Cisco ASA 5580 適応型セキュリティ アプライアン ス コマンド ライン コンフィギュレーション ガイド
フェールオーバーの設定
フェールオーバーの設定
発行日;2012/01/16 | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

フェールオーバーの設定

フェールオーバーの概要

フェールオーバーのシステム要件

ハードウェア要件

ソフトウェア要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

ステートフル フェールオーバー リンク

Active/Active フェールオーバーと Active/Standby フェールオーバー

Active/Standby フェールオーバー

Active/Active フェールオーバー

使用するフェールオーバーのタイプの決定

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

ステートレス(標準)フェールオーバー

ステートフル フェールオーバー

フェールオーバー ヘルスのモニタリング

装置ヘルスのモニタリング

インターフェイスのモニタリング

フェールオーバー時間

フェールオーバーの設定

フェールオーバーの設定の制限

Active/Standby フェールオーバーの設定

前提条件

LAN ベースの Active/Standby フェールオーバーの設定

オプションの Active/Standby フェールオーバー設定値の設定

Active/Active フェールオーバーの設定

前提条件

LAN ベースの Active/Active フェールオーバーの設定

オプションの Active/Active フェールオーバー設定値の設定

装置のヘルス モニタリングの設定

フェールオーバー通信の認証/暗号化の設定

フェールオーバー コンフィギュレーションの確認

show failover コマンドの使用方法

監視対象インターフェイスの表示

実行コンフィギュレーション内のフェールオーバー コマンドの表示

フェールオーバー機能のテスト

フェールオーバーの制御およびモニタリング

強制フェールオーバー

フェールオーバーのディセーブル化

故障した装置またはフェールオーバー グループの復元

フェールオーバーのモニタリング

フェールオーバー システム メッセージ

デバッグ メッセージ

SNMP

リモート コマンドの実行

コマンド モードの変更

セキュリティに関する考慮事項

リモート コマンドの実行に関する制限事項

フェールオーバー コンフィギュレーションでの Auto Update Server のサポート

Auto Update Process の概要

Auto Update プロセスのモニタリング

フェールオーバーの設定

この章では、adaptive security applianceのフェールオーバー機能について説明します。この機能を使用すると、2 つのadaptive security applianceを設定して、一方の装置が故障した場合に、もう一方の装置が動作を引き継ぐようにできます。

この章は、次の項で構成されています。

「フェールオーバーの概要」

「フェールオーバーの設定」

「フェールオーバーの制御およびモニタリング」

「リモート コマンドの実行」

「フェールオーバー コンフィギュレーションでの Auto Update Server のサポート」

フェールオーバーの設定例は、 付録 B「設定例」 を参照してください。

フェールオーバーの概要

フェールオーバー設定には、同じadaptive security applianceが 2 台、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。アクティブなインターフェイスおよび装置のヘルスが監視されて、所定のフェールオーバー条件に一致しているかどうかが判断されます。所定の条件に一致すると、フェールオーバーが行われます。

adaptive security applianceは、Active/Active フェールオーバーと Active/Standby フェールオーバーの 2 つのフェールオーバーをサポートします。各フェールオーバー コンフィギュレーションには、フェールオーバーを判定および実行する独自の方式があります。

Active/Active フェールオーバーでは、両方の装置がネットワーク トラフィックを渡すことができます。これによって、ネットワークのロード バランシングを設定できます。Active/Active フェールオーバーは、マルチコンテキスト モードで実行中の装置でのみ使用できます。

Active/Standby フェールオーバーでは、1 つの装置だけがトラフィックを渡すことができ、もう 1 つの装置はスタンバイ状態で待機します。Active/Standby フェールオーバーは、シングルコンテキスト モードで実行中の装置とマルチコンテキスト モードで実行中の装置の両方で使用できます。

両フェールオーバー コンフィギュレーションとも、ステートフルまたはステートレス(通常)フェールオーバーをサポートします。


) VPN フェールオーバーは、マルチコンテキスト モードで動作中の装置ではサポートされません。VPN フェールオーバーは、Active/Standby フェールオーバー コンフィギュレーションに限り使用できます。


この項は、次の内容で構成されています。

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステートフル フェールオーバー リンク」

「Active/Active フェールオーバーと Active/Standby フェールオーバー」

「ステートレス(標準)フェールオーバーとステートフル フェールオーバー」

「フェールオーバー ヘルスのモニタリング」

フェールオーバーのシステム要件

ここでは、フェールオーバー コンフィギュレーションでのadaptive security applianceのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。ここでは、次の内容について説明します。

「ハードウェア要件」

「ソフトウェア要件」

ハードウェア要件

フェールオーバー コンフィギュレーションでは、2 台の装置が同じハードウェア コンフィギュレーションになっていなければなりません。つまり、同じモデル、同じ数とタイプのインターフェイス、および同じ RAM 量でなければなりません。


) 2 台の装置のフラッシュ メモリ サイズが同じである必要はありません。フェールオーバー コンフィギュレーションでフラッシュ メモリのサイズが異なる装置を使用している場合、フラッシュ メモリが小さい方の装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルに対応する十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。


ソフトウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は同じ動作モード(ルーテッドまたは透過、シングルコンテキストまたはマルチコンテキスト)でなければなりません。ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを使用できます。たとえば、ある装置をバージョン 7.0(1) からバージョン 7.0(2) にアップグレードする場合に、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

フェールオーバー ペアでのソフトウェアのアップグレードについては、「コンフィギュレーション ファイルのバックアップ」を参照してください。

フェールオーバー リンクとステートフル フェールオーバー リンク

ここでは、フェールオーバー リンクおよびステートフル フェールオーバー リンクについて説明します。これらのリンクは、フェールオーバー コンフィギュレーションで 2 台の装置を接続する専用のリンクです。この項は、次の内容で構成されています。

「フェールオーバー リンク」

「ステートフル フェールオーバー リンク」

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で継続的に通信して、各装置の動作ステータスを確認しています。次の情報がフェールオーバー リンク経由で伝達されています。

装置の状態(アクティブまたはスタンバイ)

hello メッセージ(キープアライブ)

ネットワーク リンクの状態

MAC アドレス交換

コンフィギュレーションの複製および同期


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にadaptive security applianceを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。adaptive security applianceを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

装置上のイーサネット インターフェイスは、使用されていなければいずれもフェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバー リンク インターフェイスには、通常のネットワーク インターフェイスとしての設定はありません。フェールオーバー通信でのみ使用できます。このインターフェイスは、LAN フェールオーバー リンク(および、オプションでステートフル フェールオーバー リンク)専用とする必要があります。

LAN フェールオーバー リンクは、次のいずれかの方法で接続します。

スイッチを使用。この場合、同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)の他の装置が ASA の LAN フェールオーバー インターフェイスとして使用されていないことが必要となります。

クロスオーバー イーサネット ケーブルにより装置を直接接続。これにより、外部スイッチが不要となります。


) クロスオーバー ケーブルで LAN フェールオーバー リンクを接続する場合、LAN インターフェイスが故障するとリンクは両方のピアで停止します。このような状況が発生した場合、どちらのインターフェイスが故障し、リンクの停止を引き起こしたかを簡単に判断することができないため、問題の解決が難しくなることがあります。



) ASA の銅線イーサネット ポートは Auto-MDI/MDIX に対応しているため、クロスオーバー ケーブルまたはストレート型ケーブルを使用できます。ストレート型ケーブルを使用すると、インターフェイスはこのケーブルを自動的に検出し、送受信ペアの一方を MDIX にスワップします。


ステートフル フェールオーバー リンク

ステートフル フェールオーバーを使用するには、ステートフル フェールオーバー リンクを設定してすべてのステート情報を渡す必要があります。ステートフル フェールオーバー リンクを設定する方法としては、次の 3 つのオプションがあります。

ステートフル フェールオーバー リンクに、専用のイーサネット インターフェイスを使用できます。

LAN ベースのフェールオーバーを使用している場合は、フェールオーバー リンクを共有できます。

内部インターフェイスなど、通常のデータ インターフェイスを共有できます。しかし、このオプションは推奨しません。

ステートフル フェールオーバー リンクに専用のイーサネット インターフェイスを使用している場合、スイッチまたはクロスオーバー ケーブルを使用して装置を直接接続できます。スイッチを使用している場合、他のホストまたはルータをこのリンクに配置しないでください。


) adaptive security applianceに直接接続されているシスコ スイッチ ポートの PortFast オプションをイネーブルにします。


フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

データ インターフェイスをステートフル フェールオーバー リンクとして使用する場合、そのインターフェイスをステートフル フェールオーバー リンクと指定すると、次の警告が表示されます。

******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
 

データ インターフェイスとステートフル フェールオーバー インターフェイスを共有すると、リプレイ攻撃を受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。


) データ インターフェイスをステートフル フェールオーバー インターフェイスとして使用することができるのは、シングル コンテキストのルーテッド モードのみです。


マルチコンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。システム コンテキスト内あるインターフェイスは、このインターフェイスとフェールオーバー インターフェイスのみです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にadaptive security applianceを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。adaptive security applianceを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

ステートフル リンクでのフェールオーバー インターフェイスの速度

フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

Cisco ASA 5580 適応型セキュリティ アプライアンスでは、10 ギガビット データ インターフェイスの場合、ステートフル リンクの速度は 1 ギガビットに達する場合もあります。ただし、管理ポートではパフォーマンスが低くなり、ステートフル フェールオーバーのパフォーマンス要件を満たせないため、管理ポート以外のポートを使用する必要があります。

長距離 LAN フェールオーバーの使用時に最適なパフォーマンスを実現するには、フェールオーバー リンクの遅延は 10 ミリ秒未満(上限値は 250 ミリ秒)にする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバー メッセージの再送信によるパフォーマンス低下が発生します。

どのプラットフォームでもフェールオーバー ハートビートとステートフル リンクの共有ができますが、ステートフル フェールオーバーのトラフィックが多いシステムでは別々のハートビート リンクの使用を推奨します。

Active/Active フェールオーバーと Active/Standby フェールオーバー

ここでは、各フェールオーバー コンフィギュレーションについて詳細に説明します。この項は、次の内容で構成されています。

「Active/Standby フェールオーバー」

「Active/Active フェールオーバー」

「使用するフェールオーバーのタイプの決定」

Active/Standby フェールオーバーの概要

Active/Standby フェールオーバーでは、スタンバイadaptive security applianceを使用して、障害の発生した装置の機能を引き継ぎます。アクティブ装置が故障すると、この装置はスタンバイ状態に変わり、スタンバイ装置がアクティブ状態に変わります。アクティブになる装置が、障害の発生した装置の IP アドレス(または、透過ファイアウォールの場合は管理 IP アドレス)および MAC アドレスを引き継いで、トラフィックの転送を開始します。現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク装置側から見た場合、MAC と IP アドレスの組み合せの変更はないため、ネットワーク上のいずれかにおいても ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。


) マルチコンテキスト モードの場合、adaptive security applianceは装置全体(すべてのコンテキストを含む)をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーすることはできません。


Primary/Secondary ステータスと Active/Standby ステータス

フェールオーバー ペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。ただし、セカンダリ装置がアクティブであり、フェールオーバー リンク経由でプライマリ MAC アドレスを取得できない場合は、この規則は適用されません。この場合、セカンダリ装置の MAC アドレスが使用されます。

装置の初期化とコンフィギュレーションの同期

コンフィギュレーションの同期は、フェールオーバー ペアの一方または両方の装置がブートされると行われます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。スタンバイ装置の初期スタートアップが完了すると、スタンバイ装置は自分の実行コンフィギュレーションを削除し(アクティブ装置との通信に必要なフェールオーバー コマンドを除く)、アクティブ装置は自分のコンフィギュレーション全体をスタンバイ装置に送信します。

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。


) セカンダリ装置がブートされてプライマリ装置を検出できないと、その装置はアクティブ装置になります。アクティブ IP アドレスには、セカンダリ装置自体の MAC アドレスを使用します。しかし、プライマリ装置が使用可能になると、セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。これを回避するには、フェールオーバー ペアを仮想 MAC アドレスで設定します。詳細については、「仮想 MAC アドレスの設定」を参照してください。


複製が開始されると、アクティブ装置のadaptive security appliance コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、adaptive security applianceに「End Configuration Replication to mate」というメッセージが表示されます。複製中、アクティブ装置に入力されたコマンドがスタンバイ装置に適切に複製されないことがあり、またスタンバイ装置に入力されたコマンドが、アクティブ装置から複製されているコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。


crypto ca server コマンドおよび関連するサブコマンドはフェールオーバー ピアに同期化されません。


スタンバイ装置の場合、コンフィギュレーションは実行メモリにのみ存在します。同期化後にコンフィギュレーションをフラッシュ メモリに保存するには、次のようにします。

シングルコンテキスト モードの場合、アクティブ装置に write memory コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードの場合、システム実行スペースからアクティブ装置に write memory all コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。このコマンドと all キーワードを使用すると、システムとすべてのコンテキスト コンフィギュレーションが保存されます。


) 外部のサーバに保存されているスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。スタンバイ装置で、装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

コマンドの複製は常に、アクティブ装置からスタンバイ装置の方向に行われます。アクティブ装置にコマンドを入力すると、そのコマンドがフェールオーバー リンクを通してスタンバイ装置に送信されます。コマンドを複製する場合、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。

表 13-1 はスタンバイ装置に複製されるコマンドと複製されないコマンドを示しています。

 

表 13-1 コマンドの複製

スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド

mode firewall 、および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config を除く、 copy コマンドのすべての形式

copy running-config startup-config

write memory を除く、 write コマンドのすべての形式

delete

crypto ca server および関連するサブコマンド

mkdir

debug

rename

failover lan unit

rmdir

firewall

write memory

mode

--

show

--

terminal pager pager


) スタンバイ装置上で行った変更は、アクティブ装置に複製されません。スタンバイ装置上でコマンドを入力すると、adaptive security appliance に「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Configurations are no longer synchronized.」というメッセージが表示されます。コンフィギュレーションに影響しないコマンドでも、多数入力した場合はこのメッセージが表示されます。


アクティブ装置に write standby コマンドを入力すると、スタンバイ装置で実行コンフィギュレーションが削除され(アクティブ装置との通信に使用するフェールオーバー コマンドを除く)、アクティブ装置のコンフィギュレーション全体がスタンバイ装置に送信されます。

マルチコンテキスト モードの場合、システム実行スペースに write standby コマンドを入力すると、すべてのコンテキストが複製されます。あるコンテキスト内で write standby コマンドを入力すると、コマンドはそのコンテキスト コンフィギュレーションのみを複製します。

複製されたコマンドは、実行コンフィギュレーションに保存されます。スタンバイ装置のフラッシュ メモリに複製されたコマンドを保存するには、次のように行います。

シングルコンテキスト モードの場合は、アクティブ装置で copy running-config startup-config コマンドを使用します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードの場合は、システム実行スペースおよびディスク上の各コンテキスト内からアクティブ装置に copy running-config startup-config コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。外部のサーバにスタートアップ コンフィギュレーションがあるコンテキストは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。

フェールオーバーのトリガー

次のいずれかのイベントが発生した場合、装置が故障する可能性があります。

装置でハードウェア障害または電源断が発生した。

装置でソフトウェア障害が発生した。

多くの監視対象インターフェイスが故障した。

no failover active コマンドがアクティブ装置に入力されたか、 failover active コマンドがスタンバイ装置に入力された。

フェールオーバーのアクション

Active/Standby フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチコンテキスト モードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

表 13-2 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 13-2 フェールオーバー動作

障害の状況
ポリシー
アクティブ アクション
スタンバイ アクション
注意

アクティブ装置が故障(電源またはハードウェア)

フェールオーバー

該当なし

アクティブになる

アクティブに故障とマークする

監視対象インターフェイスとフェールオーバー リンクのいずれでも hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーなし

スタンバイになる

動作なし

なし。

スタンバイ装置が故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

該当なし

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

フェールオーバー インターフェイスに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

アクティブ装置におけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし。

スタンバイ装置におけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

Active/Active フェールオーバー

ここでは、Active/Active フェールオーバーについて説明します。この項は、次の内容で構成されています。

「Active/Active フェールオーバーの概要」

「Primary/Secondary ステータスと Active/Standby ステータス」

「装置の初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバーのアクション」

Active/Active フェールオーバーの概要

Active/Active フェールオーバーは、マルチコンテキスト モードのadaptive security applianceでのみ使用できます。Active/Active フェールオーバー コンフィギュレーションでは、両方のadaptive security applianceがネットワーク トラフィックを渡すことができます。

Active/Active フェールオーバーでは、adaptive security applianceのセキュリティ コンテキストは、 フェールオーバー グループ に分割されます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの単純な論理グループです。adaptive security applianceには最大 2 つのフェールオーバー グループを作成できます。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーです。また、未割り当てセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーとなります。

フェールオーバー グループは、Active/Active フェールオーバーにおいてフェールオーバーの基本単位を形成します。インターフェイス障害モニタリング、フェールオーバー、およびアクティブ/スタンバイ ステータスはすべて、フェールオーバー グループのアトリビュートであって、装置のアトリビュートではありません。アクティブ フェールオーバー グループが故障すると、スタンバイ状態に変化し、スタンバイ フェールオーバー グループがアクティブになります。アクティブになったフェールオーバー グループのインターフェイスが、故障したフェールオーバー グループのインターフェイスの MAC アドレスと IP アドレスを引き継ぎます。スタンバイ状態になったフェールオーバー グループのインターフェイスが、スタンバイ MAC アドレスと IP アドレスを引き継ぎます。


) あるフェールオーバー グループが装置上で故障したというのは、装置が故障したという意味ではありません。その装置では、別のフェールオーバー グループが依然としてトラフィックを渡している場合があります。


フェールオーバー グループを作成する場合は、フェールオーバー グループ 1 をアクティブ状態にする装置に作成する必要があります。


) Active/Active フェールオーバーでは、各フェールオーバー グループのインターフェイスに対して仮想 MAC アドレスが生成されます。同じネットワーク上に Active/Active フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


Primary/Secondary ステータスと Active/Standby ステータス

Active/Standby フェールオーバーの場合のように、Active/Active フェールオーバー ペアの一方の装置がプライマリ装置に指定され、もう一方の装置がセカンダリ装置に指定されます。Active/Standby フェールオーバーの場合とは異なり、両方の装置が同時に起動された場合にアクティブになる装置の指定はここでは行われません。代わりに、プライマリまたはセカンダリの指定時に、次の 2 つの点を決定します。

同時にブートされたときに、実行コンフィギュレーションをペアに提供する装置を決定します。

装置が同時にブートされたときに、各フェールオーバー グループがアクティブ状態で表示される装置を決定します。コンフィギュレーションの各フェールオーバー グループには、プライマリまたはセカンダリ装置プリファレンスが設定されます。両方のフェールオーバー グループをペアのうちの一方の装置でアクティブ状態にして、もう一方の装置ではこれらのフェールオーバー グループがスタンバイ状態になるように設定できます。ただし、さらに一般的なコンフィギュレーションでは、各フェールオーバー グループに異なる役割プリファレンスを割り当て、装置ごとにそれぞれ 1 つをアクティブにして、装置全体でトラフィックが分散するようにします。


) adaptive security applianceには、ロードバランシング サービスは用意されていません。ロードバランシングは、adaptive security applianceにトラフィックを渡すルータが処理する必要があります。


各フェールオーバー グループがアクティブになる装置は、次のように決定されます。

ピア装置が使用できないときに装置がブートされると、両方のフェールオーバー グループがこの装置でアクティブになります。

ピア装置がアクティブ(両方のフェールオーバー グループがアクティブ状態である)の場合に装置がブートされると、フェールオーバー グループにプライマリ プリファレンスとセカンダリ プリファレンスのどちらが設定されていても、次のうちいずれかの状態になるまでフェールオーバー グループはアクティブ装置でアクティブ状態を維持します。

フェールオーバーが発生した。

no failover active コマンドで別の装置にフェールオーバー グループを手動で強制した。

preempt コマンドでフェールオーバー グループを設定した。この設定により、このフェールオーバー グループは、優先する装置が使用可能になると、その装置上で自動的にアクティブになります。

同時に両方の装置がブートされると、各フェールオーバー グループは、コンフィギュレーションが同期化された後、優先する装置上でアクティブになります。

装置の初期化とコンフィギュレーションの同期

コンフィギュレーションの同期がとられるのは、フェールオーバー ペアの一方または両方の装置がブートされたときです。コンフィギュレーションは、次のように同期化されます。

ピア装置がアクティブ(ピア装置で両方のフェールオーバー グループがアクティブ)の間に装置がブートされると、ブートされた装置はプライマリ指定とセカンダリ指定のどちらが設定されていても、アクティブ装置にアクセスして実行コンフィギュレーションを取得します。

両方の装置が同時にブートされると、セカンダリ装置はプライマリ装置から実行コンフィギュレーションを取得します。

複製が開始されると、コンフィギュレーションを送信する装置のadaptive security appliance コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、adaptive security applianceに「End Configuration Replication to mate」というメッセージが表示されます。複製中、コンフィギュレーションを送信する装置に入力されたコマンドがピア装置に適切に複製されないことがあり、コンフィギュレーションを受信する装置に入力されたコマンドが、受信中のコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。

コンフィギュレーションを受信する装置では、コンフィギュレーションは実行メモリにのみ存在します。同期後にフラッシュ メモリにコンフィギュレーションを保存するには、フェールオーバー グループ 1 がアクティブ状態にある装置のシステム実行スペースに write memory all コマンドを入力します。コマンドはピア装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。このコマンドと all キーワードを使用すると、システムとすべてのコンテキスト コンフィギュレーションが保存されます。


) 外部のサーバに保存されているスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、コンテキスト コンフィギュレーション ファイルをプライマリ装置のディスク上から外部サーバにコピーし、それからセカンダリ装置のディスクにコピーできます。セカンダリ装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

両方の装置が動作中になった後で、次のように、コマンドが一方の装置からもう一方の装置に複製されます。

セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。


) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。


システム実行スペースで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態の装置から、フェールオーバー グループ 1 がスタンバイ状態の装置に複製されます。

管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態の装置から、フェールオーバー グループ 1 がスタンバイ状態の装置に複製されます。

コマンド複製を行うのに適切な装置上でコマンドを入力しなかった場合は、コンフィギュレーションは非同期になります。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。

表 13-3 はスタンバイ装置に複製されるコマンドと複製されないコマンドを示しています。

 

表 13-3 コマンドの複製

スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド

mode firewall 、および failover lan unit コマンドを除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config を除く、 copy コマンドのすべての形式

copy running-config startup-config

write memory を除く、 write コマンドのすべての形式

delete

debug

mkdir

failover lan unit

rename

firewall

rmdir

mode

write memory

show

write standby コマンドを使用すると、非同期になったコンフィギュレーションを再同期化できます。Active/Active フェールオーバーの場合、 write standby コマンドは次のように動作します。

システム実行スペースで write standby コマンドを入力すると、システム コンフィギュレーションおよびadaptive security appliance上のセキュリティ コンテキストすべてに対するコンフィギュレーションがピア装置に書き込まれます。これには、スタンバイ状態のセキュリティ コンテキストのコンフィギュレーション情報が含まれています。このコマンドの入力は、フェールオーバー グループ 1 がアクティブ状態の装置上のシステム実行スペースで行う必要があります。


) セキュリティ コンテキストがピア措置でアクティブ状態にある場合、write standby コマンドにより、これらのコンテキストのアクティブな接続が切断されます。write standby コマンドを入力する前に、コンフィギュレーションを提供する装置に failover active コマンドを入力して、すべてのコンテキストがその装置でアクティブになるようにします。


セキュリティ コンテキストで write standby コマンドを入力すると、セキュリティ コンテキストのコンフィギュレーションのみがピア装置に書き込まれます。このコマンドの入力は、セキュリティ コンテキストがアクティブ状態で表示される装置のセキュリティ コンテキストで行う必要があります。

複製されたコマンドは、ピア装置に複製された場合、フラッシュ メモリに保存されません。実行コンフィギュレーションに追加されます。複製されたコマンドを両方の装置のフラッシュ メモリに保存するには、変更を行った装置で write memory または copy running-config startup-config コマンドを使用します。コマンドはピア装置に複製されて、コンフィギュレーションがピア装置のフラッシュ メモリに保存されます。

フェールオーバーのトリガー

Active/Active フェールオーバーでは、次のいずれかのイベントが発生すると、フェールオーバーが装置レベルでトリガーされます。

装置でハードウェア障害が発生した。

装置で電源障害が発生した。

装置でソフトウェア障害が発生した。

no failover active または failover active コマンドがシステム実行スペースで入力された。

フェールオーバーは、次のいずれかのイベントが発生すると、フェールオーバー グループ レベルでトリガーされます。

グループ内の多くの監視対象インターフェイスが故障した。

no failover active group group_id または failover active group group_id コマンドが入力された。

各フェールオーバー グループのフェールオーバーしきい値を設定するには、フェールオーバーグループ内のインターフェイスの数または割合を指定します。故障したインターフェイスの数または割合がこの値を超えると、そのグループは故障したと判断されます。フェールオーバー グループには複数のコンテキストを含めることができ、また各コンテキストには複数のインターフェイスを含めることができるので、1 つのコンテキストのインターフェイスがすべて故障しても、そのコンテキストに関連するフェールオーバー グループが故障と判断されない可能性があります。

インターフェイスと装置のモニタリングの詳細については、「フェールオーバー ヘルスのモニタリング」を参照してください。

フェールオーバーのアクション

Active/Active フェールオーバー コンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバー グループごとに行われます。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定し、フェールオーバー グループ 1 が故障すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。


) Active/Active フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


表 13-4 に、各障害イベントに対するフェールオーバー アクションを示します。各障害イベントに対して、ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ フェールオーバー グループのアクション、およびスタンバイ フェールオーバー グループのアクションを示します。

 

表 13-4 Active/Active フェールオーバーのフェールオーバー動作

障害の状況
ポリシー
アクティブ グループのアクション
スタンバイ グループのアクション
注意

装置で電源断またはソフトウェア障害が発生した

フェールオーバー

スタンバイになり、故障とマークする

アクティブになる

アクティブに故障とマークする

フェールオーバー ペアの装置が故障すると、その装置のアクティブ フェールオーバー グループはすべて故障とマークされ、ピア装置のフェールオーバー グループがアクティブになります。

アクティブ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブ グループに故障とマークする

アクティブになる

なし。

スタンバイ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイ グループに故障とマークする

スタンバイ フェールオーバー グループが故障とマークされている場合、インターフェイス フェールオーバー障害しきい値を超えても、アクティブ フェールオーバー グループはフェールオーバーを行いません。

以前にアクティブであったフェールオーバー グループの復旧

フェールオーバーなし

動作なし

動作なし

preempt コマンドで設定されていない場合、フェールオーバー グループは現在の装置でアクティブのままです。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

アクティブになる

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置の両方のフェールオーバー グループがアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

該当なし

該当なし

各装置で、フェールオーバー インターフェイスが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

使用するフェールオーバーのタイプの決定

選択するフェールオーバーのタイプは、adaptive security applianceのコンフィギュレーションとadaptive security applianceの使用計画によって決定されます。

adaptive security applianceをシングルモードで動作させている場合、使用できるのは Active/Standby フェールオーバーのみです。Active/Active フェールオーバーは、マルチコンテキスト モードで動作しているadaptive security applianceでのみ使用できます。

adaptive security applianceをマルチコンテキスト モードで動作させている場合は、Active/Active フェールオーバーまたは Active/Standby フェールオーバーを設定できます。

ロードバランシングを行うには、Active/Active フェールオーバーを使用します。

ロードバランシングを行わない場合は、Active/Standby フェールオーバーまたは Active/Active フェールオーバーを使用します。

表 13-5 に、各タイプのフェールオーバー コンフィギュレーションでサポートされる機能を比較して示します。

 

表 13-5 フェールオーバー コンフィギュレーション機能のサポート

機能
Active/Active
Active/Standby

シングルコンテキスト モード

なし

はい

マルチコンテキスト モード

はい

はい

ロードバランシング ネットワーク コンフィギュレーション

はい

なし

装置フェールオーバー

はい

はい

コンテキスト グループのフェールオーバー

はい

なし

個別コンテキストのフェールオーバー

なし

なし

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

adaptive security applianceは、標準およびステートフルという 2 つのタイプのフェールオーバーをサポートします。この項は、次の内容で構成されています。

「ステートレス(標準)フェールオーバー」

「ステートフル フェールオーバー」

ステートレス(標準)フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。


) リリース 8.0 以降では、WebVPN 用の一部のコンフィギュレーション要素(ブックマークやカスタマイズなど)で VPN フェールオーバー サブシステムが使用されています。これはステートフル フェールオーバーの一部です。これらの要素をフェールオーバー ペアのメンバー間で同期化するには、ステートフル フェールオーバーを使用する必要があります。WebVPN ではステートレス(標準)フェールオーバーは推奨されません。


ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルになっている場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

表 13-6 はステートフル フェールオーバーがイネーブルになっている場合にスタンバイ装置に渡されるステート情報と渡されないステート情報を示しています。

 

表 13-6 ステート情報

スタンバイ装置に渡されるステート情報
スタンバイ装置に渡されないステート情報

NAT 変換テーブル

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

TCP 接続状態

ユーザ認証(uauth)テーブル

UDP 接続状態

ルーティング テーブル。フェールオーバーが発生すると、一部のパケットが失われるか、誤ったインターフェイス(デフォルト ルート)から送出され、ダイナミック ルーティング プロトコルによりルートが再検出されます。

ARP テーブル

セキュリティ サービス モジュールのステート情報

レイヤ 2 ブリッジ テーブル(透過ファイアウォール モードで動作中の場合)

DHCP サーバ アドレスのリース

HTTP 接続状態(HTTP 複製がイネーブルの場合)

--

ISAKMP および IPSec SA テーブル

--

GTP PDP 接続データベース

--

SIP シグナリング セッション

--

次の WebVPN 機能はステートフル フェールオーバーでサポートされていません。

スマート トンネル

ポート転送

プラグイン

Java アプレット

IPv6 クライアントレスまたは Anyconnect セッション

Citrix 認証(Citrix ユーザはフェールオーバー後に再認証を行う必要があります)


) アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが行われると、コール セッション ステート情報がスタンバイ装置に複製されているので、コールはアクティブのままになります。コールが終了すると、IP SoftPhone クライアントと Cisco CallManager との接続が切断されます。これは、CTIQBE ハングアップ メッセージのセッション情報がスタンバイ装置に存在しないために発生します。IP SoftPhone クライアントが一定の時間内に CallManager から返送される応答を受信しない場合、このクライアントは CallManager を到達不能と見なし、自分自身の登録を解除します。


VPN フェールオーバーの場合、VPN エンド ユーザは VPN セッションの再認証や再接続を行う必要はありません。ただし、VPN 接続経由で動作しているアプリケーションの場合、フェールオーバー処理中にパケットが失われ、復旧できない場合があります。

フェールオーバー ヘルスのモニタリング

adaptive security applianceは、各装置について全体的なヘルスおよびインターフェイス ヘルスを監視します。adaptive security applianceがテストを実行して、各装置の状態を判断する方法の詳細については、次の項を参照してください。

「装置ヘルスのモニタリング」

「インターフェイスのモニタリング」

装置ヘルスのモニタリング

adaptive security applianceは、フェールオーバー リンクを監視して相手装置のヘルスを判断します。装置がフェールオーバー リンクで連続した 3 つの hello メッセージを受信しない場合、装置は、フェールオーバー インターフェイスを含むすべてのインターフェイスに hello メッセージを送信し、ピア インターフェイスが応答可能な状態かどうかを検証します。adaptive security applianceが行うアクションは、相手装置からの応答によって決まります。行うアクションは次のいずれかです。

adaptive security applianceがフェールオーバー インターフェイスで応答を受信した場合は、フェールオーバーを行いません。

adaptive security applianceがフェールオーバー リンクで応答を受信しないで、別のインターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

adaptive security applianceがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


hello メッセージの頻度と、フェールオーバーが行われる前の保持時間を設定できます。ポーリング時間が速くて保持時間が短いと、装置障害の検出の速度が上がり、フェールオーバーの実行が迅速になります。ただし、ネットワーク輻輳によりキープアライブ パケットが遅延して「偽の」障害が発生する場合もあります。装置ヘルス モニタリングの詳細については、「装置のヘルス モニタリングの設定」を参照してください。

インターフェイスのモニタリング

すべてのコンテキスト間に分割された最大 250 のインターフェイスを監視できます。重要なインターフェイスを監視する必要があります。たとえば、共有インターフェイスを監視するように 1 つのコンテキストを設定する場合があります(インターフェイスが共有されているため、すべてのコンテキストがそのモニタリングで監視されます)。

設定された保持時間の半分の間に装置が監視対象のインターフェイスで hello メッセージを受信しない場合は、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイスのステータスのテスト。リンク アップ/ダウン テストでインターフェイスが動作していることが示された場合、adaptive security applianceはネットワーク テストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク アクティビティ テスト:受信ネットワーク アクティビティ テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト Ping テスト:ブロードキャスト ping 要求の送信により行われる ping テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したadaptive security applianceは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


フェールオーバー時間

表 13-7 に、ASA 5580 adaptive security applianceの最小、デフォルト、最大フェールオーバー時間を示します。

 

表 13-7 ASA 5580 シリーズadaptive security appliance フェールオーバー時間

フェールオーバー条件
最小
デフォルト
最大

アクティブな装置の電源が切断し、通常の動作を停止する。

800 ミリ秒

15 秒

45 秒

アクティブな装置のメインボード インターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブな装置 4GE カード インターフェイス リンクがダウンする。

2 秒

5 秒

15 秒

アクティブな装置のインターフェイスは実行中であるが、接続に問題があるためインターフェイスのテストを行っている。

5 秒

25 秒

75 秒

フェールオーバーの設定

この項では、フェールオーバーを設定する方法について説明します。次の項目を取り上げます。

「フェールオーバーの設定の制限」

「Active/Standby フェールオーバーの設定」

「Active/Active フェールオーバーの設定」

「装置のヘルス モニタリングの設定」

「フェールオーバー通信の認証/暗号化の設定」

「フェールオーバー コンフィギュレーションの確認」

フェールオーバーの設定の制限

次のタイプの IP アドレスではフェールオーバーを設定できません。

DHCP から取得された IP アドレス

PPPoE から取得された IP アドレス

IPv6 アドレス

さらに、次の制限が適用されます。

VPN フェールオーバーは、マルチコンテキスト モードでサポートされません。

CA サーバはサポートされません。アクティブ装置に CA サーバが設定されている場合、装置のフェールオーバー時に CA サーバの機能が失われます。 crypto ca server コマンドおよび関連するコマンドについては、ピア装置への同期化や複製は行われません。

Active/Standby フェールオーバーの設定

ここでは、Active/Standby フェールオーバーを設定する手順の詳細を説明します。この項は、次の内容で構成されています。

「前提条件」

「LAN ベースの Active/Standby フェールオーバーの設定」

「オプションの Active/Standby フェールオーバー設定値の設定」

前提条件

始める前に、次の事項を確認してください。

両方の装置のハードウェア、ソフトウェア コンフィギュレーション、必要なライセンスが同じである。

両方の装置が同じモードである(シングルまたはマルチ、透過またはルーテッド)。

LAN ベースの Active/Standby フェールオーバーの設定

ここでは、イーサネット フェールオーバー リンクを使用して Active/Standby フェールオーバーを設定する方法について説明します。LAN ベースのフェールオーバーを設定するときは、セカンダリ装置がプライマリ装置から実行コンフィギュレーションを取得する前に、セカンダリ装置をブートストラップしてフェールオーバー リンクを認識させる必要があります。


) ケーブルベースのフェールオーバーから LAN ベースのフェールオーバーに変更する場合、ケーブルベースのフェールオーバー コンフィギュレーションで完了している手順(各インターフェイスのアクティブ IP アドレスおよびスタンバイ IP アドレスの割り当てなど)は省略できます。


この項は、次の内容で構成されています。

「プライマリ装置の設定」

「セカンダリ装置の設定」

プライマリ装置の設定

次の手順に従って、LAN ベースの Active/Standby フェールオーバー コンフィギュレーションのプライマリ装置を設定します。この手順により、プライマリ装置でフェールオーバーをイネーブルにするために必要な最小のコンフィギュレーションが設定されます。マルチコンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

Active/Standby フェールオーバー ペアのプライマリ装置を設定するには、次の手順を実行します。


ステップ 1 各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(透過モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定していない場合は、ここで設定します。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスが設定されている必要があります。スタンバイ IP アドレスは現在スタンバイ装置となっているadaptive security applianceで使用します。この IP アドレスはアクティブ IP アドレスと同じサブネットである必要があります。


) 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述のステップの failover interface ip コマンドを使用します。


hostname(config-if)# ip address active_addr netmask standby standby_addr
 

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。透過的なファイアウォール モードでは、このコマンドはグローバル コンフィギュレーション モードで入力します。

マルチコンテキスト モードでは、各コンテキストからインターフェイス アドレスを設定する必要があります。 changeto context コマンドを使用して、コンテキストを切り替えます。コマンド プロンプトが hostname/ context (config-if)# に変わります。 context は現在のコンテキストの名前です。透過ファイアウォール マルチコンテキスト モードで各コンテキストの管理 IP アドレスを入力する必要があります。

ステップ 2 装置をプライマリ装置に指定します。

hostname(config)# failover lan unit primary
 

ステップ 3 フェールオーバー インターフェイスを定義します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。 phy_if 引数は、物理ポート名(gigabitethernet0/2 など)にすることも、すでに作成されているサブインターフェイス(gigabitethernet0/2.3 など)にすることもできます。

b. アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。フェールオーバー リンクのアクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 4 (オプション)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。

a. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name phy_if
 

) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、if_name 引数を指定することだけが必要です。


if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(gigabitethernet0/2 など)にすることも、すでに作成されているサブインターフェイス(gigabitethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。

b. アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順を省略します。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステートフル フェールオーバー リンク IP アドレスおよび MAC アドレスは、データ インターフェイスを使用しない限り、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順を省略します。インターフェイスは、すでにイネーブルです。


hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 5 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

ステップ 6 システム コンフィギュレーションをフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 


 

セカンダリ装置の設定

セカンダリ装置に必要なコンフィギュレーションは、フェールオーバー インターフェイス用のコンフィギュレーションのみです。これらのコマンドは、セカンダリ装置がプライマリ装置と最初の通信を行う場合に必要となります。プライマリ装置がセカンダリ装置にコンフィギュレーションを送信した後は、2 つのコンフィギュレーションの違いは failover lan unit コマンドのみとなります。このコマンドで各装置がプライマリかセカンダリかを識別します。

マルチコンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

セカンダリ装置を設定するには、次の手順を実行します。


ステップ 1 フェールオーバー インターフェイスを定義します。プライマリ装置に使用している設定と同じ設定を使用します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。

b. アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスが設定されている必要があります。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) プライマリ装置でのフェールオーバー インターフェイスの設定時に入力したコマンドと同じコマンドを入力します(IP アドレスも同じものを入力します)。


c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 2 (オプション)この装置をセカンダリ装置に指定します。

hostname(config)# failover lan unit secondary
 

) 以前に設定されていない場合、装置はデフォルトでセカンダリに指定されているので、このステップはオプションです。


ステップ 3 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションが同期すると、メッセージ「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」がアクティブ装置のコンソールに表示されます。

ステップ 4 実行コンフィギュレーションの複製が完了したら、そのコンフィギュレーションをフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 


 

オプションの Active/Standby フェールオーバー設定値の設定

次のオプションの Active/Standby フェールオーバー設定値は、最初にフェールオーバーを設定するときでも、フェールオーバーがすでに設定された後でも設定できます。特に注記がない限り、コマンドはアクティブ装置で入力する必要があります。

この項は、次の内容で構成されています。

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「インターフェイス ヘルス モニタリングの設定」

「フェールオーバー基準の設定」

「仮想 MAC アドレスの設定」

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続がステート情報複製に含まれるようにするには、HTTP 複製をイネーブルにする必要があります。HTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。

次のコマンドをグローバル コンフィギュレーション モードで入力して、ステートフル フェールオーバーがイネーブル状態の場合に、HTTP ステート複製をイネーブルにします。

hostname(config)# failover replication http
 

インターフェイス モニタリングのディセーブル化とイネーブル化

デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。1 台の装置で最大 250 のインターフェイスを監視できます。特定のインターフェイスのモニタリングをディセーブルにし、他のインターフェイスのモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。これによって、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

マルチコンフィギュレーション モードの装置の場合は、次のコマンドを使用して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。

インターフェイスのヘルス モニタリングをディセーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# no monitor-interface if_name
 

インターフェイスのヘルス モニタリングをイネーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# monitor-interface if_name
 

シングルコンフィギュレーション モードの装置の場合は、次のコマンドを使用して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。

インターフェイスのヘルス モニタリングをディセーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# no monitor-interface if_name
 

インターフェイスのヘルス モニタリングをイネーブルにするには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# monitor-interface if_name
 

インターフェイス ヘルス モニタリングの設定

adaptive security applianceは、各データ インターフェイスから hello パケットを送出して、インターフェイス ヘルスを監視します。保持時間の半分以上経過してadaptive security applianceがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たした場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、adaptive security applianceでのインターフェイスの障害のより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。

インターフェイスのポーリング時間を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover polltime interface [msec] time [holdtime time]
 

ポーリング時間に有効な値は 1 ~ 15 秒で、オプションの msec キーワードを使用すると、500 ~ 999 ミリ秒です。保持時間は hello パケットが受信できなかった時点からインターフェイスが失敗としてマークされるまでの時間を表します。保持時間に有効な値は、5 ~ 75 秒です。ポーリング時間の 5 倍に満たない保持時間は入力できません。


) インターフェイス リンクがダウンしていると、インターフェイスのテストは実行されません。このとき、障害のあるインターフェイスの数が設定されたフェールオーバー基準以上となった場合、スタンバイ装置は 1 つのインターフェイス ポーリング期間のみでアクティブになります。


フェールオーバー基準の設定

デフォルトでは、インターフェイス障害が 1 回発生した時点でフェールオーバーが行われます。インターフェイス数または監視されているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

デフォルトのフェールオーバー基準を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover interface-policy num[%]
 

インターフェイスの数を具体的に指定する場合は、 num 引数に 1 ~ 250 の値を入力します。インターフェイスの割合を指定する場合は、 num 引数に 1 ~ 100 の値を入力します。

仮想 MAC アドレスの設定

Active/Standby フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置が先にブートされてアクティブになった場合、セカンダリ装置のインターフェイスの焼き付け済み MAC アドレスが使用されます。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定すると、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合に 正しい MAC アドレスが使用されます。仮想 MAC アドレスを指定しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステートフル フェールオーバー リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


アクティブ装置で次のコマンドを入力して、インターフェイスの仮想 MAC アドレスを設定します。

hostname(config)# failover mac address phy_if active_mac standby_mac
 

phy_if 引数は、インターフェイスの物理名(gigabitethernet0/2 など)です。 active_mac および standby_mac 引数は、H.H.H 形式(H は 16 ビットの 16 進数)の MAC アドレスです。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連付けられ、 standby_mac はインターフェイスのスタンバイ IP アドレスに関連付けられます。

adaptive security applianceに仮想 MAC アドレスを設定する方法は複数あります。仮想 MAC アドレスを設定するために複数の方式を使用した場合、adaptive security applianceは、次の優先順位を使用して、インターフェイスに割り当てる仮想 MAC アドレスを決定します。

1. mac-address コマンド(インターフェイス コンフィギュレーション モード)のアドレス

2. failover mac address コマンドのアドレス

3. mac-address auto コマンドが生成したアドレス

4. 焼き付け済み MAC アドレス

show interface コマンドを使用して、インターフェイスが使用している MAC アドレスを表示します。

Active/Active フェールオーバーの設定

ここでは、Active/Active フェールオーバーの設定方法について説明します。

この項は、次の内容で構成されています。

「前提条件」

「LAN ベースの Active/Active フェールオーバーの設定」

「オプションの Active/Active フェールオーバー設定値の設定」

前提条件

始める前に、次の事項を確認してください。

両方の装置のハードウェア、ソフトウェア コンフィギュレーション、必要なライセンスが同じである。

両方の装置がマルチコンテキスト モードである。

LAN ベースの Active/Active フェールオーバーの設定

ここでは、イーサネット フェールオーバー リンクを使用して Active/Active フェールオーバーを設定する方法について説明します。LAN ベースのフェールオーバーを設定するときは、セカンダリ装置がプライマリ装置から実行コンフィギュレーションを取得する前に、セカンダリ装置をブートストラップしてフェールオーバー リンクを認識させる必要があります。

この項は、次の内容で構成されています。

「プライマリ装置の設定」

「セカンダリ装置の設定」

プライマリ装置の設定

Active/Active フェールオーバー コンフィギュレーションのプライマリ装置を設定するには、次の手順を実行します。


ステップ 1 各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(透過モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定していない場合は、ここで設定します。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスが設定されている必要があります。スタンバイ IP アドレスは現在スタンバイ装置となっているadaptive security applianceで使用します。この IP アドレスはアクティブ IP アドレスと同じサブネットである必要があります。

各コンテキストからインターフェイス アドレスを設定する必要があります。 changeto context コマンドを使用して、コンテキストを切り替えます。コマンド プロンプトが hostname/ context (config-if)# に変わります。 context は現在のコンテキストの名前です。透過ファイアウォール モードでは、各コンテキストの管理 IP アドレスを入力する必要があります。


) 専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述のステップの failover interface ip コマンドを使用します。


hostname/context(config-if)# ip address active_addr netmask standby standby_addr
 

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのインターフェイス コンフィギュレーション モードで入力します。透過的なファイアウォール モードでは、このコマンドはグローバル コンフィギュレーション モードで入力します。

ステップ 2 基本フェールオーバー パラメータをシステム実行スペースで設定します。

a. 装置をプライマリ装置に指定します。

hostname(config)# failover lan unit primary
 

b. フェールオーバー リンクを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(gigabitethernet0/2 など)にすることも、すでに作成されているサブインターフェイス(gigabitethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのステートフル フェールオーバー リンクは除く)。

c. フェールオーバー リンクのアクティブ IP アドレスおよびスタンバイ IP アドレスを指定します。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ IP アドレスのサブネット マスクを指定する必要はありません。フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

ステップ 3 (オプション)ステートフル フェールオーバーをイネーブルにするには、ステートフル フェールオーバー リンクを設定します。

a. ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。

hostname(config)# failover link if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(gigabitethernet0/2 など)にすることも、すでに作成されているサブインターフェイス(gigabitethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたは標準データ インターフェイスを使用する場合は、if_name 引数を指定することだけが必要です。


b. アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたは標準データ インターフェイスを使用する場合は、このステップをスキップします。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

状態リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

c. インターフェイスをイネーブルにします。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたは標準データ インターフェイスを使用する場合は、この手順を省略します。インターフェイスは、すでにイネーブルです。


hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 4 フェールオーバー グループを設定します。最大 2 つのフェールオーバー グループを使用できます。 failover group コマンドは、指定されたフェールオーバー グループが存在しない場合はこれを作成し、フェールオーバー グループ コンフィギュレーション モードに移行します。

フェールオーバー グループごとに primary または secondary コマンドを使用して、フェールオーバー グループがプライマリ プリファレンスとセカンダリ プリファレンスのどちらを持つかを指定します。同じプリファレンスを両方のフェールオーバー グループに割り当てることができます。ロードバランシング コンフィギュレーションの場合は、各フェールオーバー グループに異なる装置プリファレンスを割り当てる必要があります。

次の例では、フェールオーバー グループ 1 にプライマリ プリファレンスを、フェールオーバー グループ 2 にセカンダリ プリファレンスを割り当てます。

hostname(config)# failover group 1
hostname(config-fover-group)# primary
hostname(config-fover-group)# exit
hostname(config)# failover group 2
hostname(config-fover-group)# secondary
hostname(config-fover-group)# exit
 

ステップ 5 コンテキスト コンフィギュレーション モードで join-failover-group コマンドを使用して、各ユーザ コンテキストをフェールオーバー グループに割り当てます。

割り当てられていないコンテキストは、自動的にフェールオーバー グループ 1 に割り当てられます。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーです。

次のコマンドを入力して、各コンテキストをフェールオーバー グループに割り当てます。

hostname(config)# context context_name
hostname(config-context)# join-failover-group {1 | 2}
hostname(config-context)# exit
 

ステップ 6 フェールオーバーをイネーブルにします。

hostname(config)# failover
 


 

セカンダリ装置の設定

LAN ベースの Active/Active フェールオーバーを設定するときは、セカンダリ装置をブートストラップしてフェールオーバー リンクを認識させる必要があります。その結果、セカンダリ装置は、プライマリ装置と通信して、実行コンフィギュレーションを受信できるようになります。

Active/Active フェールオーバー コンフィギュレーションのセカンダリ装置をブートストラップするには、次の手順を実行します。


ステップ 1 フェールオーバー インターフェイスを定義します。プライマリ装置に使用している設定と同じ設定を使用します。

a. フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

hostname(config)# failover lan interface if_name phy_if
 

if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(gigabitethernet0/2 など)にすることも、すでに作成されているサブインターフェイス(gigabitethernet0/2.3 など)にすることもできます。

b. アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスが設定されている必要があります。

hostname(config)# failover interface ip if_name ip_addr mask standby ip_addr
 

) フェールオーバー インターフェイスの設定時に入力したコマンドと同じコマンドを入力します(IP アドレスも同じものを入力します)。


スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

c. インターフェイスをイネーブルにします。

hostname(config)# interface phy_if
hostname(config-if)# no shutdown
 

ステップ 2 (オプション)この装置をセカンダリ装置に指定します。

hostname(config)# failover lan unit secondary
 

) 前に別の設定がされていない限り、装置はデフォルトでセカンダリに指定されているので、このステップはオプションです。


ステップ 3 フェールオーバーをイネーブルにします。

hostname(config)# failover
 

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションが同期すると、メッセージ「 Beginning configuration replication: Sending to mate 」および「 End Configuration Replication to mate 」がアクティブ装置のコンソールに表示されます。

ステップ 4 実行コンフィギュレーションの複製が完了したら、次のコマンドを入力してそのコンフィギュレーションをフラッシュ メモリに保存します。

hostname(config)# copy running-config startup-config
 

ステップ 5 必要に応じて、プライマリ装置でアクティブな任意のフェールオーバー グループを強制的にセカンダリ装置でアクティブ状態にします。フェールオーバー グループを強制的にセカンダリ装置でアクティブにするには、プライマリ装置のシステム実行スペースで次のコマンドを入力します。

hostname# no failover active group group_id
 

group_id 引数は、セカンダリ装置でアクティブにするグループを指定します。


 

オプションの Active/Active フェールオーバー設定値の設定

次のオプションの Active/Active フェールオーバー設定値は、最初にフェールオーバーを設定するときでも、フェールオーバーがすでに設定された後でも設定できます。特に注記がない限り、コマンドは、フェールオーバー グループ 1 がアクティブ状態の装置で入力する必要があります。

この項は、次の内容で構成されています。

「フェールオーバー グループのプリエンプションの設定」

「ステートフル フェールオーバーでの HTTP 複製のイネーブル化」

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「インターフェイス ヘルス モニタリングの設定」

「フェールオーバー基準の設定」

「仮想 MAC アドレスの設定」

「パケットの非対称ルーティングのサポートの設定」

フェールオーバー グループのプリエンプションの設定

プライマリまたはセカンダリの優先順位をフェールオーバー グループに割り当てると、両方の装置が同時にブートされるときに、フェールオーバー グループがどの装置上でアクティブになるかが指定されます。しかし、一方の装置がもう一方の装置よりも先にブートした場合、どちらのフェールオーバー グループもその装置上でアクティブになります。もう一方の装置がオンラインになっても、その装置に優先度を認めているフェールオーバー グループはいずれも、その装置ではアクティブになりません。ただし、手動で強制された場合、フェールオーバーが行われた場合、またはそのフェールオーバー グループが preempt コマンドで設定されている場合は除きます。 preempt コマンドによって、フェールオーバー グループは、指定された装置が使用可能になると、その装置で自動的にアクティブになります。

指定されたフェールオーバー グループのプリエンプションを設定するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# preempt [delay]
 

オプションの delay 値に秒数を入力すると、フェールオーバー グループはその時間の間現在の装置でアクティブ状態になり、その後に指定された装置で自動的にアクティブになります。

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続をステート情報に含めることができるようにするには、HTTP 複製をイネーブルにする必要があります。HTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP 接続は複製されるステート情報に自動的には含まれません。 replication http コマンドを使用すると、ステートフル フェールオーバーがイネーブルになっている場合に、フェールオーバー グループに HTTP ステート情報を複製させることができます。

フェールオーバー グループの HTTP ステート複製をイネーブルにするには、次のコマンドを入力します。このコマンドは、設定されているフェールオーバー グループにのみ影響します。両方のフェールオーバー グループの HTTP ステート複製をイネーブルにするには、各グループで次のコマンドを入力する必要があります。次のコマンドは、システム実行スペースで入力する必要があります。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# replication http
 

インターフェイス モニタリングのディセーブル化とイネーブル化

1 台の装置で最大 250 のインターフェイスを監視できます。デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。特定のインターフェイスのモニタリングをディセーブルにし、他のインターフェイスのモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。これによって、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

インターフェイスのヘルス モニタリングをディセーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# no monitor-interface if_name
 

インターフェイスのヘルス モニタリングをイネーブルにするには、コンテキスト内で次のコマンドを入力します。

hostname/context(config)# monitor-interface if_name
 

インターフェイス ヘルス モニタリングの設定

adaptive security applianceは、各データ インターフェイスから hello パケットを送出して、インターフェイス ヘルスを監視します。保持時間の半分以上経過してadaptive security applianceがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たした場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、adaptive security applianceでのインターフェイスの障害のより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。

インターフェイスのデフォルトのポーリング時間を変更するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# polltime interface seconds
 

ポーリング時間に有効な値は 1 ~ 15 秒で、オプションの msec キーワードを使用すると、500 ~ 999 ミリ秒です。保持時間は hello パケットが受信できなかった時点からインターフェイスが失敗としてマークされるまでの時間を表します。保持時間に有効な値は、5 ~ 75 秒です。ポーリング時間の 5 倍に満たない保持時間は入力できません。

フェールオーバー基準の設定

デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。インターフェイス数または監視されているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。フェールオーバー基準は、フェールオーバー グループごとに指定されます。

指定されたフェールオーバー グループのデフォルト フェールオーバー基準を変更するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# interface-policy num[%]
 

インターフェイスの数を具体的に指定する場合は、 num 引数に 1 ~ 250 の値を入力します。インターフェイスの割合を指定する場合は、 num 引数に 1 ~ 100 の値を入力します。

仮想 MAC アドレスの設定

Active/Active フェールオーバーでは、すべてのインターフェイスで仮想 MAC アドレスを使用します。仮想 MAC アドレスを指定しない場合は、次のように計算されます。

アクティブ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01

スタンバイ装置のデフォルト MAC アドレス:00a0.c9 physical_port_number . failover_group_id 02


同じネットワーク上に Active/Active フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、すべてのフェールオーバー グループに対して、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


インターフェイスの特定のアクティブおよびスタンバイ MAC アドレスを設定するには、次のコマンドを入力します。

hostname(config)# failover group {1 | 2}
hostname(config-fover-group)# mac address phy_if active_mac standby_mac
 

phy_if 引数は、インターフェイスの物理名(gigabitethernet0/2 など)です。 active_mac および standby_mac 引数は、H.H.H 形式(H は 16 ビットの 16 進数)の MAC アドレスです。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連付けられ、 standby_mac はインターフェイスのスタンバイ IP アドレスに関連付けられます。

adaptive security applianceに仮想 MAC アドレスを設定する方法は複数あります。仮想 MAC アドレスを設定するために複数の方式を使用した場合、adaptive security applianceは、次の優先順位を使用して、インターフェイスに割り当てる仮想 MAC アドレスを決定します。

1. mac-address コマンド(インターフェイス コンフィギュレーション モード)のアドレス

2. failover mac address コマンドのアドレス

3. mac-address auto コマンドが生成するアドレス

4. 自動的に生成したフェールオーバー MAC アドレス

show interface コマンドを使用して、インターフェイスが使用している MAC アドレスを表示します。

パケットの非対称ルーティングのサポートの設定

Active/Active フェールオーバーで動作中の場合、装置は、ピア装置を経由して送信された接続用の返送パケットを受信することがあります。そのパケットを受信するadaptive security applianceにはそのパケットの接続情報がないために、パケットはドロップされます。これが最もよく発生するのは、Active/Active フェールオーバー ペアのadaptive security appliance 2 台が異なるサービス プロバイダーに接続されており、発信接続で NAT アドレスが使用されていない場合です。

返送パケットのドロップは、ドロップが発生する可能性のあるインターフェイスで asr-group コマンドを使用することで防止できます。 asr-group コマンドで設定されたインターフェイスがセッション情報を持たないパケットを受信すると、同じグループにある他のインターフェイスのセッション情報をチェックします。一致する情報が見つからないと、パケットはドロップされます。一致する情報が見つかると、次の動作のうちいずれかが開始します。

着信トラフィックがピア装置から発信されている場合、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットは他の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。

着信トラフィックが同じ装置の別のインターフェイスで発信されている場合、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットはストリームに再挿入されます。


) 非対称ルーティングのサポートを設定する場合、asr-group コマンドを使用する方が nailed オプションを指定して static コマンドを使用するよりも安全です。

asr-group コマンドでは非対称ルーティングを行うことはできません。このコマンドは非対称ルーティング パケットを正しいインターフェイスに復元します。


前提条件

非対称ルーティングのサポートが正しく機能するには、次の項目が設定されている必要があります。

Active/Active フェールオーバー

ステートフル フェールオーバー:アクティブ フェールオーバー グループのインターフェイスでのセッションのステート情報をスタンバイ フェールオーバー グループに渡します。

replication http :HTTP セッション ステート情報はスタンバイ フェールオーバー グループに渡されないため、スタンバイ インターフェイスには存在しません。adaptive security applianceが非対称ルーティング HTTP パケットを再ルーティングできるようにするには、HTTP ステート情報を複製する必要があります。

フェールオーバーが設定されていないインターフェイスで asr-group コマンドを設定できますが、ステートフル フェールオーバーがイネーブルになるまでは有効ではありません。

パケットの非対称ルーティングのサポートの設定

非対称ルーティング パケットのサポートを設定するには、次の手順を実行します。


ステップ 1 フェールオーバー ペアの Active/Active ステートフル フェールオーバーを設定します。「Active/Active フェールオーバーの設定」を参照してください。

ステップ 2 非対称ルーティングのサポート対象となるインターフェイスのそれぞれについて、次のコマンドを入力します。コマンドの入力は、コンテキストがアクティブ状態である装置で行う必要があります。これにより、コマンドはスタンバイ フェールオーバー グループに複製されます。コマンドの複製の詳細については、「コマンドの複製」を参照してください。

hostname/ctx(config)# interface phy_if
hostname/ctx(config-if)# asr-group num
 

num の有効値の範囲は 1 ~ 32 です。コマンドは非対称ルーティング グループに入れるインターフェイスのそれぞれについて入力する必要があります。インターフェイスによって転送、受信、またはドロップされた ASR パケットの数を表示するには、 show interface detail コマンドを使用します。adaptive security applianceでは複数の ASR グループを設定することもできますが、各インターフェイスに設定できる数は 1 つだけです。同じ ASR グループのメンバーのセッション情報のみが確認されます。


 

図 13-1 に、非対称ルーティングのサポートに対する asr-group コマンドの使用例を示します。

図 13-1 ASR の例

 

2 台の装置が次のように設定されています(この設定では関連コマンドのみが示されています)。この図で、SecAppA というラベルが設定された装置はフェールオーバー ペアのプライマリ装置です。

例 13-1 プライマリ装置のシステム コンフィギュレーション

hostname primary
interface GigabitEthernet0/1
description LAN/STATE Failover Interface
interface GigabitEthernet0/2
no shutdown
interface GigabitEthernet0/3
no shutdown
interface GigabitEthernet0/4
no shutdown
interface GigabitEthernet0/5
no shutdown
failover
failover lan unit primary
failover lan interface folink GigabitEthernet0/1
failover link folink
failover interface ip folink 10.0.4.1 255.255.255.0 standby 10.0.4.11
failover group 1
primary
failover group 2
secondary
admin-context admin
context admin
description admin
allocate-interface GigabitEthernet0/2
allocate-interface GigabitEthernet0/3
config-url flash:/admin.cfg
join-failover-group 1
context ctx1
description context 1
allocate-interface GigabitEthernet0/4
allocate-interface GigabitEthernet0/5
config-url flash:/ctx1.cfg
join-failover-group 2
 

例 13-2 admin コンテキスト コンフィギュレーション

hostname SecAppA
interface GigabitEthernet0/2
nameif outsideISP-A
security-level 0
ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
asr-group 1
interface GigabitEthernet0/3
nameif inside
security-level 100
ip address 10.1.0.1 255.255.255.0 standby 10.1.0.11
monitor-interface outside
 

例 13-3 ctx1 コンテキスト コンフィギュレーション

hostname SecAppB
interface GigabitEthernet0/4
nameif outsideISP-B
security-level 0
ip address 192.168.2.2 255.255.255.0 standby 192.168.2.1
asr-group 1
interface GigabitEthernet0/5
nameif inside
security-level 100
ip address 10.2.20.1 255.255.255.0 standby 10.2.20.11
 

図 13-1 は次のように動作する ASR サポートを示しています。

1. 発信セッションがadaptive security applianceの SecAppA を通過します。これはインターフェイス outsideISP-A(192.168.1.1)から送出されます。

2. アップストリームのいずれかの箇所に非対称ルーティングが設定されているため、リターン トラフィックはadaptive security applianceの SecAppB インターフェイス outsideISP-B(192.168.2.2)を経由して戻ってきます。

3. インターフェイス 192.168.2.2 にはリターン トラフィックに関するセッション情報がないので、通常はリターン トラフィックはドロップされます。しかし、このインターフェイスにはコマンド asr-group 1 が設定されています。装置は同じ ASR グループ ID が設定されている他のインターフェイス上のセッションを検索します。

4. セッション情報はインターフェイス outsideISP-A(192.168.1.2)で見つかります。このインターフェイスは装置 SecAppB でスタンバイ状態になっています。ステートフル フェールオーバーにより、セッション情報が SecAppA から SecAppB に複製されました。

5. レイヤ 2 ヘッダーはドロップされず、インターフェイス 192.168.1.1 の情報がこのヘッダーに再書き込みされます。トラフィックはインターフェイス 192.168.1.2 からリダイレクトされ、このトラフィックが発信された装置のインターフェイス(SecAppA の 192.168.1.1)を経由して戻ります。この転送は、必要に応じて、セッションが終了するまで続行されます。

装置のヘルス モニタリングの設定

adaptive security applianceはフェールオーバー インターフェイスで hello パケットを送出して装置のヘルスを監視します。スタンバイ装置が 2 つの連続したポーリング期間中にアクティブ装置から hello パケットを受信しない場合、残りの装置インターフェイスから別のテスト パケットを送出します。hello パケットまたはインターフェイス テスト パケットへの応答が指定の保持時間内に受信されない場合、スタンバイ装置がアクティブになります。

装置のヘルスを監視するとき hello メッセージの頻度を設定できます。ポーリング時間を短縮すると、装置の障害をより迅速に検出できますが、多くのシステム リソースを消費します。

装置のポーリング時間を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

hostname(config)# failover polltime [msec] time [holdtime [msec] time]
 

ポーリング頻度を 1 ~ 15 秒に設定できます。オプションの msec キーワードを使用すると、200 ~ 999 ミリ秒に設定できます。保持時間は hello パケットが受信できなかった時点からからフェールオーバーが発生するまでの時間を表します。保持時間は、ポーリング時間の 3 倍以上である必要があります。保持時間は 1 ~ 45 秒に設定できます。オプションの msec キーワードを使用すると、800 ~ 990 ミリ秒に設定できます。

最低のポーリング時間と保持時間を使用するようにadaptive security applianceを設定すると、1 秒以内で装置の障害を検出して応答できるようになりますが、システム リソースの使用量を増やすことにもなるため、ネットワークが輻輳しているか、adaptive security applianceがほぼ容量いっぱいで動作している場合に偽の障害が検出される場合があります。

フェールオーバー通信の認証/暗号化の設定

フェールオーバー ピアの間の通信の暗号化および認証は、共有秘密または 16 進数のキーを指定することによって可能になります。


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にadaptive security applianceを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。adaptive security applianceを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

Active/Standby フェールオーバー ペアのアクティブ装置、または Active/Active フェールオーバー ペアのフェールオーバー グループ 1 がアクティブ状態の装置で次のコマンドを入力します。

hostname(config)# failover key {secret | hex key}
 

secret 引数で、暗号キーの生成に使用される共有秘密を指定します。共有秘密には 1 ~ 63 文字が指定できます。文字としては、数字、英字、句読点のどのような組み合せでも使用できます。 hex key 引数で、16 進暗号キーを指定します。 キーは、32 桁の 16 進数文字(0 ~ 9、a ~ f)でなければなりません。


) フェールオーバー キーが、ピア装置に既存のフェールオーバー コンフィギュレーション用のクリア テキストとして複製されるのを防止するには、アクティブ装置(またはフェールオーバー グループ 1 がアクティブ状態の装置のシステム実行スペース)でフェールオーバーをディセーブルにして、両方の装置でフェールオーバー キーを入力し、その後フェールオーバーを再度イネーブルにします。フェールオーバーが再度イネーブルにされると、フェールオーバー通信がそのキーで暗号化されます。


新しい LAN ベースのフェールオーバー コンフィギュレーションの場合、 failover key コマンドはフェールオーバー ペアのブートストラップ コンフィギュレーションの一部でなければなりません。

フェールオーバー コンフィギュレーションの確認

この項では、フェールオーバー コンフィギュレーションを確認する方法について説明します。この項は、次の内容で構成されています。

「show failover コマンドの使用方法」

「監視対象インターフェイスの表示」

「実行コンフィギュレーション内のフェールオーバー コマンドの表示」

「フェールオーバー機能のテスト」

show failover コマンドの使用方法

ここでは、 show failover コマンドの出力について説明します。各装置で、 show failover コマンドを入力してフェールオーバー ステータスを確認できます。表示される情報は、Active/Standby フェールオーバーと Active/Active フェールオーバーのどちらを使用しているかによって決まります。

この項は、次の内容で構成されています。

「show failover:Active/Standby」

「show failover:Active/Active」

show failover:Active/Standby

次に、Active/Standby フェールオーバーの show failover コマンドの出力例を示します。表示される情報の説明は 表 13-8 にあります。

hostname# show failover
 
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fover Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
Interface inside (10.130.9.3): Normal
Interface outside (10.132.9.3): Normal
Other host: Secondary - Standby Ready
Active time: 0 (sec)
Interface inside (10.130.9.4): Normal
Interface outside (10.132.9.4): Normal
 
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj xmit xerr rcv rerr
General 1950 0 1733 0
sys cmd 1733 0 1733 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 6 0 0 0
UDP conn 0 0 0 0
ARP tbl 106 0 0 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 1733
Xmit Q: 0 2 15225
 

マルチコンテキスト モードでは、セキュリティ コンテキストで show failover コマンドを使用して、そのコンテキストのフェールオーバー情報を表示します。この情報は、シングルコンテキスト モードでコマンドを使用した場合に表示される情報と同様です。装置のアクティブ ステータスまたはスタンバイ ステータスを表示する代わりに、コンテキストのアクティブ ステータスまたはスタンバイ ステータスを表示します。表示される情報の説明は 表 13-8 にあります。

 
Failover On
Last Failover at: 04:03:11 UTC Jan 4 2003
This context: Negotiation
Active time: 1222 (sec)
Interface outside (192.168.5.121): Normal
Interface inside (192.168.0.1): Normal
Peer context: Not Detected
Active time: 0 (sec)
Interface outside (192.168.5.131): Normal
Interface inside (192.168.0.11): Normal
 
Stateful Failover Logical Update Statistics
Status: Configured.
Stateful Obj xmit xerr rcv rerr
RPC services 0 0 0 0
TCP conn 99 0 0 0
UDP conn 0 0 0 0
ARP tbl 22 0 0 0
Xlate_Timeout 0 0 0 0
GTP PDP 0 0 0 0
GTP PDPMCB 0 0 0 0
SIP Session 0 0 0 0
 

 

表 13-8 show failover の表示の説明

フィールド
オプション

フェールオーバー

On

Off

Cable status:

Normal:ケーブルは両方の装置に接続されており、両方の装置とも電源が入っています。

My side not connected:シリアル ケーブルがこの装置に接続されていません。ケーブルがもう一方の装置に接続されているかどうかは不明です。

Other side is not connected:シリアル ケーブルはこの装置に接続されていますが、もう一方の装置には接続されていません。

Other side powered off:相手装置の電源がオフになっています。

N/A:LAN ベースのフェールオーバーがイネーブルです。

Failover Unit

Primary または Secondary

Failover LAN Interface

フェールオーバー リンクの論理名または物理名が表示されます。

Unit Poll frequency

hello メッセージがピア装置に送信される間隔の秒数と、装置がフェールオーバー リンクで hello メッセージを受信する待機時間の秒数が表示されます。この待機時間を超えて hello メッセージを受信しない場合、ピアに障害が発生したと宣言されます。

Interface Poll frequency

n seconds

failover polltime interface コマンドで設定した秒数です。デフォルトは、15 秒です。

Interface Policy

数または割合が表示されます。この数または割合を超えたインターフェイスが故障すると、フェールオーバーがトリガーされます。

Monitored Interfaces

監視中のインターフェイス数と、監視可能最大インターフェイス数が表示されます。

failover replication http

ステートフル フェールオーバーに対して HTTP ステート複製がイネーブルの場合に表示されます。

Last Failover at:

最後のフェールオーバーの日付と時刻。形式は次のとおりです。

hh : mm : ss UTC DayName Month Day yyyy

UTC(世界標準時)は、GMT(グリニッジ標準時)と同じです。

This host:

Other host:

ホストごとに、次の情報が表示されます。

Primary または Secondary

Active

Standby

Active time:

n (秒)

装置がアクティブ状態にあった時間。この時間は累積です。したがって、スタンバイ装置にも、過去にアクティブであった場合は値が表示されます。

slot x

スロットのモジュールに関する情報、または空。

Interface name ( n . n . n . n ):

インターフェイスごとに、各装置で現在使用している IP アドレス、および次の状態のいずれかが表示されます。

Failed:インターフェイスに障害が発生しました。

No Link:インターフェイスの回線プロトコルがダウンしています。

Normal:インターフェイスが正しく動作しています。

Link Down:インターフェイスは管理上シャットダウンされました。

Unknown:adaptive security applianceがインターフェイスのステータスを判別できません。

Waiting:相手装置のネットワーク インターフェイスの監視はまだ開始されていません。

Stateful Failover Logical Update Statistics

次のフィールドは、ステートフル フェールオーバー機能に関係します。Link フィールドにインターフェイス名が表示されている場合、ステートフル フェールオーバー統計情報が表示されます。

Link

interface_name :ステートフル フェールオーバー リンクに使用するインターフェイス。

Unconfigured:ステートフル フェールオーバーを使用していません。

up:インターフェイスは実行中で、機能しています。

down:インターフェイスは管理上シャットダウンされたか、物理的にダウンしています。

failed:インターフェイスに障害が発生し、ステートフル データが渡されていません。

Stateful Obj

各フィールド型で、次の統計情報が表示されます。これらは、2 台の装置の間で送信されたステート情報パケットのカウンタです。フィールドは必ずしも、装置を通過するアクティブな接続を示すわけではありません。

xmit:相手装置に送信されたパケットの数

xerr:相手装置にパケットを送信中に発生したエラーの数

rcv:受信されたパケットの数

rerr:相手装置からパケットを受信中に発生したエラーの数

全般

ステートフル オブジェクトの総数。

sys cmd

論理更新システム コマンド(LOGIN、Stay Alive など)。

up time

アップタイム(アクティブ装置がスタンバイ装置に渡す値)。

RPC services

Remote Procedure Call(リモート プロシージャ コール)接続の情報。

TCP conn

TCP 接続の情報。

UDP conn

ダイナミック UDP 接続の情報。

ARP tbl

ダイナミック ARP テーブルの情報。

L2BRIDGE tbl

レイヤ 2 ブリッジ テーブルの情報(透過ファイアウォール モードのみ)。

Xlate_Timeout

接続変換タイムアウトの情報を示します。

VPN IKE upd

IKE 接続の情報。

VPN IPSEC upd

IPSec 接続の情報。

VPN CTCP upd

cTCP トンネル接続の情報。

VPN SDI upd

SDI AAA 接続の情報。

VPN DHCP upd

トンネル DHCP 接続の情報。

GTP PDP

GTP PDP アップデート情報。この情報は、inspect GTP がイネーブルの場合にのみ適用されます。

GTP PDPMCB

GTP PDPMCB アップデート情報。この情報は、inspect GTP がイネーブルの場合にのみ適用されます。

Logical Update Queue Information

各フィールド型で、次の統計情報が使用されます。

Cur:現在のパケット数

Max:最大パケット数

Total:合計パケット数

Recv Q

受信キューのステータス。

Xmit Q

送信キューのステータス。

show failover:Active/Active

次に、Active/Active フェールオーバーの show failover コマンドの出力例を示します。表示される情報の説明は 表 13-9 にあります。

hostname# show failover
 
Failover On
Failover unit Primary
Failover LAN Interface: third GigabitEthernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 4 seconds
Interface Policy 1
Monitored Interfaces 8 of 250 maximum
failover replication http
Group 1 last failover at: 13:40:18 UTC Dec 9 2004
Group 2 last failover at: 13:40:06 UTC Dec 9 2004
 
This host: Primary
Group 1 State: Active
Active time: 2896 (sec)
Group 2 State: Standby Ready
Active time: 0 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.11)S91(0.11)) status (Up)
admin Interface outside (10.132.8.5): Normal
admin Interface third (10.132.9.5): Normal
admin Interface inside (10.130.8.5): Normal
admin Interface fourth (10.130.9.5): Normal
ctx1 Interface outside (10.1.1.1): Normal
ctx1 Interface inside (10.2.2.1): Normal
ctx2 Interface outside (10.3.3.2): Normal
ctx2 Interface inside (10.4.4.2): Normal
 
Other host: Secondary
Group 1 State: Standby Ready
Active time: 190 (sec)
Group 2 State: Active
Active time: 3322 (sec)
 
slot 0: ASA-5530 hw/sw rev (1.0/7.0(0)79) status (Up Sys)
slot 1: SSM-IDS-20 hw/sw rev (1.0/5.0(0.1)S91(0.1)) status (Up)
admin Interface outside (10.132.8.6): Normal
admin Interface third (10.132.9.6): Normal
admin Interface inside (10.130.8.6): Normal
admin Interface fourth (10.130.9.6): Normal
ctx1 Interface outside (10.1.1.2): Normal
ctx1 Interface inside (10.2.2.2): Normal
ctx2 Interface outside (10.3.3.1): Normal
ctx2 Interface inside (10.4.4.1): Normal
 
Stateful Failover Logical Update Statistics
Link : third GigabitEthernet0/2 (up)
Stateful Obj xmit xerr rcv rerr
General 1973 0 1895 0
sys cmd 380 0 380 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 1435 0 1450 0
UDP conn 0 0 0 0
ARP tbl 124 0 65 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 1 1895
Xmit Q: 0 0 1940
 

次に、Active/Active フェールオーバーの show failover group コマンドの出力例を示します。表示される情報は show failover コマンドの情報と同様ですが、指定されたグループの情報に限定されています。表示される情報の説明は 表 13-9 にあります。

 
hostname# show failover group 1
 
Last Failover at: 04:09:59 UTC Jan 4 2005
 
This host: Secondary
State: Active
Active time: 186 (sec)
 
admin Interface outside (192.168.5.121): Normal
admin Interface inside (192.168.0.1): Normal
 
 
Other host: Primary
State: Standby
Active time: 0 (sec)
 
admin Interface outside (192.168.5.131): Normal
admin Interface inside (192.168.0.11): Normal
 
Stateful Failover Logical Update Statistics
Status: Configured.
RPC services 0 0 0 0
TCP conn 33 0 0 0
UDP conn 0 0 0 0
ARP tbl 12 0 0 0
Xlate_Timeout 0 0 0 0
GTP PDP 0 0 0 0
GTP PDPMCB 0 0 0 0
SIP Session 0 0 0 0
 

 

表 13-9 show failover の表示の説明

フィールド
オプション

フェールオーバー

On

Off

Failover Unit

Primary または Secondary

Failover LAN Interface

フェールオーバー リンクの論理名または物理名が表示されます。

Unit Poll frequency

hello メッセージがピア装置に送信される間隔の秒数と、装置がフェールオーバー リンクで hello メッセージを受信する待機時間の秒数が表示されます。この待機時間を超えて hello メッセージを受信しない場合、ピアに障害が発生したと宣言されます。

Interface Poll frequency

n seconds

failover polltime interface コマンドで設定した秒数です。デフォルトは、15 秒です。

Interface Policy

数または割合が表示されます。この数または割合を超えたインターフェイスが故障すると、フェールオーバーがトリガーされます。

Monitored Interfaces

監視中のインターフェイス数と、監視可能最大インターフェイス数が表示されます。

Group 1 Last Failover at:

Group 2 Last Failover at:

各グループの最後のフェールオーバーの日付と時刻。形式は次のとおりです。

hh : mm : ss UTC DayName Month Day yyyy

UTC(世界標準時)は、GMT(グリニッジ標準時)と同じです。

This host:

Other host:

ホストごとに、次の情報が表示されます。

Role

Primary または Secondary

System State

Active または Standby Ready

アクティブ時間(秒)

Group 1 State

Group 2 State

Active または Standby Ready

アクティブ時間(秒)

slot x

スロットのモジュールに関する情報、または空。

context Interface name ( n . n . n . n ):

インターフェイスごとに、各装置で現在使用している IP アドレス、および次の状態のいずれかが表示されます。

Failed:インターフェイスに障害が発生しました。

No Link:インターフェイスの回線プロトコルがダウンしています。

Normal:インターフェイスが正しく動作しています。

Link Down:インターフェイスは管理上シャットダウンされました。

Unknown:adaptive security applianceがインターフェイスのステータスを判別できません。

Waiting:相手装置のネットワーク インターフェイスの監視はまだ開始されていません。

Stateful Failover Logical Update Statistics

次のフィールドは、ステートフル フェールオーバー機能に関係します。Link フィールドにインターフェイス名が表示されている場合、ステートフル フェールオーバー統計情報が表示されます。

Link

interface_name :ステートフル フェールオーバー リンクに使用するインターフェイス。

Unconfigured:ステートフル フェールオーバーを使用していません。

up:インターフェイスは実行中で、機能しています。

down:インターフェイスは管理上シャットダウンされたか、物理的にダウンしています。

failed:インターフェイスに障害が発生し、ステートフル データが渡されていません。

Stateful Obj

各フィールド型で、次の統計情報が使用されます。これらは、2 台の装置の間で送信されたステート情報パケットのカウンタです。フィールドは必ずしも、装置を通過するアクティブな接続を示すわけではありません。

xmit:相手装置に送信されたパケットの数

xerr:相手装置にパケットを送信中に発生したエラーの数

rcv:受信されたパケットの数

rerr:相手装置からパケットを受信中に発生したエラーの数

全般

ステートフル オブジェクトの総数。

sys cmd

論理更新システム コマンド(LOGIN、Stay Alive など)。

up time

アップタイム(アクティブ装置がスタンバイ装置に渡す値)。

RPC services

Remote Procedure Call(リモート プロシージャ コール)接続の情報。

TCP conn

TCP 接続の情報。

UDP conn

ダイナミック UDP 接続の情報。

ARP tbl

ダイナミック ARP テーブルの情報。

L2BRIDGE tbl

レイヤ 2 ブリッジ テーブルの情報(透過ファイアウォール モードのみ)。

Xlate_Timeout

接続変換タイムアウトの情報を示します。

VPN IKE upd

IKE 接続の情報。

VPN IPSEC upd

IPSec 接続の情報。

VPN CTCP upd

cTCP トンネル接続の情報。

VPN SDI upd

SDI AAA 接続の情報。

VPN DHCP upd

トンネル DHCP 接続の情報。

GTP PDP

GTP PDP アップデート情報。この情報は、inspect GTP がイネーブルの場合にのみ適用されます。

GTP PDPMCB

GTP PDPMCB アップデート情報。この情報は、inspect GTP がイネーブルの場合にのみ適用されます。

Logical Update Queue Information

各フィールド型で、次の統計情報が使用されます。

Cur:現在のパケット数

Max:最大パケット数

Total:合計パケット数

Recv Q

受信キューのステータス。

Xmit Q

送信キューのステータス。

監視対象インターフェイスの表示

監視対象インターフェイスのステータスを表示するには、次のコマンドを入力します。シングルコンテキスト モードの場合は、グローバル コンフィギュレーション モードでこのコマンドを入力します。マルチコンテキスト モードの場合は、コンテキスト内でこのコマンドを入力します。

primary/context(config)# show monitor-interface
 

次の例を参考にしてください。

hostname/context(config)# show monitor-interface
This host: Primary - Active
Interface outside (192.168.1.2): Normal
Interface inside (10.1.1.91): Normal
Other host: Secondary - Standby
Interface outside (192.168.1.3): Normal
Interface inside (10.1.1.100): Normal

実行コンフィギュレーション内のフェールオーバー コマンドの表示

実行コンフィギュレーション内のフェールオーバー コマンドを表示するには、次のコマンドを入力します。

hostname(config)# show running-config failover
 

すべてのフェールオーバー コマンドが表示されます。マルチコンテキスト モードで動作中の装置の場合は、システム実行スペースでこのコマンドを入力します。 show running-config all failover を入力すると、実行コンフィギュレーション内のフェールオーバー コマンドが表示され、デフォルト値を変更していないコマンドが含まれています。

フェールオーバー機能のテスト

フェールオーバーの機能をテストするには、次の手順を実行します。


ステップ 1 ファイルを(FTP などで)異なるインターフェイス上のホスト間で送信し、アクティブ装置またはフェールオーバー グループが予期したとおりにトラフィックを渡すかテストします。

ステップ 2 次のコマンドを入力して、スタンバイ装置に強制的にフェールオーバーします。

Active/Standby フェールオーバーの場合は、アクティブ装置で次のコマンドを入力します。

hostname(config)# no failover active
 

Active/Active フェールオーバーの場合は、ホストを接続するインターフェイスを含むフェールオーバー グループがアクティブである装置で、次のコマンドを入力します。

hostname(config)# no failover active group group_id
 

 

ステップ 3 FTP を使用して、同じ 2 つのホスト間で別のファイルを送信します。

ステップ 4 テストに成功しなかった場合は、 show failover コマンドを入力して、フェールオーバー ステータスをチェックします。

ステップ 5 終了したら、次のコマンドを入力して、装置またはフェールオーバー グループをアクティブ状態に復元できます。

Active/Standby フェールオーバーの場合は、アクティブ装置で次のコマンドを入力します。

hostname(config)# failover active
 

Active/Active フェールオーバーの場合は、ホストを接続するインターフェイスを含むフェールオーバー グループがアクティブである装置で、次のコマンドを入力します。

hostname(config)# failover active group group_id
 


 

フェールオーバーの制御およびモニタリング

ここでは、フェールオーバーの制御方法および監視方法について説明します。この項は、次の内容で構成されています。

「強制フェールオーバー」

「フェールオーバーのディセーブル化」

「故障した装置またはフェールオーバー グループの復元」

「フェールオーバーのモニタリング」

強制フェールオーバー

スタンバイ装置またはフェールオーバー グループを強制的にアクティブにするには、次のいずれかのコマンドを入力します。

Active/Standby フェールオーバーの場合

スタンバイ装置で次のコマンドを入力します。

hostname# failover active
 

または、アクティブ装置で次のコマンドを入力します。

hostname# no failover active
 

Active/Active フェールオーバーの場合

フェールオーバー グループがスタンバイ状態の装置のシステム実行スペースで、次のコマンドを入力します。

hostname# failover active group group_id
 

または、フェールオーバー グループがアクティブ状態の装置のシステム実行スペースで、次のコマンドを入力します。

hostname# no failover active group group_id
 

システム実行スペースで次のコマンドを入力すると、すべてのフェールオーバー グループがアクティブになります。

hostname# failover active
 

フェールオーバーのディセーブル化

フェールオーバーをディセーブルにするには、次のコマンドを入力します。

hostname(config)# no failover
 

Active/Standby ペアのフェールオーバーをディセーブルにすると、各装置のアクティブおよびスタンバイ状態が、再起動するまで維持されます。たとえば、スタンバイ装置はスタンバイ モードのままなので、両方の装置はトラフィックを渡し始めません。スタンバイ装置をアクティブにするには(フェールオーバーがディセーブル状態でも)、「強制フェールオーバー」を参照してください。

Active/Active フェールオーバー ペアのフェールオーバーをディセーブルにすると、どの装置が優先に設定されているかに関係なく、フェールオーバー グループは現在そのグループがアクティブになっている装置上でそのままアクティブ状態を維持します。システム実行スペースに no failover コマンドを入力します。

故障した装置またはフェールオーバー グループの復元

故障した装置を故障していない状態に復元するには、次のコマンドを入力します。

hostname(config)# failover reset
 

故障した Active/Active フェールオーバー グループを故障していない状態に復元するには、次のコマンドを入力します。

hostname(config)# failover reset group group_id
 

故障した装置またはグループを故障していない状態にしても自動的にアクティブになりません。復元された装置またはグループは、(強制または通常の)フェールオーバーによってアクティブにされるまで、スタンバイ状態のままになっています。例外は、 preempt コマンドで設定されたフェールオーバー グループです。前にアクティブであった場合、フェールオーバー グループは、 preempt コマンドで設定されていて、故障したときの装置が優先設定の装置であると、アクティブになります。

フェールオーバーのモニタリング

フェールオーバーが行われると、両方のadaptive security applianceからシステム メッセージが送信されます。この項は、次の内容で構成されています。

「フェールオーバー システム メッセージ」

「デバッグ メッセージ」

「SNMP」

フェールオーバー システム メッセージ

adaptive security applianceは、優先度 2 でフェールオーバーに関連したいくつかのシステム メッセージを発行します。優先度 2 は、クリティカルな状態を示します。これらのメッセージを表示するには、『 Cisco ASA 5580 Adaptive Security Appliance System Log Messages Guide 』を参照してロギングをイネーブルにし、システム メッセージの説明を参考にしてください。


) 切り替え中に、フェールオーバーが論理的にシャットダウンされ、その後インターフェイスが起動されて、syslog 411001 および 411002 メッセージが生成されます。これは、正常なアクティビティです。


デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、『 Cisco ASA 5580 Adaptive Security Appliance Command Reference 』を参照してください。


) デバッグ出力は CPU プロセスで高優先順位が割り当てられているため、システム パフォーマンスに大幅に影響することがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティング セッションの間に限り debug fover コマンドを使用してください。


SNMP

フェールオーバー用の SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、Cisco syslog MIB をコンパイルして SNMP 管理ステーションに組み込みます。詳細については、『 Cisco Security Appliance Command Reference 』の snmp-server コマンドおよび logging コマンドのページを参照してください。

リモート コマンドの実行

リモート コマンドを実行すると、コマンド ラインで入力したコマンドを特定のフェールオーバー ピアに送信できます。

コンフィギュレーション コマンドはアクティブ状態の装置またはコンテキストからスタンバイ状態の装置またはコンテキストに複製されるため、どちらの装置にログインしていても failover exec コマンドで正しい装置にコンフィギュレーション コマンドを入力できます。たとえば、スタンバイ装置にログインしている場合、 failover exec active コマンドを使用するとコンフィギュレーションの変更をアクティブ装置に送信できます。これらの変更はその後でスタンバイ装置に複製されます。 failover exec コマンドでコンフィギュレーション コマンドをスタンバイ状態の装置またはコンテキストに送信しないようにしてください。これらのコンフィギュレーションの変更はアクティブ装置には複製されず、2 つのコンフィギュレーションが同期化されることもありません。

configuration、exec、 show の各コマンドの出力は現在のターミナル セッションで表示されます。そのため、 failover exec コマンドにより show コマンドをピア装置で発行すると、結果を現在の端末で表示できます。

ローカル装置でのコマンド実行によりピア装置でコマンドを実行するには、十分な権限が必要です。

フェールオーバー ピアにコマンドを送信するには、次の手順を実行します。


ステップ 1 マルチコンテキスト モードの場合は、 changeto コマンドを使用して、設定対象のコンテキストに変更します。 failover exec コマンドではフェールオーバー ピアのコンテキストを変更できません。

シングル コンテキスト モードの場合は、次の手順に進みます。

ステップ 2 次のコマンドを使用して、指定したフェールオーバー装置にコマンドを送信します。

hostname(config)# failover exec {active | mate | standby}
 

active または standby キーワードを使用すると、コマンドは指定した装置で実行されます。この処理は、指定した装置が現在の装置であっても行われます。 mate キーワードを使用すると、コマンドはフェールオーバー ピアで実行されます。

コマンド モードを変更するコマンドを実行しても、現在のセッションのプロンプトは変更されません。コマンドの実行に使用しているコマンド モードを表示するには、 show failover exec コマンドを使用します。詳細については、「コマンド モードの変更」を参照してください。


 

コマンド モードの変更

failover exec コマンドでは、現在のターミナル セッションのコマンド モードとは別のコマンド モード状態が維持されます。デフォルトでは、指定した装置での failover exec コマンド モードは、最初はグローバル コンフィギュレーション モードです。コマンド モードを変更するには、 failover exec コマンドを使用して所定のコマンド( interface コマンドなど)を送信します。 failover exec を使用してモードを変更しても、セッション プロンプトは変わりません。

たとえば、フェールオーバー ペアのアクティブ装置のグローバル コンフィギュレーション モードにログインしていて、 failover exec active コマンドを使用してインターフェイス コンフィギュレーション モードに変更した場合、端末のプロンプトはグローバル コンフィギュレーション モードのままですが、 failover exec により入力されたコマンドはインターフェイス コンフィギュレーション モードで入力されます。

次の例は、ターミナル セッション モードと failover exec コマンド モードの違いを示しています。この例では、管理者がアクティブ装置の failover exec モードをインターフェイス GigabitEthernet0/1 のインターフェイス コンフィギュレーション モードに変更しています。その後、 failover exec active により入力されたすべてのコマンドはインターフェイス GigabitEthernet0/1 のインターフェイス コンフィギュレーション モードに送信されます。その後、管理者は failover exec active を使用してそのインターフェイスに IP アドレスを割り当てます。プロンプトはグローバル コンフィギュレーション モードを示しますが、 failover exec active モードはインターフェイス コンフィギュレーション モードです。

hostname(config)# failover exec active interface GigabitEthernet0/1
hostname(config)# failover exec active ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2
hostname(config)# router rip
hostname(config-router)#
 

装置への現在のセッションのコマンド モードを変更しても、 failover exec コマンドで使用するコマンド モードには影響しません。アクティブ装置でインターフェイス コンフィギュレーション モードになっていて、 failover exec コマンド モードが変更されていない場合、次のコマンドがグローバル コンフィギュレーション モードで実行されます。これにより、装置へのセッションはインターフェイス コンフィギュレーション モードのままで、 failover exec active で入力されたコマンドは指定されたルーティング プロセスのルータ コンフィギュレーション モードに送信されます。

hostname(config-if)# failover exec active router ospf 100
hostname(config-if)#
 

show failover exec コマンドを使用して、 failover exec コマンドで送信されたコマンドを実行するよう指定された装置のコマンド モードを表示します。 show failover exec コマンドでは、failover exec コマンドと同様に active mate 、または standby などのキーワードを使用できます。各装置の failover exec モードは個別に追跡されます。

たとえば、次の例はスタンバイ装置で入力された show failover exec コマンドの出力例です。

hostname(config)# failover exec active interface GigabitEthernet0/1
hostname(config)# sh failover exec active
Active unit Failover EXEC is at interface sub-command mode
 
hostname(config)# sh failover exec standby
Standby unit Failover EXEC is at config mode
 
hostname(config)# sh failover exec mate
Active unit Failover EXEC is at interface sub-command mode
 

セキュリティに関する考慮事項

failover exec コマンドは、フェールオーバー リンクを使用して、ピア装置へのコマンドの送信とピア装置でのコマンド実行の出力の受信を行います。 failover key コマンドを使用してフェールオーバー リンクを暗号化し、情報の漏えいや介入者攻撃を防ぐ必要があります。

リモート コマンドの実行に関する制限事項

ゼロダウンタイム アップグレードにより一方の装置だけをアップグレードしてもう一方の装置をアップグレードしていない場合、両方の装置が failover exec コマンドをサポートしているソフトウェアを実行していないと、このコマンドは正常に機能しません。

cmd_string 引数のコマンドに対しては、コマンドの完成とコンテキスト ヘルプは使用できません。

マルチ コンテキスト モードでは、ピア装置のピア コンテキストにしかコマンドを送信できません。他のコンテキストにコマンドを送信するには、まず現在ログインしている装置にあるそのコンテキストに変更する必要があります。

次のコマンドは failover exec コマンドでは実行できません。

changeto

debug undebug

スタンバイ装置が故障状態にある場合でも、故障の原因がサービス カードの障害であれば、この装置は failover exec コマンドによるコマンドを受信できます。原因がそれ以外の場合は、リモート コマンドの実行は失敗します。

failover exec コマンドを使用してフェールオーバー ピアで特権 EXEC モードからグローバル コンフィギュレーション モードに切り替えることはできません。たとえば、現在の装置が特権 EXEC モードである場合に failover exec mate configure terminal を入力すると、 show failover exec mate の出力には failover exec セッションがグローバル コンフィギュレーション モードであることが示されます。しかし、現在の装置をグローバル コンフィギュレーション モードにしない限り、 failover exec でピア装置のコンフィギュレーション コマンドを入力しても失敗します。

循環 failover exec コマンド( failover exec mate failover exec mate コマンド など)を入力することはできません。

ユーザによる入力や確認が必要なコマンドでは /nonconfirm オプションが必要です。

フェールオーバー コンフィギュレーションでの Auto Update Server のサポート

Auto Update Server を使用すると、ソフトウェア イメージとコンフィギュレーション ファイルを Active/Standby フェールオーバー コンフィギュレーションのadaptive security applianceに展開できます。Active/Standby フェールオーバー コンフィギュレーションで Auto Update をイネーブルにするには、フェールオーバー ペアのプライマリ装置で Auto Update Server コンフィギュレーションを入力します。詳細については、「Auto Update サポートの設定」を参照してください。

フェールオーバー コンフィギュレーションでの Auto Update Server のサポートでは、次の制約事項と動作が発生します。

Active/Standby コンフィギュレーションはシングル モードでのみサポートされます。

新しいプラットフォーム ソフトウェア イメージをロードすると、フェールオーバー ペアはトラフィックの伝送を停止します。

LAN ベースのフェールオーバーを使用する場合、新しいコンフィギュレーションがフェールオーバー リンク コンフィギュレーションを変更しないようにする必要があります。変更された場合、装置間の通信が失敗します。

Auto Update Server へのコール ホームを実行できるのはプライマリ装置のみです。コール ホームを行うには、プライマリ装置がアクティブ状態である必要があります。アクティブ状態でない場合、adaptive security applianceは自動的にプライマリ装置にフェールオーバーします。

ソフトウェア イメージやコンフィギュレーション ファイルをダウンロードできるのはプライマリ装置のみです。ソフトウェア イメージやコンフィギュレーションはセカンダリ装置にコピーされます。

インターフェイス MAC アドレスとハードウェア シリアル ID はプライマリ装置のものです。

Auto Update Server または HTTP サーバに保存されたコンフィギュレーション ファイルはプライマリ装置でのみ使用されます。

Auto Update Process の概要

ここでは、フェールオーバー コンフィギュレーションでの Auto Update プロセスの概要を説明します。このプロセスでは、フェールオーバーがイネーブルで正常に動作している必要があります。装置がコンフィギュレーションを同期化している場合、スタンバイ装置が SSM カードの障害以外の理由で故障状態の場合、またはフェールオーバー リンクが停止している場合は、Auto Update プロセスは実行されません。

1. 両方の装置がプラットフォームと ASDM ソフトウェアのチェックサムおよびバージョン情報を交換します。

2. プライマリ装置が Auto Update Server に接続します。プライマリ装置がアクティブ状態でない場合、adaptive security applianceはまずプライマリ装置にフェールオーバーし、その後 Auto Update Server に接続します。

3. Auto Update Server が応答でソフトウェアのチェックサムと URL 情報を返します。

4. アクティブ装置とスタンバイ装置のいずれかでプラットフォーム イメージ ファイルのアップデートが必要であるとプライマリ装置が判断した場合、次の処理が行われます。

a. Auto Update Server から返された URL を使用して、プライマリ装置が所定のファイルを HTTP サーバから取得します。

b. プライマリ装置がイメージをスタンバイ装置にコピーし、その後プライマリ装置のイメージが更新されます。

c. 両方の装置に新しいイメージがある場合、セカンダリ(スタンバイ)装置が先にリロードされます。

セカンダリ装置のブート時にヒットレス アップグレードが実行可能な場合、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。プライマリ装置のロードが完了すると、プライマリ装置がアクティブ装置になります。

スタンバイ装置のブート時にヒットレス アップグレードが実行可能でない場合、両方の装置が同時にリロードされます。

d. セカンダリ(スタンバイ)装置のみに新しいイメージがある場合、セカンダリ装置のみがリロードされます。プライマリ装置はセカンダリ装置のリロードが完了するまで待機します。

e. プライマリ(アクティブ)装置のみに新しいイメージがある場合、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。

f. アップデート プロセスがステップ 1 から再開されます。

5. アクティブ装置とスタンバイ装置のいずれかで ASDM ファイルのアップデートが必要であるとadaptive security applianceが判断した場合、次の処理が行われます。

a. Auto Update Server から返された URL を使用して、プライマリ装置が ASDM イメージ ファイルを HTTP サーバから取得します。

b. 必要があれば、プライマリ装置は ASDM イメージをスタンバイ装置にコピーします。

c. プライマリ装置にある ASDM イメージがプライマリ装置によりアップデートされます。

d. アップデート プロセスがステップ 1 から再開されます。

6. コンフィギュレーションのアップデートが必要であるとプライマリ装置が判断した場合、次の処理が行われます。

a. 指定された URL からプライマリ装置がコンフィギュレーション ファイルを取得します。

b. 両方の装置で同時に古いコンフィギュレーションが新しいコンフィギュレーションに置き換えられます。

c. アップデート プロセスがステップ 1 から再開されます。

7. チェックサムがすべてのイメージおよびコンフィギュレーション ファイルと一致する場合は、アップデートは必要ありません。プロセスが終了し、次のポーリング時間までプロセスは実行されません。

Auto Update プロセスのモニタリング

debug auto-update client コマンドまたは debug fover cmd-exe コマンドを使用すると、Auto Update プロセス中に実行されるアクションを表示できます。次に、 debug auto-update client コマンドの出力例を示します。

Auto-update client: Sent DeviceDetails to /cgi-bin/dda.pl of server 192.168.0.21
Auto-update client: Processing UpdateInfo from server 192.168.0.21
Component: asdm, URL: http://192.168.0.21/asdm.bint, checksum: 0x94bced0261cc992ae710faf8d244cf32
Component: config, URL: http://192.168.0.21/config-rms.xml, checksum: 0x67358553572688a805a155af312f6898
Component: image, URL: http://192.168.0.21/cdisk73.bin, checksum: 0x6d091b43ce96243e29a62f2330139419
Auto-update client: need to update img, act: yes, stby yes
name
ciscoasa(config)# Auto-update client: update img on stby unit...
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 9001, len = 1024
auto-update: Fover file copy waiting at clock tick 6129280
fover_parse: Rcvd file copy ack, ret = 0, seq = 4
auto-update: Fover filecopy returns value: 0 at clock tick 6150260, upd time 145980 msecs
Auto-update client: update img on active unit...
fover_parse: Rcvd image info from mate
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
Beginning configuration replication: Sending to mate.
auto-update: HA safe reload: reload active waiting with mate state: 50
auto-update: HA safe reload: reload active waiting with mate state: 50
 
auto-update: HA safe reload: reload active waiting with mate state: 80
Sauto-update: HA safe reload: reload active unit at clock tick: 6266860
Auto-update client: Succeeded: Image, version: 0x6d091b43ce96243e29a62f2330139419
 

Auto Update プロセスが失敗した場合は、次のシステム ログ メッセージが生成されます。

%ASA4-612002: Auto Update failed: file version: version reason: reason
 

file は「image」、「asdm」、「configuration」のいずれかで、失敗したアップデートの内容により異なります。 version はアップデートのバージョン番号です。 reason はアップデートが失敗した理由です。