ASA CX および Cisco Prime Security Manager 9.2 ユーザ ガイド
ハイ アベイラビリティの管理
ハイ アベイラビリティの管理
発行日;2014/01/06   |   ドキュメントご利用ガイド   |   ダウンロード ;   この章 pdf   ,   ドキュメント全体 pdf    |   フィードバック

ハイ アベイラビリティの管理

この項では、指定されたデバイスのペアのフェールオーバー、またはハイ アベイラビリティ、の設定を指定および管理する方法について説明します。

ハイ アベイラビリティについて

Cisco HA(ハイ アベイラビリティ)により、ネットワークのどの場所でも発生する障害からの高速回復が可能になり、ネットワーク規模での保護が実現されます。 Cisco HA を使用すると、ネットワークのハードウェアおよびソフトウェアが連携し、中断からの高速回復が可能となるため、ユーザおよびネットワーク アプリケーションへの障害の透過性が保証されます。

本書のコンテキストでは、「ハイ アベイラビリティ」はより狭い意味で使用され、通常はフェールオーバー モードで動作している ASA または CX モジュール ペアを指しています。 実際、「フェールオーバー」と「ハイ アベイラビリティ」が多少同義的に使用されています。

フェールオーバーの設定では、専用フェールオーバー リンク(および任意でステート リンク)を介して相互に接続された 2 つの同じ ASA が必要です。 アクティブ ユニットおよびインターフェイスの状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニタされます。 所定の条件に一致すると、フェールオーバーが行われます。

現在、PRSM はアクティブ/スタンバイ フェールオーバーだけをサポートします。つまり、1 台の装置がトラフィックを渡すアクティブ装置で、スタンバイ装置はアクティブにトラフィックを渡しません。 フェールオーバーが発生すると、アクティブ装置がフェールオーバーしてスタンバイ装置になり、そのスタンバイ装置がアクティブになり、トラフィックを渡し始めます。 シングルまたはマルチ コンテキスト モードでは、ASA に対してアクティブ/スタンバイ フェールオーバーを使用できます。

ステートレス フェールオーバーとステートフル フェールオーバー

ASA は、ステートレスおよびステートフルという 2 つのタイプのフェールオーバーをサポートします。

ステートレス フェールオーバーでは、フェールオーバーが発生すると、アクティブな接続はすべてドロップされます。 新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。

ステートフル フェールオーバーでは、アクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。 フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報を使用できます。 サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

フェールオーバー用のデバイスの設定

ASA CX デバイスのハイ アベイラビリティの設定には、専用フェールオーバー リンクを介して互いに接続されている 2 台の同じユニットが必要で、一方はトラフィックを渡すアクティブ ユニット、もう一方はスタンバイ状態で待機するユニットにする必要があります。 アクティブ ユニットおよびインターフェイスの状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニタされます。 これらの条件に一致すると、フェールオーバーが発生し、スタンバイ ユニットがトラフィックの処理を開始します。

2 台の ASA CX デバイスをハイ アベイラビリティ用に設定するには、次の条件が満たされている必要があります。

  • 両方のユニットが同じモデルで、インターフェイスの数と種類が同じで、搭載されている RAM の容量が同じである必要があります。
  • 両方のユニットが同じモード(ルーテッドまたはトランスペアレント、シングル コンテキストまたはマルチ コンテキスト)で動作している必要があります。 ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。
  • ASA CX に、適切なライセンスが必要です。

Cisco Prime Security ManagerPRSM)を使用して、アクティブ/スタンバイ フェールオーバー モードで動作している ASA デバイスのペアを管理およびモニタできます。 これらのデバイスには、オプションで、CX デバイスを含むことができ、それらもフェールオーバーします。 マルチ コンテキスト モードで設定されているなど、サポートされていない ASA にデバイスが存在する場合、CX モジュールを HA ペアとして追加することができます。 各 HA ペアは単位として管理されます。

フェールオーバー用のペアリング デバイス

PRSM のインベントリに ASA ハイ アベイラビリティ ペアの追加 する前に、フェールオーバー モードで同時に動作するように ASA のペアを設定する必要があります。 これは PRSM の外部で行われます。Adaptive Security Device Manager(ASDM)またはコマンドライン インターフェイス(CLI)を使用して、2 台のデバイスでアクティブ/スタンバイ フェールオーバーを設定できます。

ハイ アベイラビリティの管理

[High Availability] ページに、選択したデバイス(フェールオーバー ペアのアクティブ メンバーが望ましい)で設定されたフェールオーバー プロパティを表示し、編集が可能です。

手順
    ステップ 1   特定のデバイスのフェールオーバー設定を管理するには、Configurations > Policies/Settings を選択します。
    ステップ 2   目的のデバイスを選択します。[Devices] が [Policies/Settings] ビュー セレクタで選択されていることを確認し、デバイス リストから管理するデバイスを選択します。

    これは、アクティブ/スタンバイ フェールオーバー ペアのアクティブ メンバとして設定されたデバイスである必要があります。

    ステップ 3   [High Availability] タブをクリックして、デバイスの [High Availability] ページを表示します。

    デバイスのフェールオーバー プロパティは、4 つのセクションで示されます。[Basic Configuration]、[Criteria]、[MAC Addresses]、および [Interfaces]。

    ステップ 4   必要に応じてフェールオーバー プロパティを更新します。

    これらのプロパティについては、ハイ アベイラビリティ設定プロパティ で説明します。

    ステップ 5   更新されたプロパティをこのデバイスに保存するには、[Save] をクリックします。もう一方のセカンダリ デバイスは自動的に更新されます。

    ハイ アベイラビリティ設定プロパティ

    指定されたアクティブ/スタンバイ フェールオーバー ペアのメンバーであるデバイスに割り当てられたフェールオーバー、またはハイ アベイラビリティ(HA)、プロパティは、[High Availability][High Availability]ページの 4 つのセクションで表示されます。

    設定値は、両方のデバイスで同じで、いずれかの [High Availability][High Availability]ページで表示できます。 ただし、現在アクティブなデバイスの [High Availability][High Availability]ページで HA のプロパティを更新することを推奨します。

    基本設定プロパティ

    次の基本的なフェールオーバーの設定プロパティにアクセスするには、このセクションを展開します。

    LAN Failover

    LAN フェールオーバー設定は、[Basic Configuration] セクションの上部でグループ化されます。[Interface]、[Logical Name]、[Active IP]、[Standby IP]、および [Subnet Mask]。

    Interface

    この読み取り専用フィールドは、フェールオーバー ペアの設定中にフェールオーバー通信に割り当てられた物理インターフェイスの名前を示します。 詳細については、「ハイ アベイラビリティの設定方法」を参照してください。

    Logical Name

    識別するためにフェールオーバー リンク インターフェイスに割り当てられた名前。

    Active IP

    インターフェイスに割り当てられたアクティブ IP アドレス。 IP アドレスは IPv4 または IPv6 のいずれかを指定できます。フェールオーバー リンク インターフェイスで両方のタイプのアドレスは設定できません。

    Standby IP

    セカンダリ装置がプライマリ装置との通信に使用する IP アドレス。 IP アドレスは、IPv4 または IPv6 アドレスにすることができます。

    Subnet Mask

    [Active IP] に対して指定したアドレスのタイプに応じて、これはフェールオーバー インターフェイスのサブネット マスク(IPv4 アドレス)またはプレフィックスの長さ(IPv6 アドレス)になります。 フィールドの名前は [Active IP] フィールドで指定したアドレスのタイプによって変わります。

    Stateful Failover

    次のオプションの設定では、ステートフル フェールオーバーを設定できます。[Interface]、[Logical Name]、[Active IP]、[Standby IP]、および [Subnet Mask]。

    [Interface] フィールドを除いて、これらのプロパティは、[LAN Failover] セクションで説明されたものと同じです。 このセクションでは、ステートフル フェールオーバー通信に割り当てる未使用インターフェイスを選択できます。 [LAN Failover] セクションで指定したものと同じインターフェイスを選択した場合、このセクションのパラメータは [LAN Failover] セクションからコピーされ、変更できません。

    HTTP Replication

    ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ ファイアウォールにコピーできるようにするには、オンにします。 HTTP レプリケーションを許可しない場合、HTTP 接続はフェールオーバー時に切断されます。 HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。 ただし、HTTP レプリケーションをイネーブルにすると、ユーザはフェールオーバー中に中断することなくファイルの参照、ストリーミング、およびダウンロードができます。

    Key Parameters

    [Enable]、[Type] および [Key] プロパティでは、フェールオーバー リンク上で通信の暗号化を有効にすることができます。

    • [Enable]:2 つの HA デバイス間のリンク上で通信の暗号化の有効にするには、オンにします。 オフの場合、コマンド複製中に送信されるコンフィギュレーション内のパスワードまたはキーを含め、フェールオーバー通信がクリア テキストになります。
    • [Type]:暗号キー タイプを指定するには、[ASCII] または [HEX] を選択します。
    • [Key]:フェールオーバー通信の暗号化に使用するキーを入力します。 選択した [Type] が [ASCII] の場合、最大 63 文字の数字、文字、句読点の共有秘密文字列を指定します。 [HEX] の場合、16 進数文字が 32 の暗号化文字列を指定します。

    評価基準

    ASA は、各データ インターフェイスから「hello」パケットを送信して、インターフェイス ヘルスをモニタします。 アプライアンスも、フェールオーバー リンクを通して hello メッセージを送信し、装置ヘルスをモニタします。 ASA が、定義された保持時間の半分以上が経過してもピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。 hello パケットまたはテストの正常終了の結果がその指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。 失敗したインターフェイスの数が、指定した [Fail On] 基準を満たしている場合、フェールオーバーが発生します。

    ポーリング時間および保持時間を短縮すると、ASA はインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。 ポーリング時間と保持時間を延長すると、ASA がネットワーク上でフェールオーバーし、長時間の遅延が発生するのを防止できます。

    3 つのセクションに分類された次のフェールオーバー基準にアクセスし、それを定義するには、このセクションを展開します。[Interface Criteria]([Fail On])、[Poll Time]([Unit Failover] および [Unit Hold Time])、および [Interface Poll Time]([Monitored Interfaces] および [Interface Hold Time])。

    Fail On

    この値は、フェールオーバーをトリガーするためにアクティブ デバイスで失敗する必要があるインターフェイスの数を定義します。この番号の意味は数または割合を選択することによって指定されます。 [Number] を選択した場合は、[Fail On] 値はフェールオーバーをトリガーするために失敗する必要があるインターフェイスの実際の数(1 ~ 250)です。 [Percentage] を選択した場合は、デバイスで失敗する必要がある、合計インターフェイスに対する割合です。

    Unit Failover

    この値は、2 つの装置間で送信される hello メッセージの時間間隔を定義します。 秒/ミリ秒ドロップダウン メニューの選択に応じて、1 ~ 15 秒または 200 ~ 999 ミリ秒の値を指定します。

    Unit Hold Time

    これは、装置がフェールオーバー リンク上で hello メッセージを受信する必要がある時間です。設定した時間内に受信しない場合、装置はピアの障害のテスト プロセスを開始します。 値の範囲は、秒/ミリ秒ドロップダウン メニューの選択に応じて、1 ~ 45 秒、または 800 ~ 999 ミリ秒です。 [Unit Failover] ポーリング タイムの 3 倍より少ない値は入力できません。

    Monitored Interfaces

    インターフェイス ポーリングの間隔。 値の範囲は、秒/ミリ秒ドロップダウン メニューの選択に応じて、1 ~ 15 秒、または 500 ~ 999 ミリ秒です。

    Interface Hold Time

    データ インターフェイスがピアから hello メッセージを受信する必要がある時間。この間隔が過ぎると、ピアの障害が宣言されます。 有効な値は 5 ~ 75 秒です。 この値は少なくとも [Monitored Interfaces] 値の 5 倍である必要があります。

    MAC アドレス

    各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。 仮想 MAC アドレスを指定しない場合、フェールオーバー ペアは焼き付け NIC アドレスを MAC アドレスとして使用します。

    未使用の物理インターフェイスの仮想 MAC アドレスの割り当てにアクセスするには、このセクションを展開します。

    特定の物理インターフェイスのアクティブおよびスタンバイ MAC アドレスを指定するには、[Add Interface MAC Address] ボタンをクリックします。 既存のインターフェイスまたは MAC アドレス エントリを選択して、編集または削除します(適切なボタンをクリックします)。

    インターフェイスの MAC アドレスを追加する場合は、[Physical Interface] フィールドでインターフェイスを選択します。 インターフェイスの MAC アドレスを追加または編集する場合は、[Active MAC Address] および [Standby MAC Address] を指定します。

    [Active MAC Address] フィールドを使用して、仮想 MAC アドレスをインターフェイスに手動で割り当てます。 MAC アドレスは、H.H.H の形式で指定します。H は 16 ビットの 16 進数です。 たとえば、MAC アドレスが 00-0C-F1-42-4C-DE の場合、000C.F142.4CDE と入力します。 インターフェイスの [Standby MAC Address] も指定する必要があります。

    Interfaces

    モニタ対象インターフェイスのリストにアクセスするには、このセクションを展開します。 各モニタ対象インターフェイスのスタンバイ IP アドレスを手動で設定できます。これは、IPv4 アドレスでも、IPv6 アドレスでも構いません。 また、個々のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにできます。[Monitored] カラムで、[True] または [False] をクリックします。