペアにアクティブ/アクティブ ステートフル フェールオーバーを設定します。「アクティブ/ アクティブ フェールオーバーの設定」を参照してください。

ステップ 2 非対称ルーティングのサポートに参加するインターフェイスそれぞれに、次のコマンドを入力します。コマンドがスタンバイ フェールオーバー グループに複製されるように、コンテキストがアクティブ状態の装置でコマンドを入力する必要があります。コマンドの複製については、「コマンドの複製」を参照してください。

hostname/ctx(config)# interface phy_if
hostname/ctx(config-if)# asr-group num
 

num 範囲に有効な値は、1 ~ 32 です。非対称ルーティング グループに参加するインターフェイスそれぞれにコマンドを入力する必要があります。インターフェイスによって転送、受信、またはドロップされた ASR パケットの数を表示するには、 show interface detail コマンドを使用します。セキュリティ アプライアンスに複数の ASR グループを設定できますが、インターフェイスごとに 1 つだけです。同じ ASR グループのメンバーだけにセッション情報のチェックが行われます。


 

図 14-1 に、非対称ルーティングのサポートに対する asr-group コマンドの使用例を示します。

図 14-1 ASR の例

 

2 つの装置に次のコンフィギュレーションがあります(コンフィギュレーションは関連するコマンドだけを示します)。図の「SecAppA」というラベルの付いたデバイスは、フェールオーバー ペアのプライマリ装置です。

例 14-1 プライマリ装置のシステム コンフィギュレーション

hostname primary
interface GigabitEthernet0/1
description LAN/STATE Failover Interface
interface GigabitEthernet0/2
no shutdown
interface GigabitEthernet0/3
no shutdown
interface GigabitEthernet0/4
no shutdown
interface GigabitEthernet0/5
no shutdown
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/1
failover link folink
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
failover group 2
secondary
admin-context admin
context admin
description admin
allocate-interface GigabitEthernet0/2
allocate-interface GigabitEthernet0/3
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface GigabitEthernet0/4
allocate-interface GigabitEthernet0/5
config-url flash:/ctx1.cfg
join-failover-group 2
 

例 14-2 管理コンテキストのコンフィギュレーション

hostname SecAppA
interface GigabitEthernet0/2
nameif outsideISP-A
security-level 0
ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
asr-group 1
interface GigabitEthernet0/3
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0 standby 10.1.0.11
monitor-interface outside
 

例 14-3 ctx1 コンテキストのコンフィギュレーション

hostname SecAppB
interface GigabitEthernet0/4
nameif outsideISP-B
security-level 0
ip address 192.168.2.2 255.255.255.0 standby 192.168.2.1
asr-group 1
interface GigabitEthernet0/5
nameif inside
security-level 100
ip address 10.2.20.1 255.255.255.0 standby 10.2.20.11
 

図 14-1 に、次のように動作する ASR のサポートを示します。

1. 発信セッションはセキュリティ アプライアンス SecAppA を通過します。このセッションによってインターフェイス outsideISP-A(192.168.1.1)を終了します。

2. 非対称ルーティングがある程度アップストリームに設定されているため、リターン トラフィックは、セキュリティ アプライアンス SecAppB のインターフェイス outsideISP-B(192.168.2.2)を経由して戻ります。

3. 通常、リターン トラフィックは、そのインターフェイス 192.168.2.2 上にリターン トラフィックに関するセッション情報がないので、ドロップされます。ただし、インターフェイスは、コマンド asr-group 1 で設定されます。装置は、同じ ASR グループ ID で設定された他のインターフェイス上のセッションを探します。

4. セッション情報は、装置 SecAppB 上でスタンバイ状態のインターフェイス outsideISP-A(192.168.1.2)にあります。ステートフル フェールオーバーは、SecAppA から SecAppB にセッション情報を複製します。

5. ドロップされる代わりに、レイヤ 2 ヘッダーはインターフェイス 192.168.1.1 の情報で書き直され、トラフィックはインターフェイス 192.168.1.2 からリダイレクトされます。そこから、発信元の装置のインターフェイスを経由して戻ります(SecAppA の 192.168.1.1)。この転送は、必要に応じて、セッションが終了するまで続行されます。

装置ヘルス モニタリングの設定

セキュリティ アプライアンスは、フェールオーバー インターフェイスを通じて hello パケットを送信して、装置のヘルスを監視します。スタンバイ装置が、2 回の連続するポーリング期間の間にアクティブ装置から hello パケットを受信しない場合、残りの装置のインターフェイスを通じて追加のテスト パケットを送信します。指定の保持時間内に hello パケット、またはインターフェイス テスト パケットへの応答を受信しない場合、スタンバイ装置はアクティブになります。

装置のヘルスを監視するときに、hello メッセージの頻度を設定できます。ポーリング時間を短縮すると、装置の障害をより迅速に検出できますが、多くのシステム リソースを消費します。

装置のポーリング間隔を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover polltime [msec] time [holdtime [msec] time]
 

ポーリング頻度は 1 ~ 15 秒に設定できます。オプションの msec キーワードを使用すると、200 ~ 999 ミリ秒に設定できます。hello パケットを受信できなかったときからフェールオーバーが発生するまでの時間が、保持時間によって決まります。保持時間は、ポーリング時間の 3 倍以上である必要があります。保持時間は 1 ~ 45 秒に設定できます。オプションの msec キーワードを使用すると、800 ~ 990 ミリ秒に設定できます。

最小のポーリング時間と保持時間を使用するようにセキュリティ アプライアンスを設定すると、1 秒未満で装置の障害を検出して応答できるようになります。ただし、システム リソースの使用量を増やすことにもなり、偽の障害が検出される場合もあります。その場合は、ネットワークが輻輳しているか、セキュリティ アプライアンスがほぼ容量いっぱいで動作しています。

フェールオーバー通信の認証/暗号化の設定

共有秘密キーまたは 16 進数キーを指定することで、フェールオーバー ピア間の通信の暗号化および認証を実行できます。


) PIX 500 シリーズ セキュリティ アプライアンスの場合、専用のシリアル フェールオーバー ケーブルを使用して装置を接続すると、フェールオーバー リンク経由の通信は、フェールオーバー キーが設定されていても、暗号化されません。フェールオーバー キーでは、LAN ベースのフェールオーバー通信のみが暗号化されます。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にセキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。セキュリティ アプライアンスを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

アクティブ/スタンバイ フェールオーバー ペアのアクティブ ユニット上、またはアクティブ/アクティブ フェールオーバー ペア内のアクティブ ステートのフェールオーバー グループ 1 を持つ装置上で、次のコマンドを入力します。

hostname(config)# failover key {secret | hex key}
 

secret 引数は、暗号キーの生成に使用する共有秘密キーを指定します。有効な値の範囲は 1 ~ 63 文字です。数字、文字、または句読点の任意の組み合わせを使用できます。 hex key 引数で、16 進暗号キーを指定します。 キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。


) フェールオーバー キーが既存のフェールオーバーの設定のために、ピア装置にクリア テキストで複製されないようにするには、アクティブ装置(または、アクティブ ステートのフェールオーバー グループ 1 を持つ装置のシステム実行スペース)でフェールオーバーをディセーブルにして、両方の装置にフェールオーバー キーを入力してから、フェールオーバーを再びイネーブルにします。フェールオーバーが再度イネーブルにされると、フェールオーバー通信がそのキーで暗号化されます。


新しい LAN ベースのフェールオーバー コンフィギュレーションの場合、 failover key コマンドはフェールオーバー ペアのブートストラップ コンフィギュレーションの一部でなければなりません。

フェールオーバー コンフィギュレーションの確認

ここでは、フェールオーバーの設定を確認する手順について説明します。この項では、次のトピックについて取り上げます。

「show failover コマンドの使用」

「監視対象インターフェイスの表示」

「実行コンフィギュレーション内のフェールオーバー コマンドの表示」

「フェールオーバー機能のテスト」

show failover コマンドの使用

ここでは、 show failover コマンドの出力について説明します。各装置で show failover コマンドを入力してフェールオーバー ステータスを確認できます。表示される情報は、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーのどちらを使用しているかによって異なります。

この項では、次のトピックについて取り上げます。

「show failover:アクティブ/ スタンバイ」

「Show Failover:アクティブ/ アクティブ」

show failover:アクティブ/ スタンバイ

次に、アクティブ/ スタンバイ フェールオーバーでの show failover コマンドの出力例を示します。 表 14-7 で、表示される情報について説明します。

hostname# show failover
 
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fover Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
Interface inside (10.130.9.3): Normal
Interface outside (10.132.9.3): Normal
Other host: Secondary - Standby Ready
Active time: 0 (sec)
Interface inside (10.130.9.4): Normal
Interface outside (10.132.9.4): Normal
 
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj xmit xerr rcv rerr
General 1950 0 1733 0
sys cmd 1733 0 1733 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 6 0 0 0
UDP conn 0 0 0 0
ARP tbl 106 0 0 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 1733
Xmit Q: 0 2 15225
 

マルチコンテキスト モードでは、セキュリティ コンテキストで show failover コマンドを使用すると、そのコンテキストのフェールオーバー情報が表示されます。この情報は、シングルコンテキスト モードでこのコマンドを使用した場合に表示される情報とほぼ同じです。装置のアクティブ/スタンバイ ステータスではなく、コンテキストのアクティブ/スタンバイ ステータスが表示されます。 表 14-7 で、表示される情報について説明します。

 
Failover On
Last Failover at: 04:03:11 UTC Jan 4 2003
This context: Negotiation
Active time: 1222 (sec)
Interface outside (192.168.5.121): Normal
Interface inside (192.168.0.1): Normal
Peer context: Not Detected
Active time: 0 (sec)
Interface outside (192.168.5.131): Normal
Interface inside (192.168.0.11): Normal
 
Stateful Failover Logical Update Statistics
Status: Configured.
Stateful Obj xmit xerr rcv rerr
RPC services 0 0 0 0
TCP conn 99 0 0 0
UDP conn 0 0 0 0
ARP tbl 22 0 0 0
Xlate_Timeout 0 0 0 0
GTP PDP 0 0 0 0
GTP PDPMCB 0 0 0 0
 

 

表 14-7 show failover コマンドの出力の説明

フィールド
オプション

Failover

On

Off

Cable status:

Normal:ケーブルは両方の装置に接続されており、両方の装置とも電源が入っています。

My side not connected:シリアル ケーブルがこの装置に接続されていません。ケーブルがもう一方の装置に接続されているかどうかは不明です。

Other side is not connected:シリアル ケーブルはこの装置に接続されていますが、もう一方の装置には接続されていません。

Other side powered off:相手装置の電源がオフになっています。

N/A:LAN ベースのフェールオーバーはイネーブルです。

Failover Unit

[Primary] または [Secondary]

Failover LAN Interface

フェールオーバー リンクの論理名または物理名が表示されます。

Unit Poll frequency

ピア装置に hello メッセージを送信する間隔(秒)、およびピアの障害を宣言するまでにピア装置がフェールオーバー リンク上で hello メッセージを受信する時間(秒)を指定します。

Interface Poll frequency

n

failover polltime interface コマンドで設定した秒数が表示されます。デフォルトは 15 秒です。

Interface Policy

フェールオーバーをトリガーするために必要な、障害インターフェイスの数または比率を表示します。

Monitored Interfaces

モニタ可能な最大インターフェイス数のうち、モニタ対象のインターフェイス数を表示します。

failover replication http

ステータス フェールオーバーに対して HTTP ステートの複製がイネーブルかどうかを示します。

Last Failover at

最終フェールオーバー日時を次の形式で示します。

hh : mm : ss UTC DayName Month Day yyyy

UTC(協定世界時)は GMT(グリニッジ標準時)に相当します。

This host:

Other host:

各ホストについて、次の情報が表示されます。

[Primary] または [Secondary]

アクティブ

スタンバイ

Acitive time

n (秒)

装置がアクティブな時間。この時間は累積です。したがって、スタンバイ装置にも、過去にアクティブであった場合は値が表示されます。

slot x

スロットのモジュールに関する情報、または空。

Interface name ( n . n . n . n ):

各インターフェイスについて、装置上で現在使用されている IP アドレスと、次のいずれかの状態が表示されます。

Failed:インターフェイスに障害が発生しています。

No Link:インターフェイス ライン プロトコルがダウンしています。

Normal:インターフェイスは正常に動作しています。

Link Down:インターフェイスは管理者によって明示的に閉じられています。

Unknown:セキュリティ アプライアンスがインターフェイスのステータスを判別できません。

Waiting:他の装置上のネットワーク インターフェイスのモニタリングは、まだ開始されていません。

Stateful Failover Logical Update Statistics

ステートフル フェールオーバー機能の関連フィールドが表示されます。Link フィールドにインターフェイス名が示されている場合、ステートフル フェールオーバーの統計情報が表示されます。

Link

interface_name :ステートフル フェールオーバー リンクに使用されているインターフェイスです。

Unconfigured:ステートフル フェールオーバーが使用されていません。

up:インターフェイスは開かれて機能しています。

down:インターフェイスは管理者によって明示的に閉じられているか、物理的にダウンしています。

failed:インターフェイスに障害が発生しているため、ステートフル データは転送されません。

Stateful Obj

各フィールド タイプに、次の統計情報が表示されます。これらは 2 つの装置間で送信されたステート情報パケット数のカウンタです。必ずしも装置を通過するアクティブな接続が表示されるわけではありません。

xmit:他方の装置への送信パケット数

xerr:他方の装置へのパケット送信中に発生したエラー数

rcv:受信パケット数

rerr:他方の装置からのパケット受信中に発生したエラー数

General

すべてのステートフル オブジェクトの合計

sys cmd

論理更新システム コマンド:LOGIN、Stay Alive など

up time

アクティブ ユニットからスタンバイ ユニットに渡される動作時間

RPC services

リモート プロシージャ コールの接続情報

TCP conn

TCP 接続情報

UDP conn

動的な UDP 接続情報

ARP tbl

動的な ARP テーブル情報

L2BRIDGE tbl

レイヤ 2 ブリッジ テーブル情報(トランスペアレント ファイアウォール モード限定)

Xlate_Timeout

接続変換のタイムアウト情報を示します。

VPN IKE upd

IKE 接続情報

VPN IPSEC upd

IPSec 接続情報

VPN CTCP upd

cTCP トンネル接続情報

VPN SDI upd

SDI AAA 接続情報

VPN DHCP upd

トンネル経由の DHCP 接続情報

GTP PDP

GTP PDP 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

GTP PDPMCB

GTP PDPMCB 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

Logical Update Queue Information

各フィールド タイプに、次の統計情報が表示されます。

Cur:現在のパケット数

Max:最大パケット数

Total:合計パケット数

Recv Q

受信キューのステータス

Xmit Q

送信キューのステータス

Show Failover:アクティブ/ アクティブ

次に、アクティブ/ アクティブ フェールオーバーでの show failover コマンドの出力例を示します。 表 14-8 で、表示される情報について説明します。

hostname# show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: third GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 4 seconds
Interface Policy 1
Monitored Interfaces 8 of 250 maximum
failover replication http
Group 1 last failover at: 13:40:18 UTC Dec 9 2004
Group 2 last failover at: 13:40:06 UTC Dec 9 2004
 
This host: Primary
Group 1 State: Active
Active time: 2896 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.11)S91(0.11)) status (Up)
admin Interface outside (10.132.8.5): Normal
admin Interface third (10.132.9.5): Normal
admin Interface inside (10.130.8.5): Normal
admin Interface fourth (10.130.9.5): Normal
ctx1 Interface outside (10.1.1.1): Normal
ctx1 Interface inside (10.2.2.1): Normal
ctx2 Interface outside (10.3.3.2): Normal
ctx2 Interface inside (10.4.4.2): Normal
 
Other host: Secondary
Group 1 State: Standby Ready
Active time: 190 (sec)
Group 2 State: Active
Active time: 3322 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.1)S91(0.1)) status (Up)
admin Interface outside (10.132.8.6): Normal
admin Interface third (10.132.9.6): Normal
admin Interface inside (10.130.8.6): Normal
admin Interface fourth (10.130.9.6): Normal
ctx1 Interface outside (10.1.1.2): Normal
ctx1 Interface inside (10.2.2.2): Normal
ctx2 Interface outside (10.3.3.1): Normal
ctx2 Interface inside (10.4.4.1): Normal
 
Stateful Failover Logical Update Statistics
Link : third GigabitEthernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 1973 0 1895 0
sys cmd 380 0 380 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1435 0 1450 0
UDP conn 0 0 0 0
ARP tbl 124 0 65 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 1895
Xmit Q: 0 0 1940
 

次に、アクティブ/ アクティブ フェールオーバーの show failover group コマンドの出力例を示します。表示される情報は、 show failover コマンドの場合と似ていますが、指定されたグループに対象が限定されます。 表 14-8 で、表示される情報について説明します。

 
hostname# show failover group 1
 
Last Failover at: 04:09:59 UTC Jan 4 2005
 
This host: Secondary
State: Active
Active time: 186 (sec)
 
admin Interface outside (192.168.5.121): Normal
admin Interface inside (192.168.0.1): Normal
 
 
Other host: Primary
State: Standby
Active time: 0 (sec)
 
admin Interface outside (192.168.5.131): Normal
admin Interface inside (192.168.0.11): Normal
 
Stateful Failover Logical Update Statistics
Status: Configured.
RPC services 0 0 0 0
TCP conn 33 0 0 0
UDP conn 0 0 0 0
ARP tbl 12 0 0 0
Xlate_Timeout 0 0 0 0
GTP PDP 0 0 0 0
GTP PDPMCB 0 0 0 0
 

 

表 14-8 show failover コマンドの出力の説明

フィールド
オプション

Failover

On

Off

Failover Unit

[Primary] または [Secondary]

Failover LAN Interface

フェールオーバー リンクの論理名または物理名が表示されます。

Unit Poll frequency

ピア装置に hello メッセージを送信する間隔(秒)、およびピアの障害を宣言するまでにピア装置がフェールオーバー リンク上で hello メッセージを受信する時間(秒)を指定します。

Interface Poll frequency

n

failover polltime interface コマンドで設定した秒数が表示されます。デフォルトは 15 秒です。

Interface Policy

フェールオーバーをトリガーするために必要な、障害インターフェイスの数または比率を表示します。

Monitored Interfaces

モニタ可能な最大インターフェイス数のうち、モニタ対象のインターフェイス数を表示します。

Group 1 Last Failover at :

Group 2 Last Failover at :

各グループの最終フェールオーバー日時を次の形式で示します。

hh : mm : ss UTC DayName Month Day yyyy

UTC(協定世界時)は GMT(グリニッジ標準時)に相当します。

This host:

Other host:

各ホストについて、次の情報が表示されます。

Role

[Primary] または [Secondary]

System State

アクティブまたはスタンバイ準備完了

アクティブ時間(秒)

Group 1 State

Group 2 State

アクティブまたはスタンバイ準備完了

アクティブ時間(秒)

slot x

スロットのモジュールに関する情報、または空。

context Interface name ( n . n . n . n ):

各インターフェイスについて、装置上で現在使用されている IP アドレスと、次のいずれかの状態が表示されます。

Failed:インターフェイスに障害が発生しています。

No Link:インターフェイス ライン プロトコルがダウンしています。

Normal:インターフェイスは正常に動作しています。

Link Down:インターフェイスは管理者によって明示的に閉じられています。

Unknown:セキュリティ アプライアンスがインターフェイスのステータスを判別できません。

Waiting:他の装置上のネットワーク インターフェイスのモニタリングは、まだ開始されていません。

Stateful Failover Logical Update Statistics

ステートフル フェールオーバー機能の関連フィールドが表示されます。Link フィールドにインターフェイス名が示されている場合、ステートフル フェールオーバーの統計情報が表示されます。

Link

interface_name :ステートフル フェールオーバー リンクに使用されているインターフェイスです。

Unconfigured:ステートフル フェールオーバーが使用されていません。

up:インターフェイスは開かれて機能しています。

down:インターフェイスは管理者によって明示的に閉じられているか、物理的にダウンしています。

failed:インターフェイスに障害が発生しているため、ステートフル データは転送されません。

Stateful Obj

各フィールド タイプに、次の統計情報が表示されます。これらは 2 つの装置間で送信されたステート情報パケット数のカウンタです。必ずしも装置を通過するアクティブな接続が表示されるわけではありません。

xmit:他方の装置への送信パケット数

xerr:他方の装置へのパケット送信中に発生したエラー数

rcv:受信パケット数

rerr:他方の装置からのパケット受信中に発生したエラー数

General

すべてのステートフル オブジェクトの合計

sys cmd

論理更新システム コマンド:LOGIN、Stay Alive など

up time

アクティブ ユニットからスタンバイ ユニットに渡される動作時間

RPC services

リモート プロシージャ コールの接続情報

TCP conn

TCP 接続情報

UDP conn

動的な UDP 接続情報

ARP tbl

動的な ARP テーブル情報

L2BRIDGE tbl

レイヤ 2 ブリッジ テーブル情報(トランスペアレント ファイアウォール モード限定)

Xlate_Timeout

接続変換のタイムアウト情報を示します。

VPN IKE upd

IKE 接続情報

VPN IPSEC upd

IPSec 接続情報

VPN CTCP upd

cTCP トンネル接続情報

VPN SDI upd

SDI AAA 接続情報

VPN DHCP upd

トンネル経由の DHCP 接続情報

GTP PDP

GTP PDP 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

GTP PDPMCB

GTP PDPMCB 更新情報。この情報は、GTP 検査がイネーブルの場合にだけ表示されます。

Logical Update Queue Information

各フィールド タイプに、次の統計情報が表示されます。

Cur:現在のパケット数

Max:最大パケット数

Total:合計パケット数

Recv Q

受信キューのステータス

Xmit Q

送信キューのステータス

監視対象インターフェイスの表示

モニタ対象インターフェイスのステータスを表示するには、次のコマンドを入力します。シングルコンテキスト モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。マルチコンテキスト モードでは、このコマンドをコンテキスト内で入力します。

primary/context(config)# show monitor-interface
 

次に例を示します。

hostname/context(config)# show monitor-interface
This host: Primary - Active
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.91): Normal
Other host: Secondary - Standby
Interface outside (192.168.1.3): Normal
Interface inside (10.1.1.100): Normal

実行コンフィギュレーション内のフェールオーバー コマンドの表示

実行コンフィギュレーションのフェールオーバー コマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config failover
 

すべてのフェールオーバー コマンドが表示されます。マルチコンテキスト モードで実行する装置では、このコマンドをシステム実行スペースで入力します。 show running-config all failover コマンドを入力すると、実行コンフィギュレーションのフェールオーバー コマンドが表示され、デフォルト値を変更していないコマンドが含められます。

フェールオーバー機能のテスト

フェールオーバー機能をテストするには、次の手順を実行します。


ステップ 1 FTP などを使用して、異なるインターフェイス上のホスト間でファイルを送信し、アクティブ装置またはフェールオーバー グループが予期したとおりにトラフィックを渡しているかどうかをテストします。

ステップ 2 次のコマンドを入力して、スタンバイ ユニットへのフェールオーバーを強制実行します。

アクティブ/スタンバイ フェールオーバーの場合、アクティブ ユニットに次のコマンドを入力します。

hostname(config)# no failover active
 

アクティブ/アクティブ フェールオーバーの場合、ホストに接続しているインターフェイスを含むフェールオーバー グループがアクティブなユニットに次のコマンドを入力します

hostname(config)# no failover active group group_id
 

 

ステップ 3 FTP を使用して、2 つの同じホスト間で別のファイルを送信します。

ステップ 4 テストが成功しなかった場合は、 show failover コマンドを入力してフェールオーバー ステータスを確認します。

ステップ 5 終了後、次のコマンドを入力して、装置またはフェールオーバー グループをアクティブ ステータスに戻すことができます。

アクティブ/スタンバイ フェールオーバーの場合、アクティブ ユニットに次のコマンドを入力します。

hostname(config)# failover active
 

アクティブ/アクティブ フェールオーバーの場合、ホストに接続しているインターフェイスを含むフェールオーバー グループがアクティブなユニットに次のコマンドを入力します

hostname(config)# failover active group group_id
 


 

フェールオーバーの制御およびモニタリング

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項では、次のトピックについて取り上げます。

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「障害が発生した装置またはフェールオーバー グループの復元」

「フェールオーバー動作のモニタ」

フェールオーバーの強制実行

スタンバイ ユニットまたはスタンバイ フェールオーバー グループを強制的にアクティブにするには、次のいずれかのコマンドを入力します。

アクティブ/スタンバイ フェールオーバーの場合:

次のコマンドをスタンバイ ユニットに入力します。

hostname# failover active
 

または、アクティブ装置で次のコマンドを入力します。

hostname# no failover active
 

アクティブ/アクティブ フェールオーバーの場合:

フェールオーバー グループがスタンバイ状態である装置のシステム実行スペースで、次のコマンドを入力します。

hostname# failover active group group_id
 

または、フェールオーバー グループがアクティブ状態である装置のシステム実行スペースで、次のコマンドを入力します。

hostname# no failover active group group_id
 

システム実行スペースに次のコマンドを入力すると、すべてのフェールオーバー グループがアクティブになります。

hostname# failover active
 

フェールオーバーのディセーブル化

フェールオーバーをディセーブル化するには、次のコマンドを入力します。

hostname(config)# no failover
 

アクティブ/スタンバイ ペアでフェールオーバーをディセーブルにすると、再起動されるまで各装置のアクティブおよびスタンバイ状態が維持されます。たとえば、スタンバイ装置はスタンバイ モードのまま維持されるので、両方の装置はトラフィックの転送を開始しません。(フェールオーバーがディセーブル化されていても)スタンバイ装置をアクティブにするには、「フェールオーバーの強制実行」を参照してください。

アクティブ/アクティブ ペアのフェールオーバーをディセーブルにすると、どの装置を優先するように設定されたかに関係なく、現在アクティブなすべての装置上で、フェールオーバー グループはアクティブ ステートのままになります。no failover コマンドは、システム実行スペースに入力する必要があります。

障害が発生した装置またはフェールオーバー グループの復元

障害が発生した装置を障害のない状態に復元するには、次のコマンドを入力します。

hostname(config)# failover reset
 

障害が発生したアクティブ/アクティブ フェールオーバー グループを障害のない状態に復元するには、次のコマンドを入力します。

hostname(config)# failover reset group group_id
 

障害が発生した装置またはグループを障害前のステートに復元しても、自動的にアクティブにはなりません。復元された装置またはグループは、フェールオーバー(強制実行または自然実行)によってアクティブにされるまで、スタンバイ ステートのままになります。 preempt コマンドで設定されたフェールオーバー グループは例外です。以前アクティブであった場合、フェールオーバー グループは、 preempt コマンドで設定されていて、故障したときの装置が優先設定の装置であると、アクティブになります。

フェールオーバー動作のモニタ

フェールオーバーが発生すると、両方のセキュリティ アプライアンスがシステム メッセージを送信します。この項では、次のトピックについて取り上げます。

「フェールオーバー システム メッセージ」

「デバッグ メッセージ」

「SNMP」

フェールオーバー システム メッセージ

セキュリティ アプライアンスは、深刻な状況を表すプライオリティ レベル 2 のフェールオーバーについて、複数のシステム メッセージを発行します。これらのメッセージを表示するには、 『Cisco Security Appliance Logging Configuration and System Log Messages のロギングのイネーブル化、およびシステム メッセージの説明の表示を参照してください。


) 切り替え中、フェールオーバーは論理的にシャットダウンした後、インターフェイスを起動し、syslog 411001 および 411002 メッセージを生成します。これは通常のアクティビティです。


デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、『 Cisco Security Appliance Command Reference 』を参照してください。


) CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステム パフォーマンスに大きく影響することがあります。このため、debug fover コマンドは、特定の問題に対するトラブルシューティングや、Cisco TAC とのトラブルシューティング セッションに限定して使用してください。


SNMP

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、お使いの SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。詳細については、『 Cisco Security Appliance Command Reference 』の snmp-server コマンドおよび logging コマンドを参照してください。