Cisco PIX Firewall/VPN コンフィギュレーション ガイド
PIX Firewall フェールオーバーの使用 方法
PIX Firewall フェールオーバーの使用方法
発行日;2012/02/04 | 英語版ドキュメント(2009/02/14 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

PIX Firewall フェールオーバーの使用方法

フェールオーバー装置のシステム要件

フェールオーバーの概要

フェールオーバー ケーブルを使用するフェールオーバーの設定

LAN ベースのフェールオーバーの設定

ケーブルベースから LAN ベースへの変更

フェールオーバー設定の確認

フェールオーバーに関する追加情報

フェールオーバー通信

フェールオーバーの原因

コンフィギュレーションの複製

ステートフル フェールオーバー

フェールオーバーのディセーブル化

フェールオーバーの使用上の注意

フェールオーバーに関する FAQ

ケーブルベースのフェールオーバー

LAN ベースのフェールオーバー

ステートフル フェールオーバーに関する質問

フェールオーバー コンフィギュレーションの例

PIX Firewall フェールオーバーの使用方法

この章では、PIX Firewall のフェールオーバー機能について説明します。この機能では、プライマリ PIX Firewall 装置に障害が発生した場合に制御を引き継ぐセカンダリ PIX Firewall 装置を追加できます。次の項目について説明します。

「フェールオーバー装置のシステム要件」

「フェールオーバーの概要」

「フェールオーバー ケーブルを使用するフェールオーバーの設定」

「LAN ベースのフェールオーバーの設定」

「ケーブルベースから LAN ベースへの変更」

「フェールオーバー設定の確認」

「フェールオーバーに関する追加情報」

「フェールオーバー コンフィギュレーションの例」


) フェールオーバー機能を前のバージョンからアップグレードする手順については、「フィーチャ ライセンスとシステム ソフトウェアの変更」「旧バージョンのフェールオーバー システムのアップグレード」を参照してください。


フェールオーバー装置のシステム要件

フェールオーバー機能を使用するには、次の事項が同一の装置が 2 台必要です。

プラットフォーム タイプ(PIX 515E は PIX 515 と同一のものとしては使用 できません

ソフトウェア バージョン

アクティベーション キー タイプ(DES または 3DES)

フラッシュ メモリ

RAM の容量

一方のフェールオーバー装置が Unrestricted(UR; 無制約)ライセンスを持ち、他方のフェールオーバー装置が Failover(FO; フェールオーバー)ライセンスまたは UR ライセンスを持つ必要があります。制限付きライセンスの装置はフェールオーバーには使用できません。また、FO ライセンスの装置 2 台をフェールオーバーのペアとして使用することはできません。PIX 515E、PIX525、および PIX535 は、オプションの UR ライセンスを持っている場合に、フェールオーバーに使用できます。


) PIX 501 装置および PIX 506E 装置は、プライマリ装置としてもセカンダリ装置としてもフェールオーバーには使用できません。


フェールオーバーの概要

フェールオーバーを使用すると、プライマリ PIX Firewall 装置がオフラインになった場合に、セカンダリ PIX Firewall 装置をネットワークに接続してネットワークを保護できます。ステートフル フェールオーバーを使用すると、プライマリ装置からスタンバイ装置へのフェールオーバー時に、TCP、H.323、SIP、および MGCP UDP メディア接続の動作状態を維持できます

フェールオーバーが発生すると、各装置のステータスが切り替わります。アクティブ装置はスタンバイ状態に変わり、スタンバイ装置はアクティブ状態に変わります。アクティブになった装置が、それまでアクティブだった装置(プライマリ装置)のアクティブな IP アドレスと MAC アドレスを引き継ぎ、トラフィックの受け渡しを開始します。スタンバイ状態となった装置は、セカンダリ装置のフェールオーバー IP アドレスと MAC アドレスを引き継ぎます。ネットワーク装置は、MAC と IP アドレスの組み合せについて変更を認識しないため、ネットワーク上のどこにおいても ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。

ただし、プライマリ装置が新しいプライマリ装置に置き換わると、セカンダリ装置は新しいプライマリ装置の MAC アドレスを取得し、すべてのインターフェイスで Gratuitous ARP を送信して PIX Firewall に接続されたデバイスを更新します。LAN ベースのフェールオーバーでは、failover mac address コマンドを使用してプライマリ装置とセカンダリ装置の MAC アドレスを手動で設定することにより、MAC アドレスの変更を阻止できます。

プライマリ装置を設定して必要なケーブル接続を行うと、プライマリ装置はそのコンフィギュレーションをスタンバイ装置に自動的にコピーします。

PIX 515E、PIX 525、および PIX535 がアクティブなフェールオーバー装置の場合は、前面にある ACT インジケータが点灯します。フェールオーバーがイネーブルでない場合、このライトは点灯します。フェールオーバーがイネーブルの場合は、装置がアクティブのときは点灯し、スタンバイのときは消えています。

フェールオーバーは、すべてのイーサネット インターフェイスで動作します。フェールオーバーのために 2 台の PIX Firewall 装置をケーブルで接続するには、高速シリアル ケーブル(ケーブルベースのフェールオーバーの場合)、または専用のスイッチ(または VLAN)への専用のイーサネット接続(LAN ベースのフェールオーバーの場合)が必要です。ステートフル フェールオーバーを使用している場合、独立した専用の接続は、ケーブルベースのフェールオーバーを実行している場合は必須であり、LAN ベースのフェールオーバーを実行している場合は推奨されます。ステートフル フェールオーバー リンクの最低接続速度は、全二重 100 Mbps です。


) PIX 535 でのステートフル フェールオーバーで Gigabit Ethernet(GE; ギガビット イーサネット)インターフェイスがある場合、フェールオーバー リンクは GE にする必要があります。


プライマリ PIX Firewall をフェールオーバー用に設定するには、次のコマンドを使用する必要があります。

failover コマンド。フェールオーバーをイネーブルにします。

failover ip address コマンド。IP アドレスをスタンバイ装置に割り当てます。

failover link コマンド。ステートフル フェールオーバーをイネーブルにします。

failover lan コマンド。LAN ベースのフェールオーバーを設定します。


) ステートフル フェールオーバー、フェールオーバーの起動、FAQ については、「フェールオーバーに関する追加情報」を参照してください。


フェールオーバー ケーブルを使用するフェールオーバーの設定

フェールオーバーを設定するには、両方の PIX Firewall 装置が同じモデル番号であり、少なくとも同じ容量の RAM を持ち、フラッシュ メモリ サイズが同じであり、同じソフトウェア バージョンを実行している必要があります。


) スタンバイ装置の電源をすでに投入している場合は、電源を切断し、設定手順で指示されるまで電源を切っておいてください。


フェールオーバーを設定するには、次の手順を実行します。


ステップ 1 PIX Firewall クロックが CMOS に格納されているため、まだ同期を取っていない場合は、アクティブな PIX Firewall 上で clock set time コマンドを指定して、両方の PIX Firewall 装置の時刻を同期させます。

ステップ 2 IP アドレスを設定した各ネットワーク インターフェイスに、ネットワーク ケーブルでプライマリ装置とセカンダリ装置を接続します。

ステップ 3 フェールオーバー ケーブルをプライマリ PIX Firewall 装置に接続します。このとき、必ず「primary」マークの付いたケーブル端をプライマリ装置に、「secondary」マークの付いた端をセカンダリ装置に接続します。

ステップ 4 プライマリ装置だけ設定します。セカンダリ装置に行った変更は、プライマリ装置にコピーされないため、次回のリブート時に失われます。PIX Firewall の設定を終了し、write memory コマンドを入力して設定をフラッシュ メモリに保存すると、プライマリ装置が自動的にセカンダリ装置をアップデートします。


) プロンプトで指示されるまで、セカンダリ装置に電源を投入しないでください。まずプライマリ装置を設定し、その後、プロンプトで指示されたときにセカンダリ装置に電源を投入します。


ステップ 5 configure terminal コマンドを使用して、設定モードに入ります。

ステップ 6 コンフィギュレーション内の interface コマンドがいずれも、auto オプションも 1000auto オプションも使用していないことを確認します。コンフィギュレーション内の interface コマンドを表示するには、write terminal コマンドを使用します。変更が必要なコマンドを修正するには、新しい情報でインターフェイスを再入力します。10 Mbps は 10baset、100 Mbps は 100basetx というように、常にインターフェイスの速度を指定します。速度と二重化方式がスイッチ、ルータを含むサブネット上のどのデバイスに対しても同じであることを確認してください。


) ステートフル フェールオーバーを使用している場合、interface コマンドの 100full または 1000sxfull オプションを使用して、ステートフル フェールオーバーの専用インターフェイス速度を設定します。この設定は非常に重要です。また、ステートフル フェールオーバー リンク上の最大伝送ユニット(MTU)のサイズは、1500 以上である必要があります。


ステップ 7 interface コマンドを変更した後、clear xlate コマンドを使用します。

ステップ 8 ip address コマンド文を使用して IP アドレスをプライマリ装置の各インターフェイスに割り当てます(未割り当ての場合)。ip address コマンドの入力で間違えた場合は、正しいコマンドを再入力してください。

show ip address コマンドを使用して、指定したアドレスを表示します。

pix(config)# show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
 

Current IP Addresses は、アクティブ装置上の System IP Addresses と同じです。プライマリ装置に障害が発生すると、Current IP Addresses がスタンバイ装置のアドレスになります。

ステップ 9 failover コマンド文を使用して、プライマリ装置のフェールオーバーをイネーブルにします。

ステップ 10 show failover コマンドを使用して次の文をチェックし、プライマリ装置がイネーブルになっていることを確認します。

This host: primary - Active
 

次に、show failover コマンドの出力例を示します。

pix(config)# show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): My Side Not Connected (Waiting)
Interface intf3 (0.0.0.0): My Side Not Connected (Waiting)
Interface intf2 (0.0.0.0): My Side Not Connected (Waiting)
Interface outside (0.0.0.0): My Side Not Connected (Waiting)
Interface inside (0.0.0.0): My Side Not Connected (Waiting)
 

show failover コマンドによって表示されるケーブル ステータスの値は、次のとおりです。

My Side Not Connected:シリアル ケーブルが show failover コマンドを入力した装置に接続されていません。

Normal:アクティブ装置が動作しており、スタンバイ装置が待機しています。

Other side is not connected:シリアル ケーブルがもう一方の装置(show failover コマンドを入力した装置の相手装置)に接続されていません。

Other side powered off:アクティブ装置として表示されていない装置の電源が入っていません。

フェールオーバー インターフェイス フラグが show failover コマンド表示で各インターフェイスの IP アドレスの右に表示されます。フェールオーバー フラグの内容は次のとおりです。

Failed:インターフェイスに障害が発生しました。

Link Down:インターフェイスの回線プロトコルがダウンしています。

Normal:インターフェイスが正しく動作しています。

Shut Down:インターフェイスは管理上シャットダウンされました(shutdown オプションはコンフィギュレーション内の interface コマンド文でイネーブルになります)。

My Side Not Connected:フェールオーバーがインターフェイスのステータスを判別できません。

Waiting:相手装置のネットワーク インターフェイスの監視はまだ開始されていません。

ステップ 11 各インターフェイスに failover ip address コマンド文を入力し、スタンバイ装置のインターフェイス アドレスを指定します。このコマンドが正しく動作するために 2 台の装置が設定されている必要はありません。スタンバイ装置の IP アドレスは、アクティブ装置のアドレスとは異なりますが、各インターフェイスと同じサブネットにある必要があります。次に、スタンバイ装置上のインターフェイスに IP アドレスを設定する例を示します。

failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2

次の show failover コマンドの出力例は、セカンダリ装置で各インターフェイスに IP アドレスが設定されていることを示しています。

pix(config)# show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): My Side Not Connected (Waiting)
Interface intf3 (192.168.3.2): My Side Not Connected (Waiting)
Interface intf2 (192.168.2.2): My Side Not Connected (Waiting)
Interface outside (192.168.1.2): My Side Not Connected (Waiting)
Interface inside (10.1.1.2): My Side Not Connected (Waiting)
 

ステップ 12 ステートフル フェールオーバーを設定している場合は、failover link コマンドで、使用している専用インターフェイスの名前を指定します。たとえば、ステートフル フェールオーバーに「4th」というインターフェイスを使用する場合は、次のコマンドを入力します。

failover link 4th
 

ステップ 13 ステートフル フェールオーバーをイネーブルにした後、show failover コマンドを使用すると、追加情報が次のように表示されます。

pix(config)# show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): My Side Not Connected (Waiting)
Interface intf3 (192.168.3.2): My Side Not Connected (Waiting)
Interface intf2 (192.168.2.2): My Side Not Connected (Waiting)
Interface outside (192.168.1.2): My Side Not Connected (Waiting)
Interface inside (10.1.1.2): My Side Not Connected (Waiting)
 
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
 

show failover コマンドで表示される「Stateful Failover Logical Update Statistics」セクションの 1 行目の項目は次のとおりです。

Stateful Obj:PIX Firewall のステートフル オブジェクト

xmit:相手装置に送信されたパケットの数

xerr:相手装置にパケットを送信中に発生したエラーの数

rcv:受信されたパケットの数

rerr:相手装置からパケットを受信中に発生したエラーの数

第 1 列目の項目は、各統計に対するオブジェクトのスタティック カウントを示します。

General:ステートフル オブジェクトの総数

sys cmd:論理更新システム コマンド(LOGIN、Stay Alive など)

up time:アップタイム(アクティブ装置がスタンバイ装置に渡す値)

xlate:変換情報

tcp conn:TCP 接続情報

udp conn:ダイナミック UDP 接続情報

ARP tbl:ダイナミック ARP テーブル情報

RIF Tbl:ダイナミック ルータ テーブル情報

「Logical Update Queue Information」の項目は、受信(Recv)キューと送信(Xmit)キュー内のパケットの現在数、最大数、合計数を示します。

ステップ 14 各装置が利用可能であることを確認するために、装置が hello パケットを交換するための時間として 15 秒以下の時間を設定する場合、failover poll seconds コマンドを使用します。デフォルトの設定値は 15 秒です。最小値は 3 秒で、最大値は 15 秒です。ステートフル フェールオーバーにはこれより小さな値を設定します。ポーリング時間を速くすると、PIX Firewall は、それだけ速く障害を検出して、フェールオーバーを起動できます。しかし、障害の検出が速すぎると、ネットワークが一時的に輻輳したとき、またはネットワーク カードの起動が遅いときに、不要な切り替えが行われる可能性があります。

ステップ 15 セカンダリ装置の電源を投入します。セカンダリ装置が起動すると、プライマリ装置はそれを認識し、コンフィギュレーションの同期を開始します。コンフィギュレーションの同期が取られると、「Sync Started」と「Sync Completed」というメッセージが表示されます。

ステップ 16 スタンバイ装置が起動したら、プライマリ装置で show failover コマンドを使用してステータスを確認します。

pix(config)# show failover
Failover On
Cable status: Other side powered off
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal
Interface intf3 (192.168.3.1): Normal
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf3 (192.168.3.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
 

ステップ 17 write memory コマンドを使用して、コンフィギュレーションをフラッシュ メモリに保存します。スタンバイ装置のコンフィギュレーションがアクティブ装置との同期対象外である場合は、write standby コマンドを使用して両方の装置のコンフィギュレーションを同期化します。


 

LAN ベースのフェールオーバーの設定

PIX Firewall Version 6.2 では、LAN ベースのフェールオーバーのサポートが導入されたため、プライマリ PIX Firewall およびセカンダリ PIX Firewall の接続に、特別なフェールオーバー ケーブルは不要になりました。LAN ベースのフェールオーバーでは、フェールオーバー ケーブルの長さが 6 フィートという距離の制限がなくなりました。


) LAN ベースのフェールオーバーを実装するには、専用の LAN インターフェイスと「専用の」スイッチ(または VLAN)が必要です。2 台の PIX Firewall 装置の接続にイーサネット クロス ケーブルは使用できません。


LAN ベースのフェールオーバーでは、フェールオーバー メッセージは、イーサネット接続経由で送信されます。このイーサネット接続は、PIX Firewall の旧バージョンで使用された専用のフェールオーバー ケーブルに比べて、相対的に安全性が下がります。PIX Firewall Version 6.2 では、LAN ベースのフェールオーバー用に、手動の事前共有キーを使用したメッセージの暗号化と認証機能が用意されています。

フェールオーバーを設定するには、両方の PIX Firewall 装置が同じモデル番号であり、少なくとも同じ容量の RAM を持ち、フラッシュ メモリ サイズが同じであり、同じソフトウェア バージョンを実行している必要があります。

フェールオーバーを設定するには、次の手順を実行します。


ステップ 1 PIX Firewall クロックが CMOS に格納されているため、まだ同期を取っていない場合は、アクティブな PIX Firewall 上で clock set time コマンドを指定して、両方の PIX Firewall 装置の時刻を同期させます。

ステップ 2 LAN ベースのフェールオーバーに使用されるインターフェイスを除いて、IP アドレスを設定した各ネットワーク インターフェイスに、ネットワーク ケーブルでプライマリ装置とセカンダリ装置を接続します。

ステップ 3 フェールオーバー ケーブルが PIX Firewall に接続されている場合は、そのケーブルを外します。

ステップ 4 プライマリ装置だけ設定します。スタンバイ装置に行った変更は、プライマリ装置にコピーされないため、次回のリブート時に失われます。PIX Firewall の設定を終了し、write memory コマンドを入力して設定をフラッシュ メモリに保存すると、プライマリ装置が自動的にセカンダリ装置をアップデートします。

ステップ 5 configure terminal コマンドを使用して、設定モードに入ります。

ステップ 6 コンフィギュレーション内の interface コマンドがいずれも、auto オプションも 1000auto オプションも使用していないことを確認します。コンフィギュレーション内の interface コマンドを表示するには、write terminal コマンドを使用します。変更が必要なコマンドを修正するには、新しい情報でインターフェイスを再入力します。10 Mbps は 10baset、100 Mbps は 100basetx というように、常にインターフェイスの速度を指定します。速度と二重化方式がスイッチ、ルータを含むサブネット上のどのデバイスに対しても同じであることを確認してください。

ステップ 7 ステートフル フェールオーバーを使用している場合、 interface コマンドの 100full または 1000sxfull オプションを使用して、ステートフル フェールオーバーの専用インターフェイス速度を設定します。この設定は非常に重要で、クロス コネクタを使用して両方の PIX Firewall 装置を相互に直接接続している場合でも、この設定を行う必要があります。

ステップ 8 interface コマンドを変更した後、clear xlate コマンドを使用します。

ステップ 9 ip address コマンド文を使用して IP アドレスをプライマリ装置の各インターフェイスに割り当てます(未割り当ての場合)。ip address コマンドの入力で間違えた場合は、正しいコマンドを再入力してください。

show ip address コマンドを使用して、指定したアドレスを表示します。

pix(config)# show ip address
System IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
Current IP Addresses:
ip address outside 192.168.1.1 255.255.255.0
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 192.168.2.1 255.255.255.0
ip address intf3 192.168.3.1 255.255.255.0
ip address 4th 172.16.1.1 255.255.255.0
 

Current IP Addresses は、アクティブ装置上の System IP Addresses と同じです。プライマリ装置に障害が発生すると、Current IP Addresses がスタンバイ装置のアドレスになります。

ステップ 10 failover コマンド文を使用して、プライマリ装置のフェールオーバーをイネーブルにします。

ステップ 11 show failover コマンドを使用して次の文をチェックし、プライマリ装置がイネーブルになっていることを確認します。

This host: primary - Active
 

次に、show failover コマンドの出力例を示します。

pix(config)# show failover
Failover On
Cable status: My Side Not Connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 225 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Link Down
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (0.0.0.0): My Side Not Connected (Waiting)
Interface intf3 (0.0.0.0): My Side Not Connected (Waiting)
Interface intf2 (0.0.0.0): My Side Not Connected (Waiting)
Interface outside (0.0.0.0): My Side Not Connected (Waiting)
Interface inside (0.0.0.0): My Side Not Connected (Waiting)
 

show failover コマンドによって表示されるケーブル ステータスの値は、次のとおりです。

My Side Not Connected:シリアル ケーブルが show failover コマンドを入力した装置に接続されていません。

Normal:アクティブ装置が動作しており、スタンバイ装置が待機しています。

Other side is not connected:シリアル ケーブルがもう一方の装置(show failover コマンドを入力した装置の相手装置)に接続されていません。

Other side powered off:アクティブ装置として表示されていない装置の電源が入っていません。

フェールオーバー インターフェイス フラグが show failover コマンド表示で各インターフェイスの IP アドレスの右に表示されます。フェールオーバー フラグの内容は次のとおりです。

Failed:インターフェイスに障害が発生しました。

Link Down:インターフェイスの回線プロトコルがダウンしています。

Normal:インターフェイスが正しく動作しています。

Shut Down:インターフェイスは管理上シャットダウンされました(shutdown オプションはコンフィギュレーション内の interface コマンド文でイネーブルになります)。

My Side Not Connected:フェールオーバーがインターフェイスのステータスを判別できません。

Waiting:相手装置のネットワーク インターフェイスの監視はまだ開始されていません。

ステップ 12 各インターフェイスに failover ip address コマンド文を入力し、スタンバイ装置のインターフェイス アドレスを指定します。このコマンドが正しく動作するために 2 台の装置が設定されている必要はありません。スタンバイ装置の IP アドレスは、アクティブ装置のアドレスとは異なりますが、各インターフェイスと同じサブネットにある必要があります。次に、スタンバイ装置上のインターフェイスに IP アドレスを設定する例を示します。

failover ip address inside 10.1.1.2
failover ip address outside 192.168.1.2
failover ip address intf2 192.168.2.2
failover ip address intf3 192.168.3.2
failover ip address 4th 172.16.1.2
 

これらのコマンドを使用して PIX Firewall を設定するには、 intf3 に、セカンダリ装置との接続に使用されるプライマリ PIX Firewall 装置のインターフェイス名を指定します。IP アドレスには、ネットワークに適した値を指定します。

次の show failover コマンドの出力例は、セカンダリ装置で各インターフェイスに IP アドレスが設定されていることを示しています。

pix(config)# show failover
Failover On
Cable status: My Side Not Connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf3 (192.168.3.1): Link Down
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): My Side Not Connected (Waiting)
Interface intf3 (192.168.3.2): My Side Not Connected (Waiting)
Interface intf2 (192.168.2.2): My Side Not Connected (Waiting)
Interface outside (192.168.1.2): My Side Not Connected (Waiting)
 

ステップ 13 LAN フェールオーバー インターフェイスをネットワークに接続し、次のコマンドを入力して、プライマリ装置上に LAN ベースのフェールオーバーを設定します。

no failover
failover lan unit primary
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
 

intf3 に、フェールオーバー接続に使用するインターフェイスを指定します。 1234567 に、フェールオーバー インターフェイスを通過するトラフィックの暗号化に使用するキーを指定します。

ステップ 14 ステートフル フェールオーバーを設定している場合は、failover link コマンドで、使用している専用インターフェイスの名前を指定します。たとえば、ステートフル フェールオーバーに「4th」というインターフェイスを使用する場合は、次のコマンドを入力します。

failover link 4th
 

ステップ 15 ステートフル フェールオーバーをイネーブルにした後、show failover コマンドを使用すると、追加情報が次の例のように表示されます。

pix(config)# show failover
Failover On
Cable status: My Side Not Connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): My Side Not Connected (Waiting)
Interface intf2 (192.168.2.2): My Side Not Connected (Waiting)
Interface outside (192.168.1.2): My Side Not Connected (Waiting)
Interface inside (10.1.1.2): My Side Not Connected (Waiting)
 
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
 
Lan Based Failover is Active
 
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) My Side Not Connected
 

show failover コマンドで表示される「Stateful Failover Logical Update Statistics」セクションの 1 行目の項目は次のとおりです。

Stateful Obj:PIX Firewall のステートフル オブジェクト

xmit:相手装置に送信されたパケットの数

xerr:相手装置にパケットを送信中に発生したエラーの数

rcv:受信されたパケットの数

rerr:相手装置からパケットを受信中に発生したエラーの数

第 1 列目の項目は、各統計に対するオブジェクトのスタティック カウントを示します。

General:ステートフル オブジェクトの総数

sys cmd:論理更新システム コマンド(LOGIN、Stay Alive など)

up time:アップタイム(アクティブ装置がスタンバイ装置に渡す値)

xlate:変換情報

tcp conn:TCP 接続情報

udp conn:ダイナミック UDP 接続情報

ARP tbl:ダイナミック ARP テーブル情報

RIF Tbl:ダイナミック ルータ テーブル情報

「Logical Update Queue Information」の項目は、受信(Recv)キューと送信(Xmit)キュー内のパケットの現在数、最大数、合計数を示します。

ステップ 16 セカンダリ装置の電源を投入して、(LAN ベースのフェールオーバー インターフェイスを接続せずに)次のコマンドを入力します。

nameif ethernet3 intf3 security40
interface ethernet3 100full
ip address intf3 192.168.3.1 255.255.255.0
failover ip address intf3 192.168.3.2
failover lan unit secondary <--optional
failover lan interface intf3
failover lan key 1234567
failover lan enable
failover
wr mem
reload
 

これらのコマンドは、LAN ベースのフェールオーバー用に選択されたインターフェイスを経由してプライマリ装置に接続するように、セカンダリ装置を設定する場合に必要です。一旦この接続を作成すると、残りのコンフィギュレーションは、プライマリ装置からフェールオーバー接続経由で複製されます。

これらのコマンドを使用して PIX Firewall を設定するには、 intf3 に、プライマリ装置との接続に使用されるセカンダリ PIX Firewall 装置のインターフェイス名を指定します。IP アドレスとサブネットワーク マスクには、ネットワークに適した値を指定します。 1234567 には、LAN ベースのフェールオーバー接続経由でセキュリティを確立するために使用する文字列を指定します。

ステップ 17 セカンダリ装置を起動したら、LAN ベースのフェールオーバー インターフェイスをネットワークに接続し、 show failover コマンドを使用して、LAN ベースのフェールオーバーのステータスを確認します。

pix(config)# show failover
Failover On
Cable status: My Side Not Connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Norml
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
 
Lan Based Failover is Active
 
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Normal

) この例は参考用に一部を表示したものです。


ステップ 18 write memory コマンドを使用して、コンフィギュレーションをフラッシュ メモリに保存します。スタンバイ装置のコンフィギュレーションがアクティブ装置との同期対象外である場合は、write standby コマンドを使用して両方の装置のコンフィギュレーションを同期化します。


 

ケーブルベースから LAN ベースへの変更


ステップ 1 次のコマンドを入力して、フェールオーバーをシャットダウンします。

no failover
 

ステップ 2 プライマリ装置で次のコマンドを入力します。

failover lan unit primary
failover lan interface intf3
failover lan key 12345678
failover lan enable
failover
 

ステップ 3 次の例に示すように、 show failover コマンドを使用して、LAN ベースのフェールオーバーがプライマリ装置上で動作していることを確認します。

pix(config)# show failover
Failover On
Cable status: My Side Not Connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Normal (Waiting)
Interface intf2 (192.168.2.1): Normal (Waiting)
Interface outside (192.168.1.1): Normal (Waiting)
Interface inside (10.1.1.1): Normal (Waiting)
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): My Side Not Connected (Waiting)
Interface intf2 (192.168.2.2): My Side Not Connected (Waiting)
Interface outside (192.168.1.2): My Side Not Connected (Waiting)
Interface inside (10.1.1.2): My Side Not Connected (Waiting)
 
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
 
Lan Based Failover is Active
 
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Down
 

ステップ 4 セカンダリ装置で次のコマンドを入力します。

failover lan unit secondary <--- optional
failover lan interface intf3
failover lan key 12345678
failover lan enable
failover
wr mem
reload
 

セカンダリ装置のリロード終了後に、次の例に示すように show failover コマンドを使用して、LAN ベースのフェールオーバーが正しく動作していることを確認します。

pix(config)# show failover
 
Failover On
Cable status: My Side Not Connected
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: primary - Active
Active time: 510 (sec)
Interface 4th (172.16.1.1): Norml
Interface intf2 (192.168.2.1): Normal
Interface outside (192.168.1.1): Normal
Interface inside (10.1.1.1): Normal
Other host: secondary - Standby
Active time: 0 (sec)
Interface 4th (172.16.1.2): Normal
Interface intf2 (192.168.2.2): Normal
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.2): Normal
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
 
Stateful Failover Logical Update Statistics
Link : 4th
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 0 0 0 0
up time 0 0 0 0
xlate 0 0 0 0
tcp conn 0 0 0 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
Logical Update Queue Information
Cur Max Total
Recv Q: 0 0 0
Xmit Q: 0 0 0
Lan Based Failover is Active
 
Interface intf3 (192.168.3.1): Normal, peer (192.168.3.2) Normal
 

ステップ 5 write memory コマンドを使用して、コンフィギュレーションをフラッシュ メモリに保存します。スタンバイ装置のコンフィギュレーションがアクティブ装置との同期対象外である場合は、write standby コマンドを使用して両方の装置のコンフィギュレーションを同期化します。


 

フェールオーバー設定の確認

設定が成功したことを確認するには、次の手順を実行します。


ステップ 1 UNIX システムなどの syslog サーバにアクセスできる場合は、ロギングをイネーブルにして、それ以降のステップで syslog メッセージが表示できるようにします。syslog メッセージについては、『Cisco PIX Firewall System Log Messages』を参照してください。このマニュアルは次の Web サイトからオンラインで入手できます。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_63/index.htm

syslog の追加情報については、『 Cisco PIX Firewall Command Reference 』の logging コマンドのページを参照してください。

たとえば、内部インターフェイス上で 10.1.1.5 というアドレスを持つサーバに対してロギングをイネーブルにするには、次のコマンドを使用します。

logging host inside 10.1.1.5
logging trap debugging
logging on
 

logging trap debugging コマンド文を使用すると、すべてのレベルの syslog メッセージが送信されます。これは、稼動中のシステム上に大量のメッセージを生成しますが、デバッグには非常に役立ちます。フェールオーバーのテストが完了したら、logging trap error コマンドを使用して、syslog メッセージの数を減らして、アラート、クリティカル、またはエラーを表示するメッセージだけにします。

ステップ 2 プライマリ装置の電源を切って、セカンダリ装置をテストします。

ステップ 3 show failover コマンドを使用して、セカンダリ装置が現在アクティブであることを確認します。

ステップ 4 FTP を使用して、異なるインターフェイス上のホスト間でファイルを送信します。

ステップ 5 show interface コマンドを使用して、トラフィックが処理されていることを確認します。

ステップ 6 debug fover option コマンドを使用することもできます。次の表の中から、1 つのオプションを選択します。

 

オプション
説明

cable

フェールオーバー ケーブルのステータス

fail

フェールオーバーの内部例外

fmsg

フェールオーバー メッセージ

get

受信した IP ネットワーク パケット

ifc

ネットワーク インターフェイス ステータスのトレース

open

フェールオーバー装置のオープン

put

送信した IP ネットワーク パケット

rx

フェールオーバー ケーブル受信

rxdmp

ケーブル受信メッセージのダンプ(シリアル コンソールのみ)

rxip

受信した IP ネットワーク フェールオーバー パケット

tx

フェールオーバー ケーブル送信

txdmp

ケーブル送信メッセージのダンプ(シリアル コンソールのみ)

txip

IP ネットワーク フェールオーバー パケットの送信

verify

フェールオーバー メッセージの確認

switch

フェールオーバーの切り替えステータス

ステップ 7 準備ができたら、プライマリ装置に電源を投入します。プライマリ装置は自動的にアクティブ装置としての機能を取得します。

次のメッセージが表示されます。

“Verifying LAN-Based Failover Configuration:”
 


 

PIX Firewall Version 6.2 では、LAN ベースのフェールオーバーが実装されている場合、 show failover コマンドによって、フェールオーバーのステータスに関する追加情報が得られます。例10-1に、LAN ベースのフェールオーバーがイネーブルになっている場合のこのコマンドの出力を示します。

例10-1 show failover コマンドの出力―LAN ベースのフェールオーバーがイネーブルになっている場合

pix(config)# show failover
Failover On
Cable status: Normal
Reconnect timeout 0:00:00
Poll frequency 15 seconds
This host: Primary - Active
Active time: 253515 (sec)
Interface faillink (192.168.3.1): Normal
Interface outside (172.23.58.70): Normal
Interface inside (192.168.2.1): Normal
Other host: Secondary - Standby
Active time: 0 (sec)
Interface faillink (192.168.3.2): Normal
Interface outside (172.23.58.71): Normal
Interface inside (192.168.2.2): Normal
 
Stateful Failover Logical Update Statistics
Link : faillink
Stateful Obj xmit xerr rcv rerr
General 34177 0 34183 0
sys cmd 34175 0 34173 0
up time 2 0 2 0
xlate 0 0 0 0
tcp conn 0 0 8 0
udp conn 0 0 0 0
ARP tbl 0 0 0 0
RIP Tbl 0 0 0 0
>
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 34184
Xmit Q: 0 1 34179
 

) この例では出力の一部が省略されています。


新しいコマンド show failover lan は、LAN ベースのフェールオーバーのステータスだけを表示します。show failover lan detail コマンドは、デバッグ用の情報を提供します。PIX Firewall Version 6.2 には、LAN ベースのフェールオーバーをデバッグするための新しいデバッグ オプションも 4 つ用意されています。

lanrx:LAN ベースのフェールオーバーの受信プロセスに関するデバッグ メッセージを表示します。

lanretx:LAN ベースのフェールオーバーの再送信プロセスに関するデバッグ メッセージを表示します。

lantx:LAN ベースのフェールオーバーの送信プロセスに関するデバッグ メッセージを表示します。

lancmd:LAN ベースのフェールオーバーのメイン スレッドに関するデバッグ メッセージを表示します。

フェールオーバーに関する追加情報

ここでは、次の項目について説明します。

「フェールオーバー通信」

「フェールオーバーの原因」

「コンフィギュレーションの複製」

「ステートフル フェールオーバー」

「フェールオーバーのディセーブル化」

「フェールオーバーの使用上の注意」

「フェールオーバーに関する FAQ」

「ステートフル フェールオーバーに関する質問」

フェールオーバー通信

フェールオーバー ペアを構成する装置は両方とも、専用の LAN 接続または特別なフェールオーバー ケーブルを使用して通信します。フェールオーバー ケーブルは、117,760 ボー(115 K)でデータを転送する改造 RS-232 シリアル リンク ケーブルです。データは、装置 ID(プライマリまたはセカンダリ)および相手装置の電源ステータスを伝え、2 台の装置間で行われるさまざまなフェールオーバー通信用の通信リンクの役割を果たします。

2 台の装置は、すべてのネットワーク インターフェイスおよびフェールオーバー接続で、15 秒ごとに特殊なフェールオーバー hello パケットを相互に送信します。failover poll seconds コマンドでは、フェールオーバーの待機時間を指定できます。その待機時間が経過したら、すべてのネットワーク インターフェイスとフェールオーバー接続で、特殊なフェールオーバー hello パケットがプライマリ装置とセカンダリ装置間で伝送されます。デフォルトの設定値は 15 秒です。最小値は 3 秒で、最大値は 15 秒です。ステートフル フェールオーバーにはこれより小さな値を設定します。ポーリング時間を速くすると、PIX Firewall は、それだけ速く障害を検出して、フェールオーバーを起動できます。しかし、障害の検出が速すぎると、ネットワークが一時的に輻輳したとき、またはネットワーク カードの起動が遅いときに、不要な切り替えが行われる可能性があります。

PIX Firewall のフェールオーバー機能は、フェールオーバー通信、各装置の電源ステータス、および各インターフェイスで受信された hello パケットを監視します。フェールオーバー機能は、決定した時間の間に hello パケットが 2 回続けて受信されなかった場合、インターフェイスのテストを開始し、障害のある装置を判別して、アクティブ制御をセカンダリ装置に切り替えます。

最低速度が全二重 100 Mbps のイーサネット インターフェイスがある場合は、ステートフル フェールオーバーのオプションを選択できます。ステートフル フェールオーバーの場合は、接続ステートがアクティブ装置からスタンバイ装置に中継されます。ステートフル フェールオーバーではない場合は、スタンバイ装置では各接続のステート情報が維持されません。したがって、フェールオーバーが行われた時点ですべてのアクティブ コネクションが廃棄されるので、クライアント システムでは接続を再確立することが必要になります。

フェールオーバーの原因

相手装置の電源障害以外の原因による障害が発生した場合、フェールオーバー機能は障害装置を判別するための一連のテストを開始します。この一連のテストは、2 つの連続した 15 秒間隔(この間隔は Failover poll コマンドの設定による)の間に hello メッセージが受信されなかった場合に開始します。hello メッセージは、両方のネットワーク インターフェイスとフェールオーバー接続を通して送信されます。

一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作しているとみなされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障しているとみなされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが実行されます。


) フェールオーバー IP アドレスを設定していないと、フェールオーバーは動作せず、Network Activity、ARP、Broadcast Ping のテストは実行されません。


フェールオーバーは次のテストを実行して、相手装置が使用可能かどうかを判別します。

Link Up/Down テスト:NIC カード自体のテストです。インターフェイス カードが動作可能なネットワークに接続されていない場合、障害とみなされます(たとえば、スイッチの障害、ポート障害、ケーブルが外れている)。

Network Activity テスト:ネットワークの受信動作テストです。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものとみなされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

ARP テスト:ARP テストでは、装置の ARP キャッシュに格納されている最新のエントリが 10 個読み取られます。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作しているとみなされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

Broadcast Ping テスト:ping テストでは、ブロードキャスト ping 要求が送信されます。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものとみなされ、テストは停止します。トラフィックが受信されなかった場合、テストは再度 ARP テストが開始します。


) LAN ベースのフェールオーバーを実行している場合、ピア装置の電源障害は PIX Firewall で検出できません。


コンフィギュレーションの複製

2 台の PIX Firewall 装置は、完全に同じに設定され、同じソフトウェア リリースを実行していることが必要です。コンフィギュレーションの複製は、フェールオーバー接続を通して、アクティブ装置からセカンダリ装置へ、次の 3 通りの方法で行われます。

スタンバイ装置が初期ブートアップを完了すると、アクティブ装置はそのコンフィギュレーション全体をスタンバイ装置に複製します。

アクティブ装置にコマンドを入力すると、そのコマンドがフェールオーバー接続を通してスタンバイ装置に送信されます。

アクティブ装置に write standby コマンドを入力すると、メモリ内のコンフィギュレーション全体がスタンバイ装置に強制的に送信されます。

コンフィギュレーションは、メモリからメモリに複製されるだけです。複製後に、 write memory コマンドを使用して、フラッシュ メモリにコンフィギュレーションを書き込みます。フェールオーバー ケーブルを使用している場合、コンフィギュレーションが大きいと、複製に長時間かかることがあります。この複製中に切り替えが起きると、新しいアクティブ装置のコンフィギュレーションは不完全なものとなります。その場合、装置は自分自身をリブートし、フラッシュ メモリからコンフィギュレーションを再び取得するか、またはほかの装置と再度同期を取ります。複製が始まると、PIX Firewall のコンソールにメッセージ「Sync Started」が表示され、複製が完了すると、メッセージ「Sync Completed」が表示されます。複製中は、PIX Firewall のコンソールに情報の入力はできません。

ステートフル フェールオーバー

ステートフル フェールオーバー機能では、接続ごとのステートフル情報がスタンバイ装置に渡されます。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。エンドユーザのアプリケーションでは、同じ通信セッションを維持するために再接続を行う必要はありません。

スタンバイ装置に渡されるステート情報には、グローバル プール アドレスとステータス、接続と変換の情報とステータス、ネゴシエートされた H.323 UDP ポート、PAT 用ポート割り当てビット マップ、およびプライマリ装置が故障した場合にスタンバイ装置が処理を引き継ぐために必要なその他の詳細情報が含まれています。

PIX Firewall の切り替えには、障害に応じて、15~45 秒かかります。ステートフル フェールオーバーによって処理されないアプリケーションでは、再接続のための時間がさらに必要で、その後、アクティブ装置が完全に動作可能となります。

ステートフル フェールオーバー機能を利用するには、2 台の PIX Firewall 装置間に、最低速度が全二重 100 Mbps のイーサネット インターフェイスがステート情報の伝達専用に必要です。

ステートフル フェールオーバー インターフェイスは、次のいずれにも接続可能です。

専用スイッチまたはスイッチの専用 VLAN 上の全二重 100BaseTX

専用スイッチまたはスイッチの専用 VLAN 上の全二重 1000BaseTX

データは、IP プロトコル 8 を使用する専用インターフェイスを介して伝達されます。このインターフェイスには、ルータまたはホストを設置しないでください。

図 10-1 に、ステートフル フェールオーバー機能を利用するように接続した 2 台の PIX Firewall 装置を示します。

図 10-1 ステートフル フェールオーバーの最小セットアップ

 


) アクティブ装置とスタンバイ装置間では、イネーブルになっているインターフェイスはすべて接続する必要があります。インターフェイスが使用されていない場合は、interface コマンドで shutdown オプションを使用して、そのインターフェイスをディセーブルにします。


フェールオーバーのディセーブル化

no failover コマンドを使用して、フェールオーバーをディセーブルにできます。フェールオーバーがディセーブルになると、 show failover コマンドを入力したときに次のメッセージが表示されます。

pix(config)# show failover
Failover Off
Cable Status: My Side Not Connected
Reconnect timeout: 0:00:00
 

フェールオーバーの使用上の注意

PIX Firewall 上でフェールオーバーを使用する場合、次のような注意が必要です。

1. PIX Firewall に接続されているすべてのスイッチで次の操作を実行します。

a. PIX Firewall に直接接続されているスイッチで、全ポートの PortFast 機能をイネーブルにします。

b. PIX Firewall に直接接続されているスイッチで、全ポートのトランキングをオフにします。

c. PIX Firewall に直接接続されているスイッチで、全ポートのチャネリングをオフにします。

d. MSFC が Cisco IOS ソフトウェアの旧バージョンを実行していないことを確認します。


) Cisco Catalyst OS 5.4 には、新しいコマンド set port host が追加されました。このコマンドは、spantree portfast enableset trunk off、および set port channel off というコマンドを実行します。set port host は、ホスト ポート/アクセス ポートを設定して、リンクアップから 1 秒以内にポートがトラフィックを転送できるモードにするのに便利です。


2. PIX Firewall フェールオーバー装置は、フェールオーバー専用とし、スタンドアロン モードで使用しないでください。フェールオーバー装置をスタンドアロン モードで使用すると、フェールオーバー動作に戻るまで、少なくとも 24 時間に 1 回リブートすることになります。装置がリブートすると、次のメッセージがコンソールに表示されます。

=========================NOTICE ==========================
This machine is running in secondary mode without
a connection to an active primary PIX. Please
check your connection to the primary system.
 
REBOOTING....
==========================================================
 

3. スタンバイ装置上で行った変更は、アクティブ装置に複製されません。

フェールオーバー メッセージの syslog プライオリティ レベルは常に、クリティカル状況を表すレベル 2 です。syslog メッセージの詳細については、『 Cisco PIX Firewall Command Reference 』の logging コマンドのページを参照してください。メッセージのリスト全体は、『 Cisco PIX Firewall System Log Messages』を参照してください。PIX Firewall のマニュアルは、次の Web サイトから入手できます。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_63/index.htm

SNMP syslog トラップ(SNMP フェールオーバー トラップ)を受信するには、SNMP トラップを
SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、Cisco syslog MIB をコンパイルして SNMP 管理ステーションに組み込みます。詳細については、『 Cisco PIX Firewall Command Reference 』の snmp-server コマンドおよび logging コマンドのページを参照してください。

フェールオーバーに関する FAQ

この項では、フェールオーバー機能に関してよくある質問(FAQ)について説明します。

「ケーブルベースのフェールオーバー」

「LAN ベースのフェールオーバー」

「ステートフル フェールオーバーに関する質問」

ケーブルベースのフェールオーバー

フェールオーバーがトリガーされるとどうなりますか。

どちらかの装置によって切り替えが実行されます。この切り替えによって、両装置のステータスが変更します。新しくアクティブとなった装置が、それまでのアクティブ装置の IP アドレスと MAC アドレスを引き継ぎ、トラフィックの受け入れを開始します。新しくスタンバイとなった装置は、それまでのスタンバイ装置の IP アドレスと MAC アドレスを引き継ぎます。

2 装置間での初期設定はどのように行われますか。

フェールオーバー接続がない場合、またはフェールオーバーがコンフィギュレーションに保存されていない場合は、ブートアップした装置はデフォルトで Failover Off となり、セカンダリ装置になります。さらに、コンフィギュレーションがアクティブ装置からスタンバイ装置に複製されます。ケーブルがない場合は、装置は自動的にアクティブ装置になります。ケーブルが接続されている場合、フェールオーバー接続のプライマリ端が接続されている装置が、デフォルトでプライマリ装置になります。

コンフィギュレーションを手作業で 2 度入力せずに両装置を同じ設定にするにはどうすればよいですか。

アクティブ装置に入力したコマンドは、自動的にスタンバイ装置に複製されます。

プライマリ装置に電源障害が発生するとどうなりますか。

プライマリ PIX Firewall 装置に電源障害が発生すると、スタンバイ PIX Firewall 装置がアクティブ モードになります。プライマリ装置は、電源が再投入されると、スタンバイ装置になります。

どのような障害がありますか

障害は、次の事項に基づいて検出されます。

フェールオーバー hello パケットの各インターフェイスにおける受信状態。2 回の連続した 15 秒間隔の間に hello パケットが受信されなかった場合、どちら装置に障害があるか検出するためにインターフェイスのテストが実行されます(この時間は、failover poll コマンドで変更できます)。

ケーブル エラー。ケーブルは、各装置が相手装置の電源障害かケーブルが外れているかを区別できるように配線されています。スタンバイ装置は、アクティブ装置の電源オフ(またはリセット)を検出すると、アクティブ制御を引き受けます。

ケーブルが外れている場合は、syslog メッセージが生成されますが、切り替えは行われません。装置のブートアップ時は例外で、ケーブルが接続されていなくても、装置はアクティブになります。フェールオーバー接続しないで 2 台の装置を起動すると、両装置がアクティブになり、ネットワーク上に重複 IP アドレスによる衝突が生じます。フェールオーバー機能を正しく運用するには、必ずフェールオーバー接続する必要があります。

フェールオーバー通信障害。2 台の装置は 15 秒ごとに情報を共有しますが、failover poll コマンドを使用してこの時間を変更できます。スタンバイ装置が 2 回続けてアクティブ装置から情報を受信できなかった場合(ケーブル ステータスが OK でも)、スタンバイ装置がアクティブ装置として引き継ぎます。

障害が検出されるまでのどのくらいの時間がかかりますか。

ネットワーク エラーは 30 秒(連続した 15 秒の間隔 2 回)以内に検出されます。

電源障害(およびケーブル障害)は 15 秒以内に検出されます。

フェールオーバー通信エラーは 30 秒(連続した 15 秒間隔 2 回)以内に検出されます。

必要な保守作業は何ですか。

エラーまたは切り替えが発生すると、syslog メッセージが生成されます。障害を起こした装置を調べて、修理または交換してください。

LAN ベースのフェールオーバー

LAN ベースのフェールオーバーを使用する利点は何ですか。

LAN ベースのフェールオーバーでは、PIX Firewall 装置間の距離を 1.8 m(6 フィート、フェールオーバー ケーブルの最大長)より長くできます。

LAN ベースのフェールオーバーを使用する欠点は何ですか。

PIX Firewall は、電源障害またはリロードによるピアの障害を検出できないため、このような障害が発生した場合、フェールオーバーの時間が長くかかります。

プライマリ装置との通信を行う前に、セカンダリ PIX Firewall 装置を設定をする必要があります。

LAN ベースのフェールオーバーを実行するとき、ユーザは PIX Firewall 装置間にルータを配置できますか。

配置できません。2 台の装置のインターフェイスはすべて同じサブネット上にある必要があります。

LAN ベースのフェールオーバーのインターフェイスがダウンするとどうなりますか。

LAN ベース フェールオーバーのコマンド インターフェイス リンクがダウンした場合、PIX Firewall は「別の」インターフェイス経由でピアに通知を行います。アクティブな PIX Firewall 装置のインターフェイスがダウンした場合は、スタンバイ装置がその処理を引き継ぎます。


) コマンド インターフェイスがダウンし、PIX Firewall がスタンバイ装置になった場合、インターフェイスが再び復旧しない限り、PIX Firewall はアクティブ装置になりません。


LAN ベース フェールオーバーのコマンド インターフェイスの接続が、リンク ダウン以外の理由(たとえば、各 PIX が別々のスイッチに接続され、その 2 台のスイッチが ISL を使用して接続されている場合)でダウンするとどうなりますか。

PIX Firewall は、「別の」インターフェイスを使用して、ピア ステータスのポーリングを試み、必要に応じてフェールオーバーを実行します。

両方の PIX Firewall 装置が同時にアクティブになることがありますか。

2 台の PIX Firewall 装置間の接続がすべて失われると、その可能性があります。したがって、LAN ベースのフェールオーバーのコマンド インターフェイスに対して別個のスイッチを使用して、スイッチが故障しても 2 台の PIX Firewall 装置間の接続のすべてが失われないようにすることが最良の方法です。

ステートフル フェールオーバーに関する質問

ステートフル フェールオーバーが発生する原因は何ですか。

アクティブ PIX Firewall の電源断または停電

アクティブ PIX Firewall のリブート

アクティブ PIX Firewall 上のリンク ダウンが、設定したポーリング時間の 2 倍を超えて、または最大 30 秒間続いたために、発生した場合

スタンバイ PIX Firewall での「フェールオーバー アクティブ」

アクティブ装置での連続 15 秒以上のブロック メモリ枯渇状態

ステートフル フェールオーバーでスタンバイ PIX Firewall に複製される情報は何ですか。

コンフィギュレーション

TCP コネクション テーブル(各接続のタイムアウト情報を含む)

H.323、SIP、および MGCP UDP メディア接続変換(xlate)テーブル

システム アップタイム(つまり、両方の PIX Firewall 装置でシステム クロックが同期している時間)

ステートフル フェールオーバーでスタンバイ PIX Firewall に複製されない情報は何ですか。

ユーザ認証(uauth)テーブル

ISAKMP および IPSec SA テーブル

ARP テーブル

ルーティング情報

ステートフル フェールオーバーのハードウェア要件は何ですか。

ステートフル フェールオーバー専用のイーサネット リンクを備えた同じ PIX Firewall 装置が 2 台必要です。最低接続速度は、全二重 100 Mbps です。両方の PIX Firewall 装置のステートフル フェールオーバー用 LAN ポートを、クロス ケーブルまたはスイッチを使用して接続します。ステートフル フェールオーバー ポート間は全二重にすることが必要です。

優れたパフォーマンスを実現できるように、PIX 520 以降のモデルの PIX Firewall を推奨します。

両方の PIX Firewall 装置の 2 個のフェールオーバー ポートを接続するために、専用の LAN 接続またはフェールオーバー ケーブルが必要です。

ステートフル フェールオーバーのハードウェア制限は何ですか。

専用の LAN 接続またはフェールオーバー ケーブルが取り付けられ、正常に動作している必要があります。

両方の PIX Firewall 装置の専用イーサネット ポートが接続され、完全に機能している必要があります。

ステートフル フェールオーバーのソフトウェア要件は何ですか。

PIX Firewall Version 5.1 以降が必要です。

両方の PIX Firewall 装置で同じバージョンの PIX Firewall ソフトウェアを実行することが必要です。

ステートフル フェールオーバーのライセンス要件は何ですか。

ステートフル フェールオーバーには、フェールオーバー機能をサポートする機能ベースのライセンス キー、または接続ベースのライセンス キーが必要です。

フェールオーバー コンフィギュレーションの例

図 10-2 に、フェールオーバー ケーブルを使用したフェールオーバー コンフィギュレーションのネットワーク図を示します。

図 10-2 フェールオーバー コンフィギュレーション

 

フェールオーバー機能を利用するように PIX Firewall 装置をセットアップするには、次の手順を実行します。


ステップ 1 フェールオーバー情報を使用せずに、PIX Firewall をセットアップします。

ステップ 2 フェールオーバー専用のインターフェイスを含むすべてのインターフェイス(未使用インターフェイスは除く)に、 failover ip address コマンドを追加します。

フェールオーバーを使用しないセットアップで設定されていないインターフェイスがある場合は、IP アドレスとフェールオーバー IP アドレスを、この時点で設定します。また、未使用インターフェイスは接続しないままにしておきます。

ステップ 3 ステートフル フェールオーバーを設定する場合は、failover link コマンドを追加し、ステートフル フェールオーバーに使用するインターフェイスを指定します。ステートフル フェールオーバーでは、ほかのインターフェイスに加えて、専用の 100baseTx ステートフル フェールオーバー インターフェイスが必要です。

ステップ 4 プライマリ装置で write memory コマンドを使用して、新しいコンフィギュレーションを保存します。

ステップ 5 フェールオーバー ケーブルをプライマリ装置に接続し、次にセカンダリ装置の電源を投入します。


) セカンダリ装置が事前に設定されている場合は、フェールオーバー ケーブルをプライマリ装置に接続する前にセカンダリ装置をブートアップし、write erase コマンドを入力してすべてのコンフィギュレーションを削除します。この削除によって、同期化が円滑に行われます。


ステップ 6 アクティブ装置から write standby コマンドを入力し、現在のコンフィギュレーションをスタンバイ装置のフラッシュ メモリに同期させます。


 

図 10-2 の構成例では、Ethernet2 インターフェイス(「failover」とラベル表示)をステートフル フェールオーバーの専用インターフェイスとして使用します。Ethernet3 インターフェイスは事前に設定されていないインターフェイスであり、現在はどのアクティブ ネットワークにも接続されていません。未使用インターフェイスを接続するイーサネット クロス ケーブルがあり、これによってフェールオーバー チェックアップ メッセージを送受信します。

例10-2 に、フェールオーバー コンフィギュレーションを示します。

例10-2 フェールオーバー コンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 failover security10
nameif ethernet3 unused security20
enable password xxx encrypted
passwd xxx encrypted
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 10baset
interface ethernet1 10baset
interface ethernet2 100full
interface ethernet3 10baset
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address failover 192.168.254.1 255.255.255.0
ip address unused 192.168.253.1 255.255.255.252
failover
failover ip address outside 209.165.201.2
failover ip address inside 192.168.2.2
failover ip address failover 192.168.254.2
failover ip address unused 192.168.253.2
failover link failover
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask 255.255.255.255 0 0
access-list acl_out permit tcp any 209.165.201.5 eq 80
access-list acl_out permit icmp any any
access-group acl_out in interface outside
access-list acl_ping permit icmp any any
access-group acl_ping in interface inside
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip failover passive
no rip failover default
route outside 0 0 209.165.201.4 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet timeout 5
terminal width 80
 

例10-3に、LAN ベース フェールオーバーを実装する場合のプライマリ装置のコンフィギュレーションを示します。

例10-3 LAN ベース フェールオーバーのプライマリ装置のコンフィギュレーション

nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 stateful security10
nameif ethernet3 lanfailover security20
hostname pixfirewall
fixup protocol ftp 21
fixup protocol http 80
fixup protocol smtp 25
fixup protocol h323 1720
fixup protocol rsh 514
fixup protocol sqlnet 1521
names
pager lines 20
no logging timestamp
no logging standby
logging console errors
no logging monitor
no logging buffered
no logging trap
logging facility 20
logging queue 512
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
interface ethernet3 100full
mtu outside 1500
mtu inside 1500
mtu failover 1500
mtu unused 1500
ip address outside 209.165.201.1 255.255.255.224
ip address inside 192.168.2.1 255.255.255.0
ip address stateful 192.168.253.1 255.255.255.252
ip address lanfailover 192.168.254.1 255.255.255.0
failover ip address outside 209.165.201.2
failover ip address inside 192.168.2.2
failover ip address stateful 192.168.253.2
failover ip address lanfailover 192.168.254.2
failover link stateful
failover lan unit primary
failover lan interface lanfailover
failover lan key 12345678
failover lan enable
failover
arp timeout 14400
global (outside) 1 209.165.201.3 netmask 255.255.255.224
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (inside,outside) 209.165.201.5 192.168.2.5 netmask
255.255.255.255 0
0
access-list acl_out permit tcp any host 209.165.201.5 eq 80
access-list acl_out permit icmp any any
access-group acl_out in interface outside
access-list acl_ping permit icmp any any
access-group acl_ping in interface inside
no rip outside passive
no rip outside default
no rip inside passive
no rip inside default
no rip lanfailover passive
no rip lanfailover default
route outside 0 0 209.165.201.4 1
timeout xlate 3:00:00
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
telnet timeout 5
terminal width 80

 

例10-4 に、LAN ベース フェールオーバーを実装する場合のセカンダリ装置のコンフィギュレーションを示します。

例10-4 LAN ベース フェールオーバーのセカンダリ装置のコンフィギュレーション

nameif ethernet3 lanfailover security20
interface ethernet3 100full
ip address lanfailover 192.168.254.1 255.255.255.0
failover ip address lanfailover 192.168.254.2
failover lan unit secondary
failover lan interface lanfailover
failover lan key 12345678
failover lan enable
failover