Cisco ASA 5500 シリーズ コンフィギュレーション ガイド(CLI を使用)
高可用性に関する情報
高可用性に関する情報
発行日;2012/02/01 | 英語版ドキュメント(2011/07/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

高可用性に関する情報

フェールオーバーと高可用性に関する情報

フェールオーバーのシステム要件

ハードウェア要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

ステートフル フェールオーバー リンク

ステートフル リンクのフェールオーバー インターフェイス速度

Active/Active フェールオーバーと Active/Standby フェールオーバー

使用するフェールオーバーのタイプの決定

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

ステートレス(標準)フェールオーバー

ステートフル フェールオーバー

フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート

Auto Update プロセスの概要

Auto Update プロセスのモニタリング

フェールオーバー ヘルスのモニタリング

装置ヘルスのモニタリング

インターフェイスのモニタリング

フェールオーバー機能およびプラットフォーム表

プラットフォーム別フェールオーバー時間

フェールオーバー メッセージ

フェールオーバー システム メッセージ

デバッグ メッセージ

SNMP

高可用性に関する情報

この章では、Cisco 5500 シリーズ適応型セキュリティ アプライアンスでの高可用性の実現を可能にするフェールオーバー機能の概要について説明します。高可用性の設定については、「Active/Active フェールオーバーの設定」または「Active/Standby フェールオーバーの設定」を参照してください。

この章には、次の項があります。

「フェールオーバーと高可用性に関する情報」

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステートフル フェールオーバー リンク」

「Active/Active フェールオーバーと Active/Standby フェールオーバー」

「ステートレス(標準)フェールオーバーとステートフル フェールオーバー」

「フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート」

「フェールオーバー ヘルスのモニタリング」

「フェールオーバー機能およびプラットフォーム表」

「プラットフォーム別フェールオーバー時間」

「フェールオーバー メッセージ」

フェールオーバーと高可用性に関する情報

高可用性を設定するには、同じ適応型セキュリティ アプライアンスが 2 台、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。アクティブ インターフェイスおよび装置のヘルスがモニタされて、所定のフェールオーバー条件に一致しているかどうかが判断されます。所定の条件に一致すると、フェールオーバーが行われます。

適応型セキュリティ アプライアンスは、Active/Active フェールオーバーと Active/Standby フェールオーバーの 2 つのフェールオーバーをサポートします。各フェールオーバー コンフィギュレーションには、フェールオーバーを判定および実行する独自の方式があります。

Active/Active フェールオーバーでは、両方の装置がネットワーク トラフィックを渡すことができます。これにより、ネットワークにトラフィック共有を設定することもできます。Active/Active フェールオーバーは、マルチコンテキスト モードで実行中の装置でのみ使用できます。

Active/Standby フェールオーバーでは、1 つの装置だけがトラフィックを渡すことができ、もう 1 つの装置はスタンバイ状態で待機します。Active/Standby フェールオーバーは、シングルコンテキスト モードで実行中の装置とマルチコンテキスト モードで実行中の装置の両方で使用できます。

両フェールオーバー コンフィギュレーションとも、ステートフルまたはステートレス(通常)フェールオーバーをサポートします。


) セキュリティ アプライアンスが Active/Active ステートフル フェールオーバーに設定されている場合、IPsec または SSL VPN をイネーブルにできません。したがって、これらの機能は使用できません。VPN フェールオーバーは、Active/Standby フェールオーバー コンフィギュレーションに限り使用できます。


フェールオーバーのシステム要件

この項では、フェールオーバー コンフィギュレーションにある適応型セキュリティ アプライアンスのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。

ここでは、次の項目について説明します。

「ハードウェア要件」

「ソフトウェア要件」

「ライセンス要件」

ハードウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は、モデルとインターフェイスの数およびタイプが同じであり、同じ SSM(ある場合)と RAM がインストールされている必要があります。

フェールオーバー コンフィギュレーションで装置に異なるサイズのフラッシュ メモリを使用している場合、小さい方のフラッシュ メモリを取り付けた装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルを格納できる十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。

ソフトウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は同じ動作モード(ルーテッドまたは透過、シングルコンテキストまたはマルチコンテキスト)でなければなりません。ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを使用できます。たとえば、ある装置をバージョン 7.0(1) からバージョン 7.0(2) にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

フェールオーバー ペアでのソフトウェアのアップグレードについては、「フェールオーバー ペアのゼロ ダウンタイム アップグレードの実行」を参照してください。

ライセンス要件

フェールオーバー コンフィギュレーションの 2 台の装置は、ライセンスが同じである必要はありません。これらのライセンスは結合され、1 つのフェールオーバー クラスタ ライセンスが構成されます。詳細については、「フェールオーバー ライセンス」を参照してください。

フェールオーバー リンクとステートフル フェールオーバー リンク

この項では、フェールオーバー リンクおよびステートフル フェールオーバー リンクについて説明します。これらのリンクは、フェールオーバー コンフィギュレーションで 2 台の装置を接続する専用のリンクです。この項は、次の内容で構成されています。

「フェールオーバー リンク」

「ステートフル フェールオーバー リンク」

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。次の情報がフェールオーバー リンク経由で伝達されています。

装置の状態(アクティブまたはスタンバイ)

hello メッセージ(キープアライブ)

ネットワーク リンクの状態

MAC アドレス交換

コンフィギュレーションの複製および同期


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端に適応型セキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

デバイス上のイーサネット インターフェイスは、使用されていなければどれでも、フェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。LAN フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、LAN フェールオーバー リンク(および、オプションでステートフル フェールオーバー リンク)専用とする必要があります。

LAN フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを適応型セキュリティ アプライアンスの LAN フェールオーバー インターフェイスとしては使用しません。

クロスオーバー イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。


) LAN フェールオーバー リンクにクロスオーバー ケーブルを使用した場合、LAN インターフェイスで障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。



) 適応型セキュリティ アプライアンスは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロスオーバー ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。


ステートフル フェールオーバー リンク

ステートフル フェールオーバーを使用するには、ステートフル フェールオーバー リンクを設定してすべてのステート情報を渡す必要があります。ステートフル フェールオーバー リンクを設定する方法としては、次の 3 つのオプションがあります。

ステートフル フェールオーバー リンクに、専用のイーサネット インターフェイスを使用できます。

LAN ベースのフェールオーバーを使用している場合は、フェールオーバー リンクを共有できます。

内部インターフェイスなど、通常のデータ インターフェイスを共有できます。しかし、このオプションはお勧めしません。

ステートフル フェールオーバー リンクに専用のイーサネット インターフェイスを使用している場合、スイッチまたはクロスオーバー ケーブルを使用して装置を直接接続できます。スイッチを使用している場合、他のホストまたはルータをこのリンクに配置しないでください。


) 適応型セキュリティ アプライアンスに直接接続されているCisco スイッチ ポートの PortFast オプションをイネーブルにします。


データ インターフェイスをステートフル フェールオーバー リンクとして使用する場合、そのインターフェイスをステートフル フェールオーバー リンクと指定すると、次の警告が表示されます。

******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
 

データ インターフェイスとステートフル フェールオーバー インターフェイスを共有すると、リプレイ攻撃を受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。


) データ インターフェイスをステートフル フェールオーバー インターフェイスとして使用するのは、シングルコンテキストのルーテッド モードでだけサポートされます。


マルチコンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端に適応型セキュリティ アプライアンスを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。適応型セキュリティ アプライアンスを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

ステートフル リンクのフェールオーバー インターフェイス速度

フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

適応型セキュリティ アプライアンスには、次のフェールオーバー インターフェイス速度のガイドラインを使用してください。

Cisco ASA 5510

データ インターフェイスが 1 ギガビットで動作できる場合であっても、CPU 速度の制限により、ステートフル リンクが動作できる速度は 100 Mbps です。

Cisco ASA 5520/5540/5550

ステートフル リンクの速度は、最も速いデータ リンクと一致する必要があります。

Cisco ASA 5580

ステートフル リンクには、管理ポート以外の 1 ギガビット ポートを使用してください。管理ポートはパフォーマンスが低く、ステートフル フェールオーバーのパフォーマンス要件を満たしません。

長距離の LAN フェールオーバーを使用する場合の遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバー メッセージの再送信により、どうしてもパフォーマンスが低下します。

すべてのプラットフォームがフェールオーバー ハートビートとステートフル リンクの共有をサポートしますが、ステートフル フェールオーバー トラフィックの多いシステムでは、ハートビート リンクを分けることをお勧めします。

Active/Active フェールオーバーと Active/Standby フェールオーバー

Active/Standby および Active/Active という 2 種類のフェールオーバー コンフィギュレーションが 適応型セキュリティ アプライアンスによってサポートされています。

Active/Standby フェールオーバーでは、1 台の装置がアクティブ装置です。この装置がトラフィックを渡します。スタンバイ装置は、アクティブにトラフィックを渡しません。フェールオーバーが発生すると、アクティブ装置がスタンバイ装置にフェールオーバーし、そのスタンバイ装置がアクティブになります。Active/Standby フェールオーバーは、シングルコンテキストまたはマルチコンテキスト モードの 適応型セキュリティ アプライアンスで使用できます。ただし、シングルコンテキスト モードの適応型セキュリティ アプライアンスで使用するのが最も一般的です。

Active/Active フェールオーバーは、マルチコンテキスト モードの適応型セキュリティ アプライアンスでのみ使用できます。Active/Active フェールオーバー コンフィギュレーションでは、両方の適応型セキュリティ アプライアンスがネットワーク トラフィックを渡すことができます。Active/Active フェールオーバーでは、適応型セキュリティ アプライアンスのセキュリティ コンテキストは、 フェールオーバー グループ に分割されます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。各グループは、フェールオーバー ペアの指定された適応型セキュリティ アプライアンスでアクティブになるよう割り当てられます。フェールオーバーが行われる場合は、フェールオーバー グループ レベルで行われます。

各種フェールオーバーの詳細については、次の情報を参照してください。

「Active/Standby フェールオーバーの設定」

「Active/Active フェールオーバーの設定」

使用するフェールオーバーのタイプの決定

選択するフェールオーバーのタイプは、適応型セキュリティ アプライアンスのコンフィギュレーションと適応型セキュリティ アプライアンスの使用計画によって決定されます。

適応型セキュリティ アプライアンスをシングルモードで動作させている場合、使用できるのは Active/Standby フェールオーバーだけです。Active/Active フェールオーバーは、マルチコンテキスト モードで動作している適応型セキュリティ アプライアンスでのみ使用できます。

適応型セキュリティ アプライアンスをマルチコンテキスト モードで動作させている場合は、Active/Active フェールオーバーまたは Active/Standby フェールオーバーを設定できます。

フェールオーバー ペアの両方のメンバーがトラフィックを共有できるようにするには、Active/Active フェールオーバーを使用します。各デバイスでの負荷が 50% を超えないようにしてください。

この方法でトラフィックを共有しない場合は、Active/Standby フェールオーバーまたは Active/Active フェールオーバーを使用します。

表 57-1 に、各タイプのフェールオーバー コンフィギュレーションでサポートされる機能を比較して示します。

 

表 57-1 フェールオーバー コンフィギュレーション機能のサポート

機能
Active/Active
Active/Standby

シングルコンテキスト モード

なし

あり

マルチコンテキスト モード

あり

あり

トラフィック共有ネットワーク コンフィギュレーション

あり

なし

装置のフェールオーバー

あり

あり

コンテキスト グループのフェールオーバー

あり

なし

個別コンテキストのフェールオーバー

なし

なし

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

適応型セキュリティ アプライアンスは、標準およびステートフルという 2 つのタイプのフェールオーバーをサポートします。この項は、次の内容で構成されています。

「ステートレス(標準)フェールオーバー」

「ステートフル フェールオーバー」

ステートレス(標準)フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。


) リリース 8.0 以降では、WebVPN の一部のコンフィギュレーション要素(ブックマークやカスタマイズなど)は VPN フェールオーバー サブシステムを使用しており、これはステートフル フェールオーバーの一部です。フェールオーバー ペアのメンバー間でこれらの要素を同期するには、ステートフル フェールオーバーを使用する必要があります。ステートレス(標準)フェールオーバーは WebVPN にはお勧めできません。


ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルになっている場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

表 57-2 は、ステートフル フェールオーバーがイネーブルになっているときにスタンバイ装置に渡されるステート情報と渡されないステート情報を示します。

 

表 57-2 ステート情報

スタンバイ装置に渡されるステート情報
スタンバイ装置に渡されないステート情報

NAT 変換テーブル

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

TCP 接続状態

ユーザ認証(uauth)テーブル

UDP 接続状態

ルーティング テーブル。フェールオーバーが発生した後、ダイナミック ルーティング プロトコルがルートを再検出しているときに、一部のパケットが失われたり、故障のあるインターフェイス(デフォルト ルート)のルートから外れることがあります。

ARP テーブル

セキュリティ サービス モジュールのステート情報

レイヤ 2 ブリッジ テーブル(透過ファイアウォール モードで動作中の場合)

DHCP サーバ アドレスのリース

HTTP 接続状態(HTTP 複製がイネーブルの場合)

電話プロキシのステートフル フェールオーバー。アクティブ装置がダウンした場合は、コールが失敗し、メディアのフローが停止するので、障害が発生した装置から電話の登録を解除し、アクティブ装置に再登録する必要があります。コールは再確立する必要があります。

ISAKMP および IPSec SA テーブル

--

GTP PDP 接続データベース

--

SIP シグナリング セッション

--

次の WebVPN 機能は、ステートフル フェールオーバーでサポートされていません。

スマート トンネル

ポート転送

プラグイン

Java アプレット

IPv6 クライアントレスまたは Anyconnect セッション

Citrix 認証(Citrix ユーザはフェールオーバー後に再認証が必要です)


) アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが行われると、コール セッション ステート情報がスタンバイ装置に複製されているので、コールはアクティブのままになります。コールが終了すると、IP SoftPhone クライアントは Cisco CallManager との接続がなくなります。これは、CTIQBE ハングアップ メッセージのセッション情報がスタンバイ装置に存在しないために発生します。IP SoftPhone クライアントが一定の時間内に CallManager から返送される応答を受信しない場合、このクライアントは CallManager を到達不能と見なし、自分自身の登録を解除します。


VPN フェールオーバーの場合、VPN エンドユーザは、フェールオーバーの発生時に VPN セッションに再認証または再接続する必要がありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバー プロセス中にパケットを失って、パケット損失から回復できない可能性があります。

フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート

Auto Update サーバを使用して、ソフトウェア イメージとコンフィギュレーション ファイルを、Active/Standby フェールオーバー コンフィギュレーションの適応型セキュリティ アプライアンスに配置できます。Active/Standby フェールオーバー コンフィギュレーションで Auto Update をイネーブルにするには、フェールオーバー ペアのプライマリ装置に Auto Update サーバのコンフィギュレーションを入力します。詳細については、「Auto Update サポートの設定」を参照してください。

フェールオーバー コンフィギュレーションの Auto Update サーバ サポートには、次の制限と動作が適用されます。

Active/Standby コンフィギュレーションがサポートされるのは、シングルモードだけです。

新しいプラットフォーム ソフトウェア イメージをロードする際、フェールオーバー ペアはトラフィックの転送を停止します。

LAN ベースのフェールオーバーを使用する場合、新しいコンフィギュレーションによってフェールオーバー リンクのコンフィギュレーションが変更されてはいけません。フェールオーバー リンクのコンフィギュレーションが変更されると、装置間の通信は失敗します。

Auto Update サーバへの Call Home を実行するのはプライマリ装置だけです。Call Home を実行するには、プライマリ装置がアクティブ状態である必要があります。そうでない場合、適応型セキュリティ アプライアンスは自動的にプライマリ装置にフェールオーバーします。

ソフトウェア イメージまたはコンフィギュレーション ファイルをダウンロードするのは、プライマリ装置だけです。その後、ソフトウェア イメージまたはコンフィギュレーション ファイルはセカンダリ装置にコピーされます。

インターフェイス MAC アドレスとハードウェアのシリアル番号は、プライマリ装置のものです。

Auto Update サーバまたは HTTP サーバに保存されたコンフィギュレーション ファイルは、プライマリ装置専用です。

Auto Update プロセスの概要

次に、フェールオーバー コンフィギュレーションでの Auto Update プロセスの概要を示します。このプロセスは、フェールオーバーがイネーブルであり、動作していることを前提としています。装置がコンフィギュレーションを同期化している場合、SSM カードの不具合以外の理由でスタンバイ装置に障害が発生している場合、または、フェールオーバー リンクがダウンしている場合、Auto Update プロセスは実行できません。

1. 両方の装置は、プラットフォームおよび ASDM ソフトウェア チェックサムとバージョン情報を交換します。

2. プライマリ装置は Auto Update サーバにアクセスします。プライマリ装置がアクティブ状態でない場合、適応型セキュリティ アプライアンスはプライマリ装置にフェールオーバーした後、Auto Update サーバにアクセスします。

3. Auto Update サーバは、ソフトウェア チェックサムと URL 情報を返します。

4. プライマリ装置が、アクティブまたはスタンバイ装置のプラットフォーム イメージ ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、Auto Update サーバの URL を使用して、HTTP サーバから適切なファイルを取得します。

b. プライマリ装置は、そのイメージをスタンバイ装置にコピーしてから、自身のイメージをアップデートします。

c. 両方の装置に新しいイメージがある場合は、セカンダリ(スタンバイ)装置が最初にリロードされます。

セカンダリ装置のブート時にヒットレス アップグレードが可能な場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。リロードが終了すると、プライマリ装置がアクティブ装置になります。

スタンバイ装置のブート時にヒットレス アップグレードができない場合は、両方の装置が同時にリロードされます。

d. セカンダリ(スタンバイ)装置だけに新しいイメージがある場合は、セカンダリ装置だけがリロードされます。プライマリ装置は、セカンダリ装置のリロードが終了するまで待機します。

e. プライマリ(アクティブ)装置だけに新しいイメージがある場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。

f. もう一度アップデート プロセスが手順 1 から開始されます。

5. 適応型セキュリティ アプライアンスが、プライマリまたはセカンダリ装置の ASDM ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、Auto Update サーバから提供された URL を使用して、HTTP サーバから ASDM イメージ ファイルを取得します。

b. プライマリ装置は、必要に応じてそのイメージをスタンバイ装置にコピーします。

c. プライマリ装置は、自身の ASDM イメージをアップデートします。

d. もう一度アップデート プロセスが手順 1 から開始されます。

6. プライマリ装置が、コンフィギュレーション ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、指定された URL を使用して、からコンフィギュレーション ファイルを取得します。

b. 両方の装置で同時に、古いコンフィギュレーションが新しいコンフィギュレーションに置換されます。

c. もう一度アップデート プロセスが手順 1 から開始されます。

7. チェックサムがすべてのイメージおよびコンフィギュレーション ファイルと一致している場合、アップデートは必要ありません。このプロセスは、次のポーリング時間まで中断されます。

Auto Update プロセスのモニタリング

debug auto-update client または debug fover cmd-exe コマンドを使用して、Auto Update プロセスで実行される処理を表示できます。次に、 debug auto-update client コマンドの出力例を示します。

Auto-update client: Sent DeviceDetails to /cgi-bin/dda.pl of server 192.168.0.21
Auto-update client: Processing UpdateInfo from server 192.168.0.21
Component: asdm, URL: http://192.168.0.21/asdm.bint, checksum: 0x94bced0261cc992ae710faf8d244cf32
Component: config, URL: http://192.168.0.21/config-rms.xml, checksum: 0x67358553572688a805a155af312f6898
Component: image, URL: http://192.168.0.21/cdisk73.bin, checksum: 0x6d091b43ce96243e29a62f2330139419
Auto-update client: need to update img, act: yes, stby yes
name
ciscoasa(config)# Auto-update client: update img on stby unit...
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 9001, len = 1024
auto-update: Fover file copy waiting at clock tick 6129280
fover_parse: Rcvd file copy ack, ret = 0, seq = 4
auto-update: Fover filecopy returns value: 0 at clock tick 6150260, upd time 145980 msecs
Auto-update client: update img on active unit...
fover_parse: Rcvd image info from mate
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
Beginning configuration replication: Sending to mate.
auto-update: HA safe reload: reload active waiting with mate state: 50
auto-update: HA safe reload: reload active waiting with mate state: 50
 
auto-update: HA safe reload: reload active waiting with mate state: 80
Sauto-update: HA safe reload: reload active unit at clock tick: 6266860
Auto-update client: Succeeded: Image, version: 0x6d091b43ce96243e29a62f2330139419
 

Auto Update プロセスが失敗すると、次のシステム ログ メッセージが生成されます。

%ASA4-612002: Auto Update failed: file version: version reason: reason
 

失敗したアップデートに応じて、 file は「image」、「asdm」、または「configuration」になります。 version は、アップデートのバージョン番号です。 reason は、アップデートが失敗した原因です。

フェールオーバー ヘルスのモニタリング

適応型セキュリティ アプライアンスは、各装置について全体的なヘルスおよびインターフェイス ヘルスをモニタします。適応型セキュリティ アプライアンスがテストを実行して、各装置の状態を判断する方法の詳細については、次の項を参照してください。

「装置ヘルスのモニタリング」

「インターフェイスのモニタリング」

装置ヘルスのモニタリング

適応型セキュリティ アプライアンスは、フェールオーバー リンクをモニタして相手装置のヘルスを判断します。装置は、フェールオーバー リンクで 3 回連続して hello メッセージを受信しないときは、フェールオーバー インターフェイスを含む各インターフェイスでインターフェイス hello メッセージを送信し、ピア インターフェイスが応答するかどうかを検証します。適応型セキュリティ アプライアンスが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。

適応型セキュリティ アプライアンスがフェールオーバー インターフェイスで応答を受信した場合は、フェールオーバーを行いません。

適応型セキュリティ アプライアンスがフェールオーバー リンクで応答を受信せず、他のインターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

適応型セキュリティ アプライアンスがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。

hello メッセージの頻度と、フェールオーバーが行われる前の保持時間を設定できます。ポーリング時間が速くて保持時間が短いほど、装置の故障が短時間で検出され、フェールオーバーの実行が迅速になりますが、キープアライブ パケットを遅延させるネットワーク輻輳が原因で「偽の」障害が生じる可能性もあります。

インターフェイスのモニタリング

すべてのコンテキスト間に分割された最大 250 のインターフェイスをモニタできます。重要なインターフェイスをモニタする必要があります。たとえば、共有インターフェイスをモニタするためのコンテキストを 1 つ設定します(インターフェイスが共有されているため、すべてのコンテキストがそのモニタリングでモニタされます)。

設定した保持時間が半分経過しても装置がモニタ対象のインターフェイスで hello メッセージを受信しない場合は、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイスのステータスのテスト。リンク アップ/ダウン テストでインターフェイスが動作していることが示された場合、適応型セキュリティ アプライアンスはネットワーク テストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク アクティビティ テスト:受信ネットワーク アクティビティ テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト ping テスト:ブロードキャスト ping 要求の送信で構成される ping テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

インターフェイスに IPv4 および IPv6 アドレスが設定されている場合、適応型セキュリティ アプライアンスは IPv4 を使用してヘルス モニタリングを実行します。

インターフェイスに IPv6 アドレスだけが設定されている場合、適応型セキュリティ アプライアンスは ARP ではなく IPv6 ネイバー探索を使用してヘルス モニタリング テストを実行します。ブロードキャスト ping テストの場合、適応型セキュリティ アプライアンスは IPv6 全ノード アドレス(FE02::1)を使用します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障した適応型セキュリティ アプライアンスは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


フェールオーバー機能およびプラットフォーム表

表 57-3 に、各ハードウェア プラットフォームでサポートされているフェールオーバー機能を示します。

 

表 57-3 プラットフォームでサポートされているフェールオーバー機能

プラットフォーム
LAN ベースのフェールオーバー
ステートフル フェールオーバー
Active/Standby フェールオーバー
Active/Active フェールオーバー

Cisco ASA 5505 適応型セキュリティ アプライアンス

あり

なし

あり

なし

Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンス(ASA 5505 以外)

あり

あり

あり

あり

プラットフォーム別フェールオーバー時間

表 57-4 に、Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスのフェールオーバーの最小時間、デフォルト時間、および最大時間を示します。

 

表 57-4 Cisco ASA 5500 シリーズ適応型セキュリティ アプライアンスのフェールオーバー時間

フェールオーバー条件
最小
デフォルト
最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

15 秒

45 秒

アクティブ装置のメインボード インターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置の 4GE カード インターフェイス リンクがダウンする。

2 秒

5 秒

15 秒

アクティブ装置の IPS または CSC カードに障害がある。

2 秒

2 秒

2 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

フェールオーバー メッセージ

フェールオーバーが発生すると、両方の適応型セキュリティ アプライアンスがシステム メッセージを送信します。この項は、次の内容で構成されています。

「フェールオーバー システム メッセージ」

「デバッグ メッセージ」

「SNMP」

フェールオーバー システム メッセージ

適応型セキュリティ アプライアンスは、深刻な状況を表すプライオリティ レベル 2 のフェールオーバーについて、複数のシステム メッセージを発行します。これらのメッセージを表示するには、 『Cisco ASA 5500 Series System Log Messages を参照してください。ロギングをイネーブルにするには、「ロギングの設定」を参照してください。


) 切り替え中、フェールオーバーは論理的にシャットダウンした後、インターフェイスを起動し、syslog 411001 および 411002 メッセージを生成します。これは通常のアクティビティです。


デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。


) CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステム パフォーマンスに大きく影響することがあります。このため、debug fover コマンドは、特定の問題に対するトララブルシューティングや、Cisco TAC とのトラブルシューティング セッションに限定して使用してください。


SNMP

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、お使いの SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。詳細については、「SNMP の設定」を参照してください。