Cisco ASA 5500 シリーズ コンフィギュレーション ガイド (CLIを使用) ソフトウェア バージョン8.4
ハイ アベイラビリティに関する情報
ハイ アベイラビリティに関する情報
発行日;2012/05/09 | 英語版ドキュメント(2012/02/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

ハイ アベイラビリティに関する情報

フェールオーバーおよびハイ アベイラビリティの概要

フェールオーバーのシステム要件

ハードウェア要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

ステートフル フェールオーバー リンク

ステートフル リンクのフェールオーバー インターフェイス速度

フェールオーバー リンク中断の回避

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー

使用するフェールオーバーのタイプの決定

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

ステートレス(標準)フェールオーバー

ステートフル フェールオーバー

トランスペアレント ファイアウォール モードの要件

フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート

Auto Update プロセスの概要

Auto Update プロセスのモニタリング

フェールオーバー ヘルスのモニタリング

装置ヘルスのモニタリング

インターフェイスのモニタリング

フェールオーバー時間

フェールオーバー メッセージ

フェールオーバー システム メッセージ

デバッグ メッセージ

SNMP

ハイ アベイラビリティに関する情報

この章では、Cisco 5500 シリーズ ASA でのハイ アベイラビリティの実現を可能にするフェールオーバー機能の概要について説明します。ハイ アベイラビリティの設定については、「アクティブ/アクティブ フェールオーバーの設定」または「アクティブ/スタンバイ フェールオーバーの設定」を参照してください。

この章は、次の項で構成されています。

「フェールオーバーおよびハイ アベイラビリティの概要」

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステートフル フェールオーバー リンク」

「アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー」

「ステートレス(標準)フェールオーバーとステートフル フェールオーバー」

「トランスペアレント ファイアウォール モードの要件」

「フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート」

「フェールオーバー ヘルスのモニタリング」

「フェールオーバー時間」

「フェールオーバー メッセージ」

フェールオーバーおよびハイ アベイラビリティの概要

ハイ アベイラビリティを設定するには、同じASAが 2 台、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。アクティブ インターフェイスおよび装置のヘルスがモニタされて、所定のフェールオーバー条件に一致しているかどうかが判断されます。所定の条件に一致すると、フェールオーバーが行われます。

ASAは、アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーの 2 つのフェールオーバーをサポートします。各フェールオーバー コンフィギュレーションには、フェールオーバーを判定および実行する独自の方式があります。

アクティブ/アクティブ フェールオーバーでは、両方の装置がネットワーク トラフィックを渡すことができます。これにより、ネットワークにトラフィック共有を設定することもできます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで実行中の装置でのみ使用できます。

アクティブ/スタンバイ フェールオーバーでは、1 つの装置だけがトラフィックを渡すことができ、もう 1 つの装置はスタンバイ状態で待機します。アクティブ/スタンバイ フェールオーバーは、シングル コンテキスト モードで実行中の装置とマルチ コンテキスト モードで実行中の装置の両方で使用できます。

両フェールオーバー コンフィギュレーションとも、ステートフルまたはステートレス(通常)フェールオーバーをサポートします。


) セキュリティ アプライアンスがアクティブ/アクティブ ステートフル フェールオーバーに設定されている場合、IPsec または SSL VPN をイネーブルにできません。したがって、これらの機能は使用できません。VPN フェールオーバーは、アクティブ/スタンバイ フェールオーバー コンフィギュレーションに限り使用できます。


フェールオーバーのシステム要件

この項では、フェールオーバー コンフィギュレーションにあるASAのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。

この項は、次の内容で構成されています。

「ハードウェア要件」

「ソフトウェア要件」

「ライセンス要件」

ハードウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は、モデルとインターフェイスの数およびタイプが同じであり、同じ SSM(ある場合)と RAM がインストールされている必要があります。

フェールオーバー コンフィギュレーションで装置に異なるサイズのフラッシュ メモリを使用している場合、小さい方のフラッシュ メモリを取り付けた装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルを格納できる十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。

ソフトウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は同じ動作モード(ルーテッドまたはトランスペアレント、シングル コンテキストまたはマルチ コンテキスト)でなければなりません。ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを使用できます。たとえば、ある装置をバージョン 8.3(1) からバージョン 8.3(2) にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

フェールオーバー ペアでのソフトウェアのアップグレードについては、「フェールオーバー ペアのゼロ ダウンタイム アップグレードの実行」を参照してください。

ライセンス要件

フェールオーバー コンフィギュレーションの 2 台の装置は、ライセンスが同じである必要はありません。これらのライセンスは結合され、1 つのフェールオーバー クラスタ ライセンスが構成されます。詳細については、「フェールオーバー ライセンス(8.3(1) 以降)」を参照してください。

フェールオーバー リンクとステートフル フェールオーバー リンク

この項では、フェールオーバー リンクおよびステートフル フェールオーバー リンクについて説明します。これらのリンクは、フェールオーバー コンフィギュレーションで 2 台の装置を接続する専用のリンクです。この項は、次の内容で構成されています。

「フェールオーバー リンク」

「ステートフル フェールオーバー リンク」

「フェールオーバー リンク中断の回避」

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。次の情報がフェールオーバー リンク経由で伝達されています。

装置の状態(アクティブまたはスタンバイ)

hello メッセージ(キープアライブ)

ネットワーク リンクの状態

MAC アドレス交換

コンフィギュレーションの複製および同期


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にASAを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASAを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

デバイス上のインターフェイスは、使用されていなければどれでも、フェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバー リンク(および、オプションでステートフル フェールオーバー リンク)専用とする必要があります。

フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを ASA のフェールオーバー インターフェイスとしては使用しません。

クロスオーバー イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。


) フェールオーバー リンクにクロス ケーブルを使用した場合、インターフェイスで障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。



) ASAは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。


ステートフル フェールオーバー リンク

ステートフル フェールオーバーを使用するには、ステートフル フェールオーバー リンクを設定してすべてのステート情報を渡す必要があります。ステートフル フェールオーバー リンクを設定する方法としては、次の 3 つのオプションがあります。

ステートフル フェールオーバー リンクに、専用のイーサネット インターフェイスを使用できます。

フェールオーバー リンクを共有できます。

内部インターフェイスなど、通常のデータ インターフェイスを共有できます。しかし、このオプションはお勧めしません。

専用のステート リンクを次の 2 つの方法のいずれかで接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを ASA のフェールオーバー インターフェイスとしては使用しません。

クロスオーバー イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。


) ステート リンクにクロス ケーブルを使用した場合、インターフェイスで障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASAは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

ASAに直接接続されているCisco スイッチ ポートの PortFast オプションをイネーブルにします。


データ インターフェイスをステートフル フェールオーバー リンクとして使用する場合、そのインターフェイスをステートフル フェールオーバー リンクと指定すると、次の警告が表示されます。

******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
 

データ インターフェイスとステートフル フェールオーバー インターフェイスを共有すると、リプレイ攻撃を受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。


) データ インターフェイスをステートフル フェールオーバー インターフェイスとして使用するのは、シングル コンテキストのルーテッド モードでだけサポートされます。


マルチ コンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にASAを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASAを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

ステートフル リンクのフェールオーバー インターフェイス速度

フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

ASA の場合は、次のフェールオーバー インターフェイス速度ガイドラインを使用してください。

Cisco ASA 5510

データ インターフェイスが 1 ギガビットで動作できる場合であっても、CPU 速度の制限により、ステートフル リンクが動作できる速度は 100 Mbps です。

Cisco ASA 5520/5540/5550

ステートフル リンクの速度は、最も速いデータ リンクと一致する必要があります。

Cisco ASA 5580/5585

ステートフル リンクには、管理ポート以外の 1 ギガビット ポートを使用してください。管理ポートはパフォーマンスが低く、ステートフル フェールオーバーのパフォーマンス要件を満たしません。

長距離のフェールオーバーを使用する場合の遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバー メッセージの再送信により、どうしてもパフォーマンスが低下します。

ASA がフェールオーバー ハートビートとステートフル リンクの共有をサポートしますが、ステートフル フェールオーバー トラフィックの多いシステムでは、ハートビート リンクを分けることをお勧めします。

フェールオーバー リンク中断の回避

プライマリ装置とセカンダリ装置の間でのメッセージ転送にフェールオーバー インターフェイスを使用するため、フェールオーバー インターフェイスがダウンすると(物理的なリンクがダウンするか、またはインターフェイスへの接続に使用するスイッチがダウンすると)、フェールオーバー インターフェイスのヘルスが復元されるまで、ASA フェールオーバーの動作に影響が及びます。

フェールオーバー ペアの装置間ですべての通信が停止した場合、両方の装置がアクティブ状態になります。これは予期された動作です。通信が復元され、2 台のアクティブ装置がフェールオーバー リンクまたはモニタ対象インターフェイス経由での通信を再開すると、プライマリ装置はアクティブの状態が維持され、セカンダリ装置は即座にスタンバイ状態に戻ります。この関係は、プライマリ装置のヘルスに関係なく確立されます。

この動作に起因して、ネットワークが分割されている間にアクティブなセカンダリ装置によって適切に渡されたステートフル フローは、中断されたままになります。この中断を回避するには、フェールオーバー リンクとデータ インターフェイスが異なるパスを通過するようにして、すべてのリンクに同時に障害が発生する確率を低くする必要があります。フェールオーバー リンクが 1 つだけダウンした場合は、ASA はインターフェイス ヘルスのサンプル チェックを行って、データ インターフェイス経由でこの情報をピアと交換し、アクティブ装置でダウンしているインターフェイスが多数に上る場合は切り替えを実行します。以降、フェールオーバー インターフェイスのヘルスが復元されるまで、フェールオーバー処理は停止されます。

ネットワーク トポロジによっては、次のシナリオに例示するように、ASA フェールオーバー ペアのプライマリ/セカンダリに障害が発生することがあります。

シナリオ 1:非推奨

2 台の ASA の間で 1 台または 1 組のスイッチを使用してフェールオーバーとデータ インターフェイスの両方を接続している場合、スイッチまたはスイッチ間リンクがダウンすると、両方の ASA がアクティブになります。このため、図 60-1図 60-2 に示す 2 つの接続方式はお勧めできません。

図 60-1 1 台のスイッチを使用した接続:非推奨

 

図 60-2 2 台のスイッチを使用した接続:非推奨

 

シナリオ 2:推奨

フェールオーバー インターフェイスに障害が発生しても ASA フェールオーバー ペアがそれに耐えることができるようにするため、前述の接続例で示したようなフェールオーバー インターフェイスがデータ インターフェイスと同じスイッチを使用することは避けることをお勧めします。代わりに、異なるスイッチを使用するか、または直結ケーブルを使用して 2 つの ASA フェールオーバー インターフェイスを接続します(図 60-3 および図 60-4 を参照)。

図 60-3 異なるスイッチを使用した接続

 

図 60-4 ケーブルを使用した接続

 

シナリオ 3:推奨

ASA データ インターフェイスを 2 組以上のスイッチに接続している場合は、フェールオーバー インターフェイスをいずれかのスイッチに接続することができます。可能であれば、ネットワークのセキュア側にあるスイッチに接続することをお勧めします(図 60-5 を参照)。

図 60-5 セキュアなスイッチを使用した接続

 

シナリオ 4:推奨

最も信頼性の高いフェールオーバー コンフィギュレーションでは、フェールオーバー インターフェイス上の冗長インターフェイスを使用します(図 60-6図 60-7、および図 60-8 を参照)。

図 60-6 イーサネット ケーブルを使用した接続

 

図 60-7 冗長インターフェイスを使用した接続

 

図 60-8 スイッチ間リンクを使用した接続

 

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー

アクティブ/スタンバイおよびアクティブ/アクティブという 2 種類のフェールオーバー コンフィギュレーションが ASAによってサポートされています。

アクティブ/スタンバイ フェールオーバーでは、1 台の装置がアクティブ装置です。この装置がトラフィックを渡します。スタンバイ装置は、アクティブにトラフィックを渡しません。フェールオーバーが発生すると、アクティブ装置がスタンバイ装置にフェールオーバーし、そのスタンバイ装置がアクティブになります。アクティブ/スタンバイ フェールオーバーは、シングル コンテキストまたはマルチ コンテキスト モードの ASAで使用できます。ただし、シングル コンテキスト モードのASAで使用するのが最も一般的です。

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードのASAでのみ使用できます。アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。アクティブ/アクティブ フェールオーバーでは、ASAのセキュリティ コンテキストは、 フェールオーバー グループ に分割されます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。各グループは、フェールオーバー ペアの指定されたASAでアクティブになるよう割り当てられます。フェールオーバーが行われる場合は、フェールオーバー グループ レベルで行われます。

各種フェールオーバーの詳細については、次の情報を参照してください。

「アクティブ/スタンバイ フェールオーバーの設定」

「アクティブ/アクティブ フェールオーバーの設定」

使用するフェールオーバーのタイプの決定

選択するフェールオーバーのタイプは、ASAのコンフィギュレーションとASAの使用計画によって決定されます。

ASAをシングル モードで動作させている場合、使用できるのはアクティブ/スタンバイ フェールオーバーだけです。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作しているASAでのみ使用できます。


) ASA 5505 は、マルチ コンテキスト モードまたはアクティブ/アクティブ フェールオーバーをサポートしません。

VPN は、マルチ コンテキスト モードまたはアクティブ/アクティブ フェールオーバーではサポートされません。


ASAをマルチ コンテキスト モードで動作させている場合は、アクティブ/アクティブ フェールオーバーまたはアクティブ/スタンバイ フェールオーバーを設定できます。

フェールオーバー ペアの両方のメンバーがトラフィックを共有できるようにするには、アクティブ/アクティブ フェールオーバーを使用します。各デバイスでの負荷が 50% を超えないようにしてください。

この方法でトラフィックを共有しない場合は、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーを使用します。

表 60-1 に、各タイプのフェールオーバー コンフィギュレーションでサポートされる機能を比較して示します。

 

表 60-1 フェールオーバー コンフィギュレーション機能のサポート

機能
アクティブ/アクティブ
アクティブ/スタンバイ

シングル コンテキスト モード

No

Yes

マルチ コンテキスト モード

Yes

Yes

トラフィック共有ネットワーク コンフィギュレーション

Yes

No

装置のフェールオーバー

Yes

Yes

コンテキスト グループのフェールオーバー

Yes

No

個別コンテキストのフェールオーバー

No

No

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

ASAは、標準およびステートフルという 2 つのタイプのフェールオーバーをサポートします。この項は、次の内容で構成されています。

「ステートレス(標準)フェールオーバー」

「ステートフル フェールオーバー」

ステートレス(標準)フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。


) バージョン 8.0 以降では、クライアントレス SSL VPN の一部のコンフィギュレーション要素(ブックマークやカスタマイズなど)は VPN フェールオーバー サブシステムを使用しており、これはステートフル フェールオーバーの一部です。フェールオーバー ペアのメンバー間でこれらの要素を同期するには、ステートフル フェールオーバーを使用する必要があります。ステートレス(標準)フェールオーバーはクライアントレス SSL VPN にはお勧めできません。


ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルになっている場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

バージョン 8.4 以降では、ステートフル フェールオーバーはダイナミック ルーティング プロトコル(OSPF や EIGRP など)に参加するため、アクティブ装置上でダイナミック ルーティング プロトコルを介して学習されたルートはスタンバイ装置の Routing Information Base(RIB; ルーティング情報ベース)テーブルに保持されます。フェールオーバー イベントが発生すると、パケットは切断を最小限に抑えながらトラフィックを通過します。これは、アクティブなセカンダリ ASA には、初期段階では、プライマリ ASA をミラーリングするというルールがあるためです。フェールオーバーの発生直後、新たなアクティブ装置で再コンバージェンス タイマーが開始されます。そして、RIB テーブルのエポックの値が増分されます。再コンバージェンス中、OSPF および EIGRP のルーティングは新しいエポック値で更新されます。タイマーが期限切れになると、ステール ルート エントリ(エポック値によって決定されます)がテーブルから削除されます。RIB には、新たなアクティブ装置にある最新のルーティング プロトコル転送情報が格納されます。

表 60-2 は、ステートフル フェールオーバーがイネーブルになっているときにスタンバイ装置に渡されるステート情報と渡されないステート情報を示します。

 

表 60-2 ステート情報

スタンバイ装置に渡されるステート情報
スタンバイ装置に渡されないステート情報

NAT 変換テーブル

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

TCP 接続状態

ユーザ認証(uauth)テーブル

検査対象のプロトコルは高度な TCP ステート トラッキングの対象となり、これらの接続の TCP ステートは自動的には複製されません。これらの接続はスタンバイ装置に複製されますが、TCP ステートを再構築するようにベストエフォート方式で試行されます。

UDP 接続状態

DHCP サーバ アドレスのリース

ARP テーブル

モジュールのステート情報。

レイヤ 2 ブリッジ テーブル(トランスペアレント ファイアウォール モードで動作中の場合)

電話プロキシのステートフル フェールオーバー。アクティブ装置がダウンした場合は、コールが失敗し、メディアのフローが停止するので、障害が発生した装置から電話の登録を解除し、アクティブ装置に再登録する必要があります。コールは再確立する必要があります。

HTTP 接続状態(HTTP 複製がイネーブルの場合)

--

ISAKMP および IPSec SA テーブル

--

GTP PDP 接続データベース

--

SIP シグナリング セッション

--

次のクライアントレス SSL VPN 機能は、ステートフル フェールオーバーでサポートされていません。

スマート トンネル

ポート転送

プラグイン

Java アプレット

IPv6 クライアントレスまたは Anyconnect セッション

Citrix 認証(Citrix ユーザはフェールオーバー後に再認証が必要です)


) アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが行われると、コール セッション ステート情報がスタンバイ装置に複製されているので、コールはアクティブのままになります。コールが終了すると、IP SoftPhone クライアントは Cisco CallManager との接続がなくなります。これは、CTIQBE ハングアップ メッセージのセッション情報がスタンバイ装置に存在しないために発生します。IP SoftPhone クライアントが一定の時間内に CallManager から返送される応答を受信しない場合、このクライアントは CallManager を到達不能と見なし、自分自身の登録を解除します。


VPN フェールオーバーの場合、VPN エンドユーザは、フェールオーバーの発生時に VPN セッションに再認証または再接続する必要がありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバー プロセス中にパケットを失って、パケット損失から回復できない可能性があります。

トランスペアレント ファイアウォール モードの要件

アクティブ装置からスタンバイ装置へのフェールオーバーが行われた場合、Spanning Tree Protocol(STP; スパニング ツリー プロトコル)を実行中の接続されたスイッチ ポートは、トポロジの変更を検出すると 30 ~ 50 秒間ブロッキング ステートになることがあります。ポートがブロッキング ステートになっている間のトラフィック損失を回避するため、スイッチ ポート モードに応じて次のいずれかの回避策を講じることができます。

アクセス モード:スイッチの STP PortFast 機能をイネーブルにします。

interface interface_id
spanning-tree portfast
 

PortFast 機能により、リンクアップが発生次第、ポートは即座に STP 転送モードに移行されます。この段階で、ポートはまだ STP に参加しています。このため、ループの一部を形成しているポートは、最終的に STP ブロッキング モードに移行します。

トランク モード:インターフェイスの内側および外側で ASA の BPDU をブロックします。

access-list id ethertype deny bpdu
access-group id in interface inside_name
access-group id in interface outside_name
 

BPDU をブロックすると、スイッチの STP はディセーブルになります。ネットワーク レイアウトには ASA が関与するループを形成しないようにしてください。

上記のオプションをいずれも実現できない場合は、次のいずれかの方法を採用してください。フェールオーバー機能または STP 安定性に影響を及ぼし、推奨度の低い回避策です。

フェールオーバー インターフェイス モニタリングをディセーブルにします。

フェールオーバー インターフェイスの保持時間を、ASA がフェールオーバーする前に STP が収束できるような値に高めます。

STP タイマーの値を小さくし、STP がフェールオーバー インターフェイスの保持時間よりも速く収束できるようにします。

フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート

Auto Update サーバを使用して、ソフトウェア イメージとコンフィギュレーション ファイルを、アクティブ/スタンバイ フェールオーバー コンフィギュレーションの ASA に配置できます。アクティブ/スタンバイ フェールオーバー コンフィギュレーションで Auto Update をイネーブルにするには、フェールオーバー ペアのプライマリ装置に Auto Update サーバのコンフィギュレーションを入力します。詳細については、「Auto Update サポートの設定」を参照してください。

フェールオーバー コンフィギュレーションの Auto Update サーバ サポートには、次の制限と動作が適用されます。

アクティブ/スタンバイ コンフィギュレーションがサポートされるのは、シングル モードだけです。

新しいプラットフォーム ソフトウェア イメージをロードする際、フェールオーバー ペアはトラフィックの転送を停止します。

LAN ベースのフェールオーバーを使用する場合、新しいコンフィギュレーションによってフェールオーバー リンクのコンフィギュレーションが変更されてはいけません。フェールオーバー リンクのコンフィギュレーションが変更されると、装置間の通信は失敗します。

Auto Update サーバへの Call Home を実行するのはプライマリ装置だけです。Call Home を実行するには、プライマリ装置がアクティブ状態である必要があります。そうでない場合、ASAは自動的にプライマリ装置にフェールオーバーします。

ソフトウェア イメージまたはコンフィギュレーション ファイルをダウンロードするのは、プライマリ装置だけです。その後、ソフトウェア イメージまたはコンフィギュレーション ファイルはセカンダリ装置にコピーされます。

インターフェイス MAC アドレスとハードウェアのシリアル番号は、プライマリ装置のものです。

Auto Update サーバまたは HTTP サーバに保存されたコンフィギュレーション ファイルは、プライマリ装置専用です。

Auto Update プロセスの概要

次に、フェールオーバー コンフィギュレーションでの Auto Update プロセスの概要を示します。このプロセスは、フェールオーバーがイネーブルであり、動作していることを前提としています。装置がコンフィギュレーションを同期化している場合、SSM カードの不具合以外の理由でスタンバイ装置に障害が発生している場合、または、フェールオーバー リンクがダウンしている場合、Auto Update プロセスは実行できません。

1. 両方の装置は、プラットフォームおよび ASDM ソフトウェア チェックサムとバージョン情報を交換します。

2. プライマリ装置は Auto Update サーバにアクセスします。プライマリ装置がアクティブ状態でない場合、ASAはプライマリ装置にフェールオーバーした後、Auto Update サーバにアクセスします。

3. Auto Update サーバは、ソフトウェア チェックサムと URL 情報を返します。

4. プライマリ装置が、アクティブまたはスタンバイ装置のプラットフォーム イメージ ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、Auto Update サーバの URL を使用して、HTTP サーバから適切なファイルを取得します。

b. プライマリ装置は、そのイメージをスタンバイ装置にコピーしてから、自身のイメージをアップデートします。

c. 両方の装置に新しいイメージがある場合は、セカンダリ(スタンバイ)装置が最初にリロードされます。

セカンダリ装置のブート時にヒットレス アップグレードが可能な場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。リロードが終了すると、プライマリ装置がアクティブ装置になります。

スタンバイ装置のブート時にヒットレス アップグレードができない場合は、両方の装置が同時にリロードされます。

d. セカンダリ(スタンバイ)装置だけに新しいイメージがある場合は、セカンダリ装置だけがリロードされます。プライマリ装置は、セカンダリ装置のリロードが終了するまで待機します。

e. プライマリ(アクティブ)装置だけに新しいイメージがある場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。

f. もう一度アップデート プロセスが手順 1 から開始されます。

5. ASAが、プライマリまたはセカンダリ装置の ASDM ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、Auto Update サーバから提供された URL を使用して、HTTP サーバから ASDM イメージ ファイルを取得します。

b. プライマリ装置は、必要に応じてそのイメージをスタンバイ装置にコピーします。

c. プライマリ装置は、自身の ASDM イメージをアップデートします。

d. もう一度アップデート プロセスが手順 1 から開始されます。

6. プライマリ装置が、コンフィギュレーション ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、指定された URL を使用して、からコンフィギュレーション ファイルを取得します。

b. 両方の装置で同時に、古いコンフィギュレーションが新しいコンフィギュレーションに置換されます。

c. もう一度アップデート プロセスが手順 1 から開始されます。

7. チェックサムがすべてのイメージおよびコンフィギュレーション ファイルと一致している場合、アップデートは必要ありません。このプロセスは、次のポーリング時間まで中断されます。

Auto Update プロセスのモニタリング

debug auto-update client または debug fover cmd-exe コマンドを使用して、Auto Update プロセスで実行される処理を表示できます。次に、 debug auto-update client コマンドの出力例を示します。

Auto-update client: Sent DeviceDetails to /cgi-bin/dda.pl of server 192.168.0.21
Auto-update client: Processing UpdateInfo from server 192.168.0.21
Component: asdm, URL: http://192.168.0.21/asdm.bint, checksum: 0x94bced0261cc992ae710faf8d244cf32
Component: config, URL: http://192.168.0.21/config-rms.xml, checksum: 0x67358553572688a805a155af312f6898
Component: image, URL: http://192.168.0.21/cdisk73.bin, checksum: 0x6d091b43ce96243e29a62f2330139419
Auto-update client: need to update img, act: yes, stby yes
name
ciscoasa(config)# Auto-update client: update img on stby unit...
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 9001, len = 1024
auto-update: Fover file copy waiting at clock tick 6129280
fover_parse: Rcvd file copy ack, ret = 0, seq = 4
auto-update: Fover filecopy returns value: 0 at clock tick 6150260, upd time 145980 msecs
Auto-update client: update img on active unit...
fover_parse: Rcvd image info from mate
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
Beginning configuration replication: Sending to mate.
auto-update: HA safe reload: reload active waiting with mate state: 50
auto-update: HA safe reload: reload active waiting with mate state: 50
 
auto-update: HA safe reload: reload active waiting with mate state: 80
Sauto-update: HA safe reload: reload active unit at clock tick: 6266860
Auto-update client: Succeeded: Image, version: 0x6d091b43ce96243e29a62f2330139419
 

Auto Update プロセスが失敗すると、次のシステム ログ メッセージが生成されます。

%ASA4-612002: Auto Update failed: file version: version reason: reason
 

失敗したアップデートに応じて、 file は「image」、「asdm」、または「configuration」になります。 version は、アップデートのバージョン番号です。 reason は、アップデートが失敗した原因です。

フェールオーバー ヘルスのモニタリング

ASAは、各装置について全体的なヘルスおよびインターフェイス ヘルスをモニタします。ASAがテストを実行して、各装置の状態を判断する方法の詳細については、次の項を参照してください。

「装置ヘルスのモニタリング」

「インターフェイスのモニタリング」

装置ヘルスのモニタリング

ASAは、フェールオーバー リンクをモニタして相手装置のヘルスを判断します。装置は、フェールオーバー リンクで 3 回連続して hello メッセージを受信しないときは、フェールオーバー インターフェイスを含む各インターフェイスでインターフェイス hello メッセージを送信し、ピア インターフェイスが応答するかどうかを検証します。ASAが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。

ASAがフェールオーバー インターフェイスで応答を受信した場合は、フェールオーバーを行いません。

ASAがフェールオーバー リンクで応答を受信せず、他のインターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

ASAがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。

hello メッセージの頻度と、フェールオーバーが行われる前の保持時間を設定できます。ポーリング時間が速くて保持時間が短いほど、装置の故障が短時間で検出され、フェールオーバーの実行が迅速になりますが、キープアライブ パケットを遅延させるネットワーク輻輳が原因で「偽の」障害が生じる可能性もあります。

インターフェイスのモニタリング

すべてのコンテキスト間に分割された最大 250 のインターフェイスをモニタできます。重要なインターフェイスをモニタする必要があります。たとえば、共有インターフェイスをモニタするためのコンテキストを 1 つ設定します (インターフェイスが共有されているため、すべてのコンテキストがそのモニタリングでモニタされます)。

設定した保持時間が半分経過しても装置がモニタ対象のインターフェイスで hello メッセージを受信しない場合は、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイスのステータスのテスト。リンク アップ/ダウン テストでインターフェイスが動作していることが示された場合、ASAはネットワーク テストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク アクティビティ テスト:受信ネットワーク アクティビティ テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト ping テスト:ブロードキャスト ping 要求の送信で構成される ping テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

インターフェイスに IPv4 および IPv6 アドレスが設定されている場合、ASAは IPv4 を使用してヘルス モニタリングを実行します。

インターフェイスに IPv6 アドレスだけが設定されている場合、ASAは ARP ではなく IPv6 ネイバー探索を使用してヘルス モニタリング テストを実行します。ブロードキャスト ping テストの場合、ASAは IPv6 全ノード アドレス(FE02::1)を使用します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したASAは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


フェールオーバー時間

表 60-3 に、最小、デフォルト、最大フェールオーバー時間を示します。

 

表 60-3 Cisco ASA 5500 シリーズ ASA フェールオーバー時間

フェールオーバー条件
最小
デフォルト
最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

15 秒

45 秒

アクティブ装置のメインボード インターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置の 4GE モジュール インターフェイス リンクがダウンする。

2 秒

5 秒

15 秒

アクティブ装置の IPS または CSC モジュールに障害がある。

2 秒

2 秒

2 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

フェールオーバー メッセージ

フェールオーバーが発生すると、両方のASAがシステム メッセージを送信します。この項は、次の内容で構成されています。

「フェールオーバー システム メッセージ」

「デバッグ メッセージ」

「SNMP」

フェールオーバー システム メッセージ

ASAは、深刻な状況を表すプライオリティ レベル 2 のフェールオーバーについて、複数のシステム メッセージを発行します。これらのメッセージを表示するには、『 Cisco ASA 5500 Series System Log Messagess を参照してください。ロギングをイネーブルにするには、「ロギングの設定」を参照してください。


) 切り替え中、フェールオーバーは論理的にシャットダウンした後、インターフェイスを起動し、syslog 411001 および 411002 メッセージを生成します。これは通常のアクティビティです。


デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。


) CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステム パフォーマンスに大きく影響することがあります。このため、debug fover コマンドは、特定の問題に対するトララブルシューティングや、Cisco TAC とのトラブルシューティング セッションに限定して使用してください。


SNMP

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、お使いの SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。詳細については、「SNMP の設定」を参照してください。