Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI8.2 を使用)
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバーの設定
発行日;2012/02/01 | 英語版ドキュメント(2011/09/19 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 21MB) | フィードバック

目次

Active/Standby フェールオーバーの設定

Active/Standby フェールオーバー設定値の設定

Active/Standby フェールオーバーに関する情報

Active/Standby フェールオーバーの概要

Primary/Secondary ステータスと Active/Standby ステータス

装置の初期化とコンフィギュレーションの同期

コマンドの複製

フェールオーバーのトリガー

フェールオーバーのアクション

Active/Standby フェールオーバーのライセンス要件

Active/Standby フェールオーバーの前提条件

ガイドラインと制限事項

LAN ベースの Active/Standby フェールオーバーの設定

Active/Standby フェールオーバーの設定のタスク フロー

プライマリ装置の設定

セカンダリ装置の設定

Active/Standby フェールオーバーの監視

オプションの Active/Standby フェールオーバー設定値の設定

オプションの Active/Standby フェールオーバー設定に関する情報

オプションの Active/Standby フェールオーバー設定のライセンス要件

オプションの Active/Standby フェールオーバー設定のガイドラインと制限事項

オプションの Active/Standby フェールオーバー設定値の設定

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

インターフェイス モニタリングのディセーブル化とイネーブル化

インターフェイス ヘルス モニタリングの設定

フェールオーバー基準の設定

仮想 MAC アドレスの設定

オプションの Active/Standby フェールオーバー設定の監視

オプションの Active/Standby フェールオーバー設定の機能履歴

Active/Standby フェールオーバーの設定

この章では、Active/Standby フェールオーバーを設定する方法について説明します。次の項目を取り上げます。

「Active/Standby フェールオーバー設定値の設定」

「オプションの Active/Standby フェールオーバー設定値の設定」

Active/Standby フェールオーバー設定値の設定

この項は、次の内容で構成されています。

「Active/Standby フェールオーバーに関する情報」

「Active/Standby フェールオーバーのライセンス要件」

「Active/Standby フェールオーバーの前提条件」

「ガイドラインと制限事項」

「LAN ベースの Active/Standby フェールオーバーの設定」

「Active/Standby フェールオーバーの監視」

Active/Standby フェールオーバーの概要

Active/Standby フェールオーバーでは、スタンバイ適応型セキュリティ アプライアンスを使用して、障害の発生した装置の機能を引き継ぐことができます。アクティブ装置が故障すると、スタンバイ状態に変わり、そしてスタンバイ装置がアクティブ状態に変わります。アクティブになる装置が、障害の発生した装置の IP アドレス(または、透過ファイアウォールの場合は管理 IP アドレス)および MAC アドレスを引き継いで、トラフィックの転送を開始します。現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク装置は、MAC と IP アドレスの組み合せについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。


) マルチコンテキスト モードの場合、適応型セキュリティ アプライアンスは装置全体(すべてのコンテキストを含む)をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーすることはできません。


Primary/Secondary ステータスと Active/Standby ステータス

フェールオーバー ペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。この規則の例外は、セカンダリ装置がアクティブであり、フェールオーバー リンク経由でプライマリ装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アドレスが使用されます。

装置の初期化とコンフィギュレーションの同期

コンフィギュレーションの同期は、フェールオーバー ペアの一方または両方の装置がブートされると行われます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。スタンバイ装置は、その初期スタートアップを完了すると、自分の実行コンフィギュレーションを削除し(アクティブ装置との通信に必要なフェールオーバー コマンドを除く)、アクティブ装置は自分のコンフィギュレーション全体をスタンバイ装置に送信します。

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。


) セカンダリ装置がブートされてプライマリ装置を検出できないと、その装置はアクティブ装置になります。アクティブ IP アドレスには、セカンダリ装置自体の MAC アドレスを使用します。しかし、プライマリ装置が使用可能になると、セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。これを回避するには、フェールオーバー ペアを仮想 MAC アドレスで設定します。詳細については、「仮想 MAC アドレスの設定」を参照してください。


複製が開始されると、アクティブ装置の適応型セキュリティ アプライアンス コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、適応型セキュリティ アプライアンスに「End Configuration Replication to mate」というメッセージが表示されます。複製中、アクティブ装置に入力されたコマンドがスタンバイ装置に適切に複製されないことがあり、またスタンバイ装置に入力されたコマンドが、アクティブ装置から複製されているコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。


crypto ca server コマンドおよび関連するサブコマンドは、フェールオーバー ピアに同期化されません。


スタンバイ装置の場合、コンフィギュレーションは実行メモリにだけ存在します。同期化後にコンフィギュレーションをフラッシュ メモリに保存するには、次のようにします。

シングルコンテキスト モードの場合は、アクティブ装置で write memory コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードの場合は、システム実行スペースからアクティブ装置で write memory all コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。このコマンドで all キーワードを使用すると、システムとすべてのコンテキスト コンフィギュレーションが保存されます。


) 外部のサーバに保存されたスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。スタンバイ装置で、装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

コマンドの複製は常に、アクティブ装置からスタンバイ装置の方向に行われます。アクティブ装置にコマンドを入力すると、そのコマンドがフェールオーバー リンクを通してスタンバイ装置に送信されます。コマンドを複製する場合、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。

表 33-1 は、スタンバイ装置に複製されるコマンドと複製されないコマンドです。

 

表 33-1 コマンドの複製

スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド

mode firewall 、および failover lan unit コマンドを除く、すべてのコンフィギュレーションのコマンド

copy running-config startup-config を除く、すべての形式の copy コマンド

copy running-config startup-config

write memory を除く、すべての形式の write コマンド

delete

crypto ca server および関連するサブコマンド

mkdir

debug

rename

failover lan unit

rmdir

firewall

write memory

mode

--

show

--

terminal pager および pager


) スタンバイ装置上で行った変更は、アクティブ装置に複製されません。スタンバイ装置にコマンドを入力すると、適応型セキュリティ アプライアンスに「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit. Configurations are no longer synchronized」というメッセージが表示されます。このメッセージは、コンフィギュレーションに影響しない数多くのコマンドを入力したときにも表示されます。


アクティブ装置に write standby コマンドを入力すると、スタンバイ装置で実行コンフィギュレーションが削除され(アクティブ装置との通信に使用するフェールオーバー コマンドを除く)、アクティブ装置のコンフィギュレーション全体がスタンバイ装置に送信されます。

マルチコンテキスト モードの場合、システム実行スペースに write standby コマンドを入力すると、すべてのコンテキストが複製されます。あるコンテキスト内で write standby コマンドを入力すると、コマンドはそのコンテキスト コンフィギュレーションだけを複製します。

複製されたコマンドは、実行コンフィギュレーションに保存されます。スタンバイ装置のフラッシュ メモリに複製されたコマンドを保存するには、次のように行います。

シングルコンテキスト モードの場合は、アクティブ装置で copy running-config startup-config コマンドを使用します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。

マルチコンテキスト モードの場合は、システム実行スペースおよびディスク上の各コンテキスト内からアクティブ装置に copy running-config startup-config コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュ メモリに書き込まれます。外部のサーバにスタートアップ コンフィギュレーションがあるコンテキストは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。

フェールオーバーのトリガー

次のいずれかのイベントが発生した場合、装置が故障する可能性があります。

装置でハードウェア障害または電源断が発生した。

装置でソフトウェア障害が発生した。

多くの監視対象インターフェイスが故障した。

no failover active コマンドがアクティブ装置に入力されたか、 failover active コマンドがスタンバイ装置に入力された。

フェールオーバーのアクション

Active/Standby フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチコンテキスト モードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

表 33-2 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 33-2 フェールオーバー動作

障害の状況
ポリシー
アクティブ アクション
スタンバイ アクション

アクティブ装置が故障(電源またはハードウェア)

フェールオーバー

該当なし

アクティブになる

アクティブに故障とマークする

監視対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーなし

スタンバイになる

動作なし

なし

スタンバイ装置が故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

該当なし

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

フェールオーバー インターフェイスに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

アクティブ装置におけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし

スタンバイ装置におけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

Active/Standby フェールオーバーのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

Security Plus ライセンス (ステートフル フェールオーバーはサポートされません)

他のすべてのモデル

基本ライセンス

Active/Standby フェールオーバーの前提条件

Active/Standby フェールオーバーには、次の前提条件があります。

両方の装置が同じセキュリティ アプライアンスであり、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。

両方の装置が、同じソフトウェア コンフィギュレーションと適切なライセンスを備えている必要があります。

両方の装置のモード(シングルまたはマルチ、透過またはルーテッド)が同じである必要があります。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マルチコンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

ファイアウォール モードのガイドライン

透過ファイアウォール モードまたはルーテッド ファイアウォール モードでだけサポートされます。

IPv6 のガイドライン

このリリースでは IPv6 フェールオーバーはサポートされません。

モデルのガイドライン

ステートフル フェールオーバーは、Cisco ASA 5505 適応型セキュリティ アプライアンスでサポートされません。

その他のガイドラインと制限事項

Active/Standby フェールオーバーには、次のガイドラインと制限事項が適用されます。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。

スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用され、アクティブ IP アドレスと同じサブネットに存在する必要があります。

フェールオーバー ペアのアクティブ装置で terminal pager コマンドまたは pager コマンドを入力した場合、アクティブなコンソール端末のページ設定は変更されますが、スタンバイ装置の設定は変更されません。アクティブ装置で発行されたデフォルト コンフィギュレーションは、スタンバイ装置の動作にも影響を与えます。

LAN ベースの Active/Standby フェールオーバーの設定

ここでは、イーサネット フェールオーバー リンクを使用して Active/Standby フェールオーバーを設定する方法について説明します。


) ケーブルベースのフェールオーバーから LAN ベースのフェールオーバーに変更する場合、ケーブルベースのフェールオーバー コンフィギュレーションで完了している手順(各インターフェイスのアクティブ IP アドレスおよびスタンバイ IP アドレスの割り当てなど)はスキップできます。


この項は、次の内容で構成されています。

「Active/Standby フェールオーバーの設定のタスク フロー」

「プライマリ装置の設定」

「セカンダリ装置の設定」

Active/Standby フェールオーバーの設定のタスク フロー

Active/Standby フェールオーバーを設定するには、次の手順を実行します。


ステップ 1 「プライマリ装置の設定」に従って、プライマリ装置を設定します。

ステップ 2 「セカンダリ装置の設定」に従って、セカンダリ装置を設定します。

ステップ 3 (オプション)「オプションの Active/Standby フェールオーバー設定値の設定」に従って、オプションの Active/Standby フェールオーバー設定を行います。


 

プライマリ装置の設定

この項の手順に従って、LAN ベースの Active/Standby フェールオーバー コンフィギュレーションでプライマリ装置を設定します。この手順では、プライマリ装置でフェールオーバーをイネーブルにするために必要な最小のコンフィギュレーションが用意されています。

制限事項

専用のステートフル フェールオーバー インターフェイスを使用する場合は、ステートフル フェールオーバー リンクの IP アドレスは設定しないでください。専用のステートフル フェールオーバー インターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。

詳細な手順

 

コマンド
目的

ステップ 1

ip address active_addr netmask standby standby_addr
 
:
hostname/context(config-if)# ip address 10.1.1.1 255.255.255.0 standby 10.1.1.2

各データ インターフェイス(ルーテッド モード)、管理 IP アドレス(トランスペアレント モード)、または管理専用インターフェイスのアクティブおよびスタンバイ IP アドレスを設定します。

ルーテッド ファイアウォール モードおよび管理専用インターフェイスでは、このコマンドを各インターフェイスのコンフィギュレーション モードで入力します。

透過ファイアウォール モードでは、このコマンドをグローバル コンフィギュレーション モードで入力します。

マルチコンテキスト モードでは、各コンテキストからインターフェイス アドレスを設定します。 change to context コマンドを使用して、コンテキストを切り替えます。コマンド プロンプトが hostname/ context (config-if)# に変わります。ここで、 context は、現在のコンテキスト名です。透過ファイアウォール マルチコンテキスト モードで各コンテキストの管理 IP アドレスを入力する必要があります。

ステップ 2

failover lan unit primary

装置をプライマリ装置に指定します。

ステップ 3

failover lan interface if_name phy_if
 
hostname(config)# failover lan interface folink vlan100

フェールオーバー インターフェイスとして使用するインターフェイスを指定します。

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。

phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。ASA 5505 適応型セキュリティ アプライアンスでは、 phy_if は VLAN を指定します。このインターフェイスは、他の目的に使用しないでください(オプションのステートフル フェールオーバー リンクは除く)。

ステップ 4

failover interface ip if_name ip_addr mask standby ip_addr
 
:
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。

スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。フェールオーバー リンクのアクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

ステップ 5

interface phy_if
 
:
hostname(config)# interface vlan100
hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

ステップ 6

failover link if_name phy_if
 
xample :
hostname(config)# failover link folink vlan100

(オプション)ステートフル フェールオーバー リンクとして使用するインターフェイスを指定します。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、if_name 引数を指定することだけが必要です。


if_name 引数は、 phy_if 引数で指定されたインターフェイスに論理名を割り当てます。 phy_if 引数は、物理ポート名(Ethernet1 など)にすることも、すでに作成されているサブインターフェイス(Ethernet0/2.3 など)にすることもできます。このインターフェイスは、他の目的に使用しないでください(オプションのフェールオーバー リンクは除く)。

ステップ 7

failover interface ip if_name ip_addr mask standby ip_addr
 
:
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
 

(オプション)アクティブおよびスタンバイ IP アドレスをステートフル フェールオーバー リンクに割り当てます。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順をスキップします。インターフェイスのアクティブおよびスタンバイ IP アドレスは、すでに定義しています。


スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブネットである必要があります。スタンバイ アドレスのサブネット マスクを指定する必要はありません。

ステートフル フェールオーバー リンク IP アドレスおよび MAC アドレスは、データ インターフェイスを使用しない限り、フェールオーバー時に変更されません。アクティブ IP アドレスは、常にプライマリ装置にあります。スタンバイ IP アドレスは、セカンダリ装置にあります。

ステップ 8

interface phy_if
 
no shutdown
 
:
hostname(config)# interface vlan100
hostname(config-if)# no shutdown

(オプション)インターフェイスをイネーブルにします。


) ステートフル フェールオーバー リンクがフェールオーバー リンクまたはデータ インターフェイスを使用する場合は、この手順をスキップします。インターフェイスは、すでにイネーブルです。


ステップ 9

failover
 
例:
hostname(config)# failover

フェールオーバーをイネーブルにします。

ステップ 10

copy running-config startup-config
 
例:
hostname(config)# copy running-config startup-config

システム コンフィギュレーションをフラッシュ メモリに保存します。

セカンダリ装置の設定

セカンダリ装置に必要なコンフィギュレーションは、フェールオーバー インターフェイス用のコンフィギュレーションだけです。セカンダリ装置には、プライマリ装置と初期に通信するために、これらのコマンドが必要です。プライマリ装置がセカンダリ装置にコンフィギュレーションを送信した後、2 つのコンフィギュレーション間で唯一、不変の相違点は failover lan unit コマンドです。このコマンドで各装置がプライマリかセカンダリかを識別します。

前提条件

LAN ベースのフェールオーバーを設定するときは、セカンダリ装置がプライマリ装置から実行コンフィギュレーションを取得する前に、セカンダリ装置をブートストラップしてフェールオーバー リンクを認識させる必要があります。

詳細な手順

 

コマンド
目的

ステップ 1

failover lan interface if_name phy_if
 
:
hostname(config)# failover lan interface folink vlan100

フェールオーバー インターフェイスとして使用するインターフェイスを指定します。プライマリ装置に使用したものと同じ設定を使用します。

if_name 引数は、 phy_if 引数で指定されたインターフェイスに名前を割り当てます。

ステップ 2

failover interface ip if_name ip_addr mask standby ip_addr
 
:
hostname(config)# failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2

アクティブおよびスタンバイ IP アドレスをフェールオーバー リンクに割り当てます。フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。


) プライマリ装置にフェールオーバー インターフェイスを設定する場合(同じ IP アドレスを含む)、プライマリ装置でこのコマンドを入力するときは、正確に入力してください。


ステップ 3

interface phy_if
 
no shutdown
 
:
hostname(config)# interface vlan100
hostname(config-if)# no shutdown

インターフェイスをイネーブルにします。

ステップ 4

failover lan unit secondary
 
:
hostname(config)# failover lan unit secondary

(オプション)この装置をセカンダリ装置に指定します。


) 以前に設定されていない場合、装置はデフォルトでセカンダリに指定されているので、この手順はオプションです。


ステップ 5

failover
 
:
hostname(config)# failover

フェールオーバーをイネーブルにします。

フェールオーバーをイネーブルにすると、実行メモリのコンフィギュレーションがアクティブ装置からスタンバイ装置に送信されます。コンフィギュレーションが同期すると、メッセージ「Beginning configuration replication: Sending to mate」および「End Configuration Replication to mate」がアクティブ装置のコンソールに表示されます。

ステップ 6

copy running-config startup-config
 
:
hostname(config)# copy running-config startup-config

コンフィギュレーションをフラッシュ メモリに保存します。

実行コンフィギュレーションの複製が完了した後で、コマンドを入力します。

Active/Standby フェールオーバーの監視

Active/Standby フェールオーバーを監視するには、次のいずれかのコマンドを入力します。

 

コマンド
目的
show failover

装置のフェールオーバー ステータスについての情報を表示します。

show ip address

インターフェイスに割り当てられている IP アドレスを表示します。

次に、Active/Standby フェールオーバーの show failover コマンドの出力例を示します。適応型セキュリティ アプライアンスは ASA 5500 シリーズの適応型セキュリティ アプライアンスであり、各適応型セキュリティ アプライアンスのスロット 1 の詳細で示されているように、それぞれが CSC SSM を備えています。

hostname# show failover
 
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fover Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.3): Normal
Interface outside (10.132.9.3): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.3/24
CSC-SSM, 5.0 (Build#1176)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.4): Normal
Interface outside (10.132.9.4): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.4/24
CSC-SSM, 5.0 (Build#1176)
 
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj xmit xerr rcv rerr
General 0 0 0 0
sys cmd 1733 0 1733 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 6 0 0 0
UDP conn 0 0 0 0
ARP tbl 106 0 0 0
Xlate_Timeout 0 0 0 0
VPN IKE upd 15 0 0 0
VPN IPSEC upd 90 0 0 0
VPN CTCP upd 0 0 0 0
VPN SDI upd 0 0 0 0
VPN DHCP upd 0 0 0 0
SIP Session 0 0 0 0
 
Logical Update Queue Information
Cur Max Total
Recv Q: 0 2 1733
Xmit Q: 0 2 15225

 

オプションの Active/Standby フェールオーバー設定値の設定

オプションの Active/Standby フェールオーバー設定値は、最初にフェールオーバーを設定するときでも、フェールオーバーがすでに設定された後でも設定できます。特に注記がない限り、コマンドはアクティブ装置で入力する必要があります。

この項は、次の内容で構成されています。

「オプションの Active/Standby フェールオーバー設定に関する情報」

「オプションの Active/Standby フェールオーバー設定のライセンス要件」

「オプションの Active/Standby フェールオーバー設定のガイドラインと制限事項」

「オプションの Active/Standby フェールオーバー設定値の設定」

「オプションの Active/Standby フェールオーバー設定の監視」

「オプションの Active/Standby フェールオーバー設定の機能履歴」

オプションの Active/Standby フェールオーバー設定に関する情報

次の Active/Standby フェールオーバー オプションは、最初にフェールオーバーを設定するときに、またはフェールオーバーを設定した後で設定できます。

ステートフル フェールオーバーでの HTTP 複製:ステート情報の複製に接続を含めることができます。

インターフェイス モニタリング:装置の最大 250 のインターフェイスを監視し、フェールオーバーに影響を与えるインターフェイスを制御できます。

インターフェイス ヘルス モニタリング:セキュリティ アプライアンスがより早くインターフェイスの障害を検出して対応できるようにします。

フェールオーバー基準の設定:インターフェイス数または監視されているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

仮想 MAC アドレスの設定:セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。

オプションの Active/Standby フェールオーバー設定のライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

Security Plus ライセンス (ステートフル フェールオーバーはサポートされません)

他のすべてのモデル

基本ライセンス

オプションの Active/Standby フェールオーバー設定のガイドラインと制限事項

この項は、次の内容で構成されています。

「コンテキスト モードのガイドライン」

「ファイアウォール モードのガイドライン」

「モデルのガイドライン」

「その他のガイドラインと制限事項」

コンテキスト モードのガイドライン

シングルコンテキスト モードとマルチコンテキスト モードでサポートされています。

マルチコンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

ファイアウォール モードのガイドライン

透過ファイアウォール モードまたはルーテッド ファイアウォール モードでサポートされます。

モデルのガイドライン

ステートフル フェールオーバーは、Cisco ASA 5505 適応型セキュリティ アプライアンスでサポートされません。

IPv6 のガイドライン

このリリースでは IPv6 フェールオーバーはサポートされません。

その他のガイドラインと制限事項

オプションの Active/Standby フェールオーバー設定には、次のガイドラインと制限事項が適用されます。

インターフェイス モニタリングをイネーブルにすると、1 台の装置で最大 250 のインターフェイスを監視できます。

デフォルトでは、セキュリティ アプライアンスは、ステートフル フェールオーバーがイネーブルのときに THTTP セッションの情報を複製しません。HTTP セッションは一般に存続期間が短く、また通常 HTTP クライアントは接続試行が失敗すると通常はリトライするため、HTTP セッションを複製しなくてもデータや接続に重大な損失が発生することはなく、システムのパフォーマンスが向上します。failover replication http コマンドを使用するとステートフル フェールオーバー環境で HTTP セッションのステートフルな複製がイネーブルになりますが、システムのパフォーマンスが低下する可能性があります。

ステートフル フェールオーバーでの HTTP 複製のイネーブル化

HTTP 接続がステート情報複製に含まれるようにするには、HTTP 複製をイネーブルにする必要があります。THTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常はリトライするため、HTTP 接続は複製されるステート情報に自動的には含まれません。

次のコマンドをグローバル コンフィギュレーション モードで入力して、ステートフル フェールオーバーがイネーブル状態の場合に、HTTP ステート複製をイネーブルにします。

 

コマンド
目的

failover replication http

 

:

hostname (config)# failover replication http

HTTP ステート複製をイネーブルにします。

インターフェイス モニタリングのディセーブル化とイネーブル化

特定のインターフェイスのモニタリングをディセーブルにし、別のモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。この機能を使用すると、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

1 台の装置で最大 250 のインターフェイスを監視できます。デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。

インターフェイスのポーリング周期期間ごとに、セキュリティ アプライアンス フェールオーバー ペアの間で、hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと(25 秒間)、そのインターフェイスでテストが開始します。

監視対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

Normal:インターフェイスはトラフィックを受信しています。

Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

Link Down:インターフェイスまたは VLAN は管理のためにダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

Active/Active フェールオーバーでは、このコマンドはコンテキスト内でだけ有効です。

マルチコンフィギュレーション モードの装置の場合は、次のコマンドを入力して特定のインターフェイスのインターフェイス モニタリングをイネーブルまたはディセーブルにします。

 

次のいずれかを実行します。

no monitor-interface if_name
 
:
hostname/context (config)# no monitor-interface lanlink

インターフェイスのヘルス モニタリングをディセーブルにします。

monitor-interface if_name
 
:
hostname/context (config)# monitor-interface lanlink

インターフェイスのヘルス モニタリングをイネーブルにします。

シングルコンフィギュレーション モードの装置の場合は、次のコマンドを入力して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。

 

次のいずれかを実行します。

no monitor-interface if_name
 
:
hostname/context (config)# no monitor-interface lanlink

インターフェイスのヘルス モニタリングをディセーブルにします。

monitor-interface if_name
 
:
hostname/context (config)# monitor-interface lanlink

インターフェイスのヘルス モニタリングをイネーブルにします。

インターフェイス ヘルス モニタリングの設定

適応型セキュリティ アプライアンスは、各データ インターフェイスから hello パケットを送信して、インターフェイス ヘルスを監視します。保持時間の半分以上が経過しても適応型セキュリティ アプライアンスがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、適応型セキュリティ アプライアンスはインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。

マルチコンフィギュレーション モードの装置の場合は、次のコマンドを入力して特定のインターフェイスのヘルス モニタリングをイネーブルまたはディセーブルにします。

 

コマンド
目的

failover polltime interface [ msec ] time [ holdtime time ]

 

:

hostname (config): failover polltime interface msec 500 holdtime 5

インターフェイスのポーリング時間を変更します。

ポーリング時間の有効な値は 1 ~ 15 秒で、オプションの msec キーワードを使用すると、500 ~ 999 ミリ秒です。hello パケットを受信できなかったときからインターフェイスが失敗としてマークされるまでの時間が、保持時間によって決まります。保持時間に有効な値は、5 ~ 75 秒です。ポーリング時間の 5 倍に満たない保持時間は入力できません。

インターフェイス リンクがダウンしていると、インターフェイスのテストは実行されず、設定されたフェールオーバー基準に障害のあるインターフェイスの数が合致するか、または基準を超過している場合、スタンバイ装置は、1 つのインターフェイス ポーリング期間内でアクティブになります。

フェールオーバー基準の設定

インターフェイス数または監視されているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。

デフォルトのフェールオーバー基準を変更するには、グローバル コンフィギュレーション モードで次のコマンドを入力します。

 

コマンド
目的

failover interface-policy num [%]

 

例:

hostname (config)# failover interface-policy 20%

デフォルトのフェールオーバー基準を変更します。

インターフェイスの具体的な数を指定するときは、 num 引数に 1 ~ 250 を設定できます。

インターフェイスの割合を指定するときは、 num 引数に 1 ~ 100 を設定できます。

仮想 MAC アドレスの設定

Active/Standby フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを使用しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステートフル フェールオーバー リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


アクティブ装置で次のコマンドを入力して、インターフェイスの仮想 MAC アドレスを設定します。

 

コマンド
目的

failover mac address phy_if active_mac standby_mac

 

例:

hostname (config): failover mac address Ethernet0/2 00a0.c969.87c8 00a0.c918.95d8

インターフェイスの仮想 MAC アドレスを設定します。

phy_if 引数は、インターフェイスの物理名(Ethernet1 など)です。 active_mac および standby_mac 引数は、H.H.H 形式(H は 16 ビットの 16 進数)の MAC アドレスです。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。

active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連付けられ、 standby_mac はインターフェイスのスタンバイ IP アドレスに関連付けられます。

適応型セキュリティ アプライアンスに仮想 MAC アドレスを設定するには複数の方法があります。仮想 MAC アドレスを設定するために複数の方式を使用した場合、適応型セキュリティ アプライアンスは次の優先順位で、インターフェイスに割り当てる仮想 MAC アドレスを決定します。

1. mac-address コマンド(インターフェイス コンフィギュレーション モード)のアドレス

2. failover mac address コマンドのアドレス

3. mac-address auto コマンドが生成したアドレス

4. 焼き付け済み MAC アドレス

show interface コマンドを使用して、インターフェイスが使用している MAC アドレスを表示します。

オプションの Active/Standby フェールオーバー設定の監視

オプションの Active/Standby 設定を監視するには、次のいずれかのタスクを実行します。

 

コマンド
目的
failover reset

障害が発生した装置を、障害のない状態に復元します。

monitor-interface

フェールオーバーを監視する対象のインターフェイスを指定します。

show failover

装置のフェールオーバー状態についての情報を表示します。

show running-config failover

実行コンフィギュレーション内のフェールオーバー コマンドを表示します。

オプションの Active/Standby フェールオーバー設定の機能履歴

表 33-3 に、この機能のリリース履歴の一覧を示します (この項では、1 行に各サブ機能を示しています)。

 

表 33-3 オプションの Active/Standby フェールオーバー設定の機能履歴

機能名
リリース
機能情報

オプションの Active/Standby フェールオーバー設定

 

7.0

次のオプションの Active/Standby フェールオーバー設定が使用できるようになりました。

ステートフル フェールオーバーでの HTTP 複製

インターフェイスのモニタリング

インターフェイス ヘルス モニタリング

フェールオーバー基準の設定

仮想 MAC アドレスの設定

command1 command2 、および command3 コマンドが導入または変更されました。