ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
アクティブ/アクティブ フェールオーバーの設定
アクティブ/アクティブ フェールオーバーの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/09/10 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

アクティブ/アクティブ フェールオーバーの設定

アクティブ/アクティブ フェールオーバーに関する情報

アクティブ/アクティブ フェールオーバーの概要

プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

デバイスの初期化とコンフィギュレーションの同期

コマンドの複製

フェールオーバーのトリガー

フェールオーバーのアクション

オプションのアクティブ/アクティブ フェールオーバー設定

アクティブ/アクティブ フェールオーバーのライセンス要件

Active/Active フェールオーバーの前提条件

ガイドラインと制限事項

アクティブ/アクティブ フェールオーバーの設定

[Failover](マルチ モード、セキュリティ コンテキスト)

[Failover]:[Routed]

[Failover]:[Transparent]

[Failover](マルチ モード、システム)

アクティブ/アクティブ フェールオーバーに関する情報

この項では、アクティブ/アクティブ フェールオーバーについて説明します。この項は、次の内容で構成されています。

「アクティブ/アクティブ フェールオーバーの概要」

「プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス」

「デバイスの初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバーのアクション」

アクティブ/アクティブ フェールオーバーの概要

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードのASAでのみ使用できます。アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。

アクティブ/アクティブ フェールオーバーでは、ASAのセキュリティ コンテキストは、 フェールオーバー グループ に分割されます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。最大 2 つのフェールオーバー グループを作成できます。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバです。

フェールオーバー グループは、アクティブ/アクティブ フェールオーバーにおいてフェールオーバーの基本単位を形成します。インターフェイス障害モニタリング、フェールオーバー、およびアクティブ/スタンバイ ステータスはすべて、フェールオーバー グループの属性であって、装置の属性ではありません。アクティブ側のフェールオーバー グループに障害が発生するとスタンバイ状態に変わり、一方で、スタンバイ側のフェールオーバー グループがアクティブになります。アクティブになったフェールオーバー グループのインターフェイスが、故障したフェールオーバー グループのインターフェイスの MAC アドレスと IP アドレスを引き継ぎます。スタンバイ状態になったフェールオーバー グループのインターフェイスが、スタンバイ MAC アドレスと IP アドレスを引き継ぎます。


) あるフェールオーバー グループが装置上で故障したというのは、装置が故障したという意味ではありません。その装置では、別のフェールオーバー グループが依然としてトラフィックを渡している場合があります。


フェールオーバー グループを作成する場合は、フェールオーバー グループ 1 がアクティブ状態にある装置に作成する必要があります。


) アクティブ/アクティブ フェールオーバーでは、各フェールオーバー グループのインターフェイスに対して仮想 MAC アドレスが生成されます。同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

アクティブ/スタンバイ フェールオーバーの場合のように、アクティブ/アクティブ フェールオーバー ペアの一方の装置がプライマリ装置に指定され、もう一方の装置がセカンダリ装置に指定されます。アクティブ/スタンバイ フェールオーバーの場合とは異なり、両方の装置が同時に起動された場合、この指定ではどちらの装置がアクティブになるか指示しません。代わりに、プライマリまたはセカンダリの指定時に、次の 2 つの点を判定します。

同時にブートされたときに、実行コンフィギュレーションをペアに提供する装置がいずれかを判定します。

装置が同時にブートされたときに、各フェールオーバー グループがアクティブ状態で表示される装置がいずれかを判定します。コンフィギュレーションの各フェールオーバー グループは、プライマリまたはセカンダリ装置プリファレンスが設定されます。両方のフェールオーバー グループをペアのうち一方の装置でアクティブ状態に設定して、もう一方の装置にはスタンバイ状態のフェールオーバー グループが含まれるように設定できます。ただし、さらに一般的なコンフィギュレーションでは、各フェールオーバー グループに異なる役割プリファレンスを割り当て、装置ごとにそれぞれ 1 つをアクティブにして、デバイス全体でトラフィックが分散するようにします。


) ASA は、フェールオーバーとは別にロードバランシングも提供します。フェールオーバーとロード バランシングはどちらも同じコンフィギュレーションに存在できます。ロード バランシングについては、「ロード バランシングの設定」を参照してください。


各フェールオーバー グループがアクティブになる装置は、次のように特定されます。

ピア装置が使用できないときに装置がブートされると、両方のフェールオーバー グループがピア装置でアクティブになります。

ピア装置がアクティブ(両方のフェールオーバー グループがアクティブ状態)の場合に装置がブートされると、フェールオーバー グループは、アクティブ装置でアクティブ状態のままになります。これは、次のいずれかの状態になるまで、フェールオーバー グループのプライマリ プリファレンスまたはセカンダリ プリファレンスには関係ありません。

フェールオーバーが発生した。

手動でフェールオーバーを強制実行した。

フェールオーバー グループにプリエンプションを設定した。この設定により、優先する装置が使用可能になると、フェールオーバー グループはその装置上で自動的にアクティブになります。

同時に両方の装置がブートされると、コンフィギュレーションが同期化された後、各フェールオーバー グループは優先する装置上でアクティブになります。

デバイスの初期化とコンフィギュレーションの同期

コンフィギュレーションの同期がとられるのは、フェールオーバー ペアの一方または両方の装置がブートされたときです。コンフィギュレーションは、次のように同期化されます。

ピア装置がアクティブ(ピア装置で両方のフェールオーバー グループがアクティブ)の間に装置がブートされると、ブートされた装置のプライマリまたはセカンダリ指定に関係なく、ブートされた装置はアクティブ装置にアクセスして実行コンフィギュレーションを取得します。

両方の装置が同時にブートされた場合、セカンダリ装置はプライマリ装置から実行コンフィギュレーションを取得します。

複製が開始されると、コンフィギュレーションを送信する装置の ASA コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、ASA に「End Configuration Replication to mate」というメッセージが表示されます。複製中、コンフィギュレーションを送信する装置に入力されたコマンドがピア装置に適切に複製されないことがあり、またコンフィギュレーションを受信する装置に入力されたコマンドが、受信中のコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。


) コンフィギュレーションを受信する装置の場合、コンフィギュレーションは実行メモリにだけ存在します。コンフィギュレーションを両方の装置のフラッシュ メモリに保存するには、アクティブ状態のフェールオーバー グループ 1 を持つ装置のシステム実行スペースのメニューバーから、[File] > [Save Running Configuration to flash] を選択します。外部のサーバに保存されたスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、コンテキスト コンフィギュレーション ファイルをプライマリ装置のディスク上から外部サーバにコピーし、それからセカンダリ装置のディスクにコピーできます。セカンダリ装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

両方の装置が動作中になった後で、次のように、コマンドが一方の装置からもう一方の装置に複製されます。

セキュリティ コンテキスト内で入力された変更は、そのセキュリティ コンテキストがアクティブ状態で表示される装置から、ピア装置に複製されます。


) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。


システム実行スペースで入力された変更は、フェールオーバー グループ 1 がアクティブ状態の装置から、フェールオーバー グループ 1 がスタンバイ状態の装置に複製されます。

管理コンテキストで入力された変更は、フェールオーバー グループ 1 がアクティブ状態の装置から、フェールオーバー グループ 1 がスタンバイ状態の装置に複製されます。

コマンドの複製を行うのに適切な装置上で変更を入力しなかった場合は、コンフィギュレーションは非同期になります。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。

表 66-1 に、スタンバイ装置に複製されるコマンドと複製されないコマンドを示します。

 

表 66-1 コマンドの複製

スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド

mode firewall 、および failover lan unit を除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config を除く、すべての形式の copy コマンド

copy running-config startup-config

write memory を除く、すべての形式の write コマンド

delete

debug

mkdir

failover lan unit

rename

firewall

rmdir

mode

write memory

show

フェールオーバーのトリガー

アクティブ/アクティブ フェールオーバーでは、次のいずれかのイベントが発生すると、フェールオーバーが装置レベルでトリガーされます。

装置でハードウェア障害が発生した。

装置で電源障害が発生した。

装置でソフトウェア障害が発生した。

フェールオーバーを強制実行した。(「フェールオーバーの強制実行」を参照)。

フェールオーバーは、次のいずれかのイベントが発生すると、フェールオーバー グループ レベルでトリガーされます。

グループ内の多くのモニタ対象インターフェイスが故障した。

フェールオーバーを強制実行した。(「フェールオーバーの強制実行」を参照)。

フェールオーバー グループ内のインターフェイスの数または割合を指定することで各フェールオーバー グループにフェールオーバーしきい値を設定し、故障したインターフェイスがこのしきい値(インターフェイスの数または割合)を超えた場合にそのグループは故障したと判断されます。フェールオーバー グループには複数のコンテキストを含めることができ、また各コンテキストには複数のインターフェイスを含めることができるので、1 つのコンテキストのインターフェイスがすべて故障しても、そのコンテキストに関連するフェールオーバー グループが故障と判断されない可能性があります。

インターフェイスと装置のモニタリングの詳細については、「フェールオーバー ヘルスのモニタリング」を参照してください。

フェールオーバーのアクション

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバー グループごとに行われます。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定し、フェールオーバー グループ 1 が故障すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。


) アクティブ/アクティブ フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


表 66-2 に、各障害イベントに対するフェールオーバー アクションを示します。各障害イベントに対して、ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ フェールオーバー グループのアクション、およびスタンバイ フェールオーバー グループのアクションを示します。

 

表 66-2 アクティブ/アクティブ フェールオーバーのフェールオーバー動作

障害の状況
ポリシー
アクティブ グループのアクション
スタンバイ グループのアクション
注釈

装置で電源断またはソフトウェア障害が発生した

フェールオーバー

スタンバイになり、故障とマークする

アクティブになる

アクティブに故障とマークする

フェールオーバー ペアの装置が故障すると、その装置のアクティブ フェールオーバー グループはすべて故障とマークされ、ピア装置のフェールオーバー グループがアクティブになります。

アクティブ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブ グループに故障とマークする

アクティブになる

なし。

スタンバイ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイ グループに故障とマークする

スタンバイ フェールオーバー グループが故障とマークされている場合、インターフェイス フェールオーバー障害しきい値を超えても、アクティブ フェールオーバー グループはフェールオーバーを行いません。

以前にアクティブであったフェールオーバー グループの復旧

フェールオーバーなし

動作なし

動作なし

フェールオーバー グループのプリエンプションが設定されている場合を除き、フェールオーバー グループは現在の装置でアクティブのままです。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

アクティブになる

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置の両方のフェールオーバー グループがアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

n/a

n/a

各装置で、フェールオーバー インターフェイスが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

オプションのアクティブ/アクティブ フェールオーバー設定

次のアクティブ/スタンバイ フェールオーバー オプションは、最初にフェールオーバーを設定するときに、またはフェールオーバーを設定した後で設定できます。

フェールオーバー グループ プリエンプション:プライマリまたはセカンダリのプライオリティをフェールオーバー グループに割り当てて、両方の装置が同時にブートされるときに、フェールオーバー グループがどの装置上でアクティブになるかを指定します。

ステートフル フェールオーバーでの HTTP 複製:ステート情報の複製に接続を含めることができます。

インターフェイス モニタリング:装置の最大 250 のインターフェイスをモニタし、フェールオーバーに影響を与えるインターフェイスを制御できます。

インターフェイス ヘルス モニタリング:セキュリティ アプライアンスがより早くインターフェイスの障害を検出して対応できるようにします。

フェールオーバー基準の設定:インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

仮想 MAC アドレスの設定:セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。

アクティブ/アクティブ フェールオーバーのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

サポートしない

ASA 5510、ASA 5512-X

Security Plus ライセンス

他のすべてのモデル

基本ライセンス

Active/Active フェールオーバーの前提条件

アクティブ/アクティブ フェールオーバーでは、両方の装置に以下のものが必要です。

同じハードウェア モデル。

同じインターフェイス数。

同じタイプのインターフェイス。

同じソフトウェア バージョン(メジャー(最初の番号)およびマイナー(2 番目の番号)のバージョン番号が同じ)。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを使用できます。たとえば、ある装置をバージョン 7.0(1) からバージョン 7.9(2) にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

同じソフトウェア コンフィギュレーション。

同じモード(マルチコンテキスト モード)。

適切なライセンス。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

マルチ コンテキスト モードでだけサポートされます。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

IPv6 のガイドライン

IPv6 フェールオーバーがサポートされています。

モデルのガイドライン

アクティブ/アクティブ フェールオーバーは、Cisco ASA 5505 では使用できません。

その他のガイドラインと制限事項

アクティブ/アクティブ フェールオーバーでは次の機能はサポートされていません。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。

スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用され、アクティブ IP アドレスと同じサブネットに存在する必要があります。

2 つのフェールオーバー グループの最大数を定義できます。

フェールオーバー グループは、マルチ コンテキスト モード用に設定されているデバイスのシステム コンテキストに対してだけ追加できます。

フェールオーバー グループは、フェールオーバーがディセーブルになっているときに限り作成および削除できます。

failover group コマンドを入力すると、フェールオーバー グループ コマンド モードになります。フェールオーバー グループ コンフィギュレーション モードでは、 primary secondary preempt replication http interface-policy mac address 、および polltime interface コマンドを使用できます。グローバル コンフィギュレーション モードに戻るには、 exit コマンドを使用します。

failover polltime interface failover interface-policy failover replication http failover mac address の各コマンドは、アクティブ/アクティブ フェールオーバー コンフィギュレーションでは何も行いません。これらは、 polltime interface interface-policy replication http 、および mac address の各フェールオーバー グループ コンフィギュレーション モード コマンドによって上書きされます。

フェールオーバー グループを削除するときは、フェールオーバー グループ 1 を最後に削除する必要があります。フェールオーバー グループ 1 には常に管理コンテキストが含まれます。フェールオーバー グループに割り当てられていないコンテキストはすべて、デフォルトでフェールオーバー グループ 1 になります。コンテキストが明示的に割り当てられているフェールオーバー グループは削除できません。

VPN フェールオーバーは使用できません (アクティブ/スタンバイ フェールオーバー設定だけは使用できます)。

アクティブ/アクティブ フェールオーバーの設定

[Failover](マルチ モード、セキュリティ コンテキスト)

マルチ コンテキスト モードの [Failover] ペインに表示されるフィールドは、コンテキストがトランスペアレント ファイアウォール モードであるか、ルーテッド ファイアウォール モードであるかによって変わります。

この項は、次の内容で構成されています。

[Failover]:[Routed]

[Failover]:[Transparent]

[Failover]:[Routed]

このペインを使用して、セキュリティ コンテキストの各インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスを監視するかどうかを指定します。

フィールド

[Interface table]:ASAのインターフェイスを一覧表示し、そのアクティブ IP アドレス、スタンバイ IP アドレス、モニタリング ステータスを示します。

[Interface Name column]:インターフェイス名を示します。

[Active IP column]:このインターフェイスのアクティブ IP アドレスを示します。

[Standby IP Address]:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。

[Is Monitored column]:このインターフェイスの障害を監視するかどうかを指定します。

[Edit]:選択したインターフェイスの Edit Failover Interface Configuration ダイアログボックスを表示します。

Edit Failover Interface Configuration

[Edit Failover Interface Configuration] ダイアログボックスは、インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスをモニタするかどうかを指定する場合に使用します。

フィールド

[Interface Name]:インターフェイス名を示します。

[Active IP Address]:このインターフェイスの IP アドレスを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Subnet Mask]/[Prefix Length]:このインターフェイスのマスク(IPv4 アドレスの場合)またはプレフィックス(IPv6 アドレスの場合)を示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Standby IP Address]:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Monitor interface for failure]:このインターフェイスの障害を監視するかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。モニタ対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

Normal:インターフェイスはトラフィックを受信しています。

Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

[Link Down]:インターフェイスは管理上ダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

[Failover]:[Transparent]

このペインを使用して、セキュリティ コンテキストの管理インターフェイスのスタンバイ IP アドレスを定義し、セキュリティ コンテキストのインターフェイスのステータスを監視するかどうかを指定します。

フィールド

[Interface]:セキュリティ コンテキストのインターフェイスを一覧表示し、そのモニタリング ステータスを示します。

[Interface Name]:インターフェイス名を示します。

[Is Monitored]:このインターフェイスの障害を監視するかどうかを指定します。

[Edit]:選択したインターフェイスの Edit Failover Interface Configuration ダイアログボックスを表示します。

[Management IP Address]:セキュリティ コンテキストのアクティブおよびスタンバイ管理 IP アドレスを示します。

[Active]:アクティブ フェールオーバー装置の管理 IP アドレスを示します。

[Standby]:スタンバイ フェールオーバー装置の管理 IP アドレスを指定します。

[Management Netmask]:管理アドレスに関連付けられたマスクを示します。

Edit Failover Interface Configuration

[Edit Failover Interface Configuration] ダイアログボックスを使用して、インターフェイスのステータスを監視するかどうかを指定します。

フィールド

[Interface Name]:インターフェイス名を示します。

[Monitor interface for failure]:このインターフェイスの障害を監視するかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。モニタ対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

Normal:インターフェイスはトラフィックを受信しています。

Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

[Link Down]:インターフェイスは管理上ダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

[Failover](マルチ モード、システム)

このペインには、マルチ コンテキスト モードの ASA の、システム コンテキストでのシステムレベル フェールオーバー設定を行うためのタブが含まれます。マルチ モードでは、Active/Standby フェールオーバーまたは Active/Active フェールオーバーを設定できます。アクティブ/アクティブ フェールオーバーは、デバイス マネージャでフェールオーバー グループを作成するときに、自動的にイネーブルになります。どちらのタイプのフェールオーバーの場合も、システム コンテキストでのシステムレベル フェールオーバー設定、および個々のセキュリティ コンテキストでのコンテキストレベル フェールオーバー設定を入力する必要があります。一般的なフェールオーバーの設定方法の詳細については、「「ハイ アベイラビリティに関する情報」」を参照してください。

詳細については、次の項目も参照してください。

[Failover] > [Setup] タブ

[Failover] > [Criteria] タブ

[Failover] > [Active/Active] タブ

[Failover] > [MAC Addresses] タブ

[Failover] > [Setup] タブ

このタブを使用して、マルチ コンテキスト モードの ASA でフェールオーバーをイネーブルにします。また、ステートフル フェールオーバーを使用している場合、このタブではフェールオーバー リンクおよびステート リンクも指定できます。


) ASAでの正常なフェールオーバー イベントでは、インターフェイスがダウンして、ロールが切り替えられ(IP アドレスおよび MAC アドレスが切り替えられます)、次にインターフェイスが再びアップします。ただし、このプロセスはユーザには意識されません。ASAは、フェールオーバー中にインターフェイスがダウンしたことをユーザに通知するためにリンクダウン メッセージやシステム ログ メッセージを送信する(またはフェールオーバー プロセスによってインターフェイスがアップしたことを通知するためにリンクアップ メッセージを送信する)ことはありません。


フィールド

[Enable Failover]:このチェックボックスをオンにすると、フェールオーバーがイネーブルになり、スタンバイ ASAを設定できます。


) インターフェイスの速度と二重通信の設定は、フェールオーバーがイネーブルになっても変更されません。フェールオーバー インターフェイスの速度や二重通信の設定を変更するには、フェールオーバーをイネーブルにする前に、[Configuration] > [Interfaces] ペインで設定しておく必要があります。


[Use 32 hexadecimal character key]:[Shared Key] フィールドに 16 進数値の暗号キーを入力するには、このチェックボックスをオンにします。[Shared Key] フィールドに英数字の共有秘密情報を入力する場合は、このチェックボックスをオフにします。

[Shared Key]:フェールオーバー共有秘密情報またはフェールオーバー ペア間での暗号化および認証済み通信のためのキーを指定します。

[Use 32 hexadecimal character key] チェックボックスをオンにした場合、16 進数の暗号キーを入力してください。キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。

[Use 32 hexadecimal character key] チェックボックスをオフにした場合は、英数字の共有秘密情報を入力してください。共有秘密情報は、1 ~ 63 文字で入力できます。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用されます。

[LAN Failover]:LAN フェールオーバーを設定するためのフィールドが含まれます。

[Interface]:フェールオーバー通信に使用するインターフェイスを指定します。フェールオーバーには専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。

このリストには、コンテキストに割り当てられていない、未設定のインターフェイスまたはサブインターフェイスだけが表示され、LAN フェールオーバー インターフェイスとして選択できます。インターフェイスを LAN フェールオーバー インターフェイスとして設定すると、[Configuration] > [Interfaces] ペインで編集したり、コンテキストに割り当てたりできません。

[Active IP]:アクティブ装置のフェールオーバー インターフェイスの IP アドレスを指定します。IP アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。

[Subnet Mask]/[Prefix Length]:[Active IP] に対して指定したアドレスのタイプに応じて、プライマリ装置およびセカンダリ装置のフェールオーバー インターフェイスのサブネット マスク(IPv4 アドレス)またはプレフィックスの長さ(IPv6 アドレス)を入力します。

[Logical Name]:フェールオーバー通信に使用するインターフェイスの論理名を指定します。

[Standby IP]:セカンダリ装置がプライマリ装置との通信に使用する IP アドレスを指定します。IP アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。

[Preferred Role]:このASAの優先の役割が、LAN フェールオーバーのプライマリ装置であるか、セカンダリ装置であるかを指定します。

[State Failover]:ステートフル フェールオーバーの設定のためのフィールドが含まれます。

[Interface]:フェールオーバー通信に使用するインターフェイスを指定します。未設定のインターフェイス、サブインターフェイス、または LAN フェールオーバー インターフェイスを選択できます。

LAN フェールオーバー インターフェイスを選択した場合、インターフェイスには、LAN フェールオーバーおよびステートフル フェールオーバー トラフィックの両方を処理できる十分な容量が必要です。また、アクティブ IP、サブネット マスク、論理名、スタンバイ IP の値は指定する必要はありません。LAN フェールオーバー インターフェイスに指定されている値が使用されます。


) LAN フェールオーバー インターフェイスとステートフル フェールオーバー インターフェイスには、2 つの個別の専用インターフェイスを使用することをお勧めします。


[Active IP]:プライマリ装置のステートフル フェールオーバー インターフェイスの IP アドレスを指定します。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

[Subnet Mask]/[Prefix Length]:プライマリ装置およびセカンダリ装置のステートフル フェールオーバー インターフェイスのマスク(IPv4 アドレス)またはプレフィックス(IPv6 アドレス)を指定します。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

[Logical Name]:フェールオーバー通信に使用される論理インターフェイスを指定します。[Interface] ドロップダウン リストで [Use Named] オプションを選択した場合、このフィールドには、名前付きインターフェイスのリストが表示されます。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスが選択されている場合、このフィールドはグレー表示されます。

[Standby IP]:セカンダリ装置がプライマリ装置との通信に使用する IP アドレスを指定します。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

[Enable HTTP replication]:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。

[Failover] > [Criteria] タブ

このタブを使用して、障害が発生するときのインターフェイスの数、ポーリング間に待機する時間など、フェールオーバーの基準を定義します。保持時間では、装置がフェールオーバーする前にポーリングへの応答を受信しないまま待機する間隔が指定されます。


) Active/Active フェールオーバーを設定している場合、インターフェイス ポリシーの定義にこのタブを使用しないでください。各フェールオーバー グループのインターフェイス ポリシーを定義するには、 [Failover] > [Active/Active] タブを使用します。Active/Active フェールオーバーでは、各フェールオーバー グループに定義されたインターフェイス ポリシー設定がこのタブでの設定を上書きします。Active/Active フェールオーバーをディセーブルにした場合は、このタブの設定が使用されます。


フィールド

[Interface Policy]:モニタリングでインターフェイスの障害が検出されたときのフェールオーバーのポリシーを定義するためのフィールドが含まれます。

[Number of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、ASAはフェールオーバーを行います。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、ASAはフェールオーバーを行います。

[Failover Poll Times]:フェールオーバー リンクで Hello メッセージが送信される頻度、およびオプションで、Hello メッセージが受信されない場合にピアの障害をテストする前に待機する時間を定義するためのフィールドが含まれます。

[Unit Failover]:装置間の Hello メッセージの間の時間。範囲は 1 ~ 15 秒または 200 ~ 999 ミリ秒です。

[Unit Hold Time]:装置がフェールオーバー リンク上で Hello メッセージを受信する必要がある時間(それ以外の場合は、装置がピアの障害のテスト プロセスを開始する)を設定します。範囲は 1 ~ 45 秒または 800 ~ 999 ミリ秒です。ポーリング時間の 3 倍より少ない値は入力できません。

[Monitored Interfaces]:インターフェイス間でのポーリングの間の時間。範囲は 1 ~ 15 秒または 500 ~ 999 ミリ秒です。

[Interface Hold Time]:データ インターフェイスがそのデータ インターフェイス上で Hello メッセージを受信し、その後ピアの障害発生が宣言される時間を設定します。有効な値は 5 ~ 75 秒です。

[Failover] > [Active/Active] タブ

このタブを使用して、フェールオーバー グループを定義し、ASAで Active/Active フェールオーバーをイネーブルにします。Active/Active フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。Active/Active フェールオーバーは、マルチ モードのASAでだけ使用できます。

フェールオーバー グループは、1 つのセキュリティ コンテキストの論理グループにすぎません。ASAには、2 つのフェールオーバー グループを作成できます。フェールオーバー ペアのアクティブ装置にフェールオーバー グループを作成する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバです。


) ASAでの正常なフェールオーバー イベントでは、インターフェイスがダウンして、ロールが切り替えられ(IP アドレスおよび MAC アドレスが切り替えられます)、次にインターフェイスが再びアップします。ただし、このプロセスはユーザには意識されません。ASAは、フェールオーバー中にインターフェイスがダウンしたことをユーザに通知するためにリンクダウン メッセージやシステム ログ メッセージを送信する(またはフェールオーバー プロセスによってインターフェイスがアップしたことを通知するためにリンクアップ メッセージを送信する)ことはありません。



) アクティブ/アクティブ フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


フィールド

[Failover Groups]:現在ASAに定義されているフェールオーバー グループを一覧表示します。

[Group Number]:フェールオーバー グループ番号を指定します。この番号は、コンテキストをフェールオーバー グループに割り当てるときに使用されます。

[Preferred Role]:同時に起動したり、preempt オプションが指定されたりしたときに、フェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアのプライマリ装置またはセカンダリ装置を指定します。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。

[Preempt Enabled]:このフェールオーバー グループの優先フェールオーバー デバイスである装置がリブート後にアクティブ装置になるかどうかを指定します。

[Preempt Delay]:優先フェールオーバー デバイスが、このフェールオーバー グループのアクティブ装置として引き継ぐ前に、リブート後に待機する秒数を指定します。値の範囲は 0 ~ 1200 秒です。

[Interface Policy]:グループがフェールオーバーする前に許可される監視対象インターフェイス障害の数または障害のパーセンテージのいずれかを指定します。範囲は 1 ~ 250 回の障害、または 1 ~ 100% です。

[Interface Poll Time]:インターフェイス間のポーリング間隔の時間を指定します。1 ~ 15 秒の範囲で指定できます。

[Replicate HTTP]:ステートフル フェールオーバーがアクティブ HTTP セッションをこのフェールオーバー グループのスタンバイ ファイアウォールにコピーするかどうかを示します。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Setup] タブの HTTP レプリケーションの設定を上書きします。

[Add]:[Add Failover Group] ダイアログボックスを表示します。存在するフェールオーバー グループが 2 つに満たない場合にだけ、このボタンがイネーブルになります。詳細については、「Add/Edit Failover Group」を参照してください。

[Edit]:選択したフェールオーバー グループに対して [Edit Failover Group] ダイアログボックスを表示します。詳細については、「Add/Edit Failover Group」を参照してください。

[Delete]:現在選択されているフェールオーバー グループをフェールオーバー グループ テーブルから削除します。このボタンは、リストの最終フェールオーバー グループが選択されている場合にだけイネーブルになります。

Add/Edit Failover Group

 

[Add/Edit Failover Group] ダイアログボックスを使用して、Active/Active フェールオーバー コンフィギュレーションにフェールオーバー グループを定義します。

フィールド

[Preferred Role]:フェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアのプライマリ装置またはセカンダリ装置を指定します。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。

[Preempt after booting with optional delay of]:このチェックボックスをオンにすると、フェールオーバー グループの優先フェールオーバー デバイスである装置が、リブート後にアクティブ装置になります。また、このチェックボックスをオンにすると、デバイスがアクティブ装置になる前に待機しなければならない時間を指定できる [Preempt after booting with optional delay of] フィールドとともに、リブート後に Preempt もイネーブルになります。

[Preempt after booting with optional delay of]:優先フェールオーバー デバイスである装置が、いずれかのフェールオーバー グループのアクティブ装置として引き継ぐ前に、リブート後に待機する秒数を指定します。値の範囲は 0 ~ 1200 秒です。

[Interface Policy]:モニタリングでインターフェイスの障害が検出されたときのフェールオーバーのポリシーを定義するためのフィールドが含まれます。これらの設定は、[Criteria] タブのインターフェイス ポリシー設定を上書きします。

[Number of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、ASAはフェールオーバーを行います。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、ASAはフェールオーバーを行います。

[Poll time interval for monitored interfaces]:インターフェイス間でのポーリングの間の時間。1 ~ 15 秒の範囲で指定できます。

[Enable HTTP replication]:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Setup] タブの HTTP レプリケーションの設定を上書きします。

[MAC Addresses]:アクティブおよびスタンバイ仮想 MAC アドレスが設定されているASA上の物理インターフェイスを一覧表示します。

[Physical Interface]:フェールオーバー仮想 MAC アドレスが設定されている物理インターフェイスを示します。

[Active MAC Address]:フェールオーバー グループがアクティブになっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを表示します。

[Standby MAC Address]:フェールオーバー グループがスタンバイ状態になっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを表示します。

[Add]:[Add Interface MAC Address] ダイアログボックスを表示します。仮想 MAC アドレスは、LAN フェールオーバーおよびステートフル フェールオーバー インターフェイスには割り当てることができません。詳細については、「Add/Edit Interface MAC Address」を参照してください。

[Edit]:選択したインターフェイスに対して [Edit Interface MAC Address] ダイアログボックスを表示します。詳細については、「Add/Edit Interface MAC Address」を参照してください。

[Delete]:現在選択されているインターフェイスを MAC アドレス テーブルから削除します。確認されず、やり直しもできません。

Add/Edit Interface MAC Address

[Add/Edit Interface MAC Address] ダイアログボックスを使用して、フェールオーバー グループのインターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを定義します。インターフェイスに仮想 MAC アドレスを指定しない場合、次のようにデフォルトの仮想 MAC アドレスが指定されます。

アクティブ ユニットのデフォルトの MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01

スタンバイ装置のデフォルト MAC アドレス:00a0.c9: physical_port_number . failover_group_id 02


) 同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


これらの MAC アドレスは、インターフェイスの物理 MAC アドレスを上書きします。

フィールド

[Physical Interface]:フェールオーバー仮想 MAC アドレスを定義する物理インターフェイスを指定します。フェールオーバー中は、LAN フェールオーバーおよびステートフル フェールオーバー インターフェイスに対して MAC アドレスは変更されないので、これらのインターフェイスは選択できません。

[MAC Addresses]:インターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを指定するためのフィールドが含まれます。

[Active Interface]:フェールオーバー グループがアクティブになっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを指定します。各インターフェイスには、MAC アドレスを 2 つまで指定できます。それぞれ各フェールオーバー グループのための MAC アドレスで、物理 MAC アドレスを上書きします。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

[Standby Interface]:フェールオーバー グループがスタンバイ状態になっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを指定します。各インターフェイスには、MAC アドレスを 2 つまで指定できます。それぞれ各フェールオーバー グループのための MAC アドレスで、物理 MAC アドレスを上書きします。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

[Failover] > [MAC Addresses] タブ

[MAC Addresses] タブでは、Active/Standby フェールオーバー ペアのインターフェイスの仮想 MAC アドレスを設定できます。

アクティブ/スタンバイ フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを指定しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステート リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


Active/Active フェールオーバーでは、このタブで設定された MAC アドレスは無効になります。代わりに、フェールオーバー グループで定義された MAC アドレスが使用されます。

フィールド

[MAC Addresses]:アクティブおよびスタンバイ仮想 MAC アドレスが設定されているASA上の物理インターフェイスを一覧表示します。

[Physical Interface]:フェールオーバー仮想 MAC アドレスが設定されている物理インターフェイスを示します。

[Active MAC Address]:アクティブ ASA(通常プライマリ)の MAC アドレスを示します。

[Stanby MAC Address]:スタンバイ ASA(通常セカンダリ)の MAC アドレスを示します。

[Add]: Add/Edit Interface MAC Address ダイアログボックスを表示します。

[Edit]:選択したインターフェイスの Add/Edit Interface MAC Address ダイアログボックスを表示します。

[Delete]:現在選択されているインターフェイスを MAC アドレス テーブルから削除します。確認されず、やり直しもできません。

Add/Edit Interface MAC Address

[Add/Edit Interface MAC Address] ダイアログボックスを使用して、インターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを定義します。

フィールド

[Physical Interface]:フェールオーバー仮想 MAC アドレスを定義する物理インターフェイスを指定します。フェールオーバー中は、LAN フェールオーバーおよびステートフル フェールオーバー インターフェイスに対して MAC アドレスは変更されないので、これらのインターフェイスは選択できません。

[MAC Addresses]:インターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを指定するためのフィールドが含まれます。

[Active Interface]:アクティブ ASA(通常プライマリ)上のインターフェイスの MAC アドレスを指定します。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

[Standby Interface]:スタンバイ ASA(通常セカンダリ)上のインターフェイスの MAC アドレスを指定します。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

マルチ コンテキスト モードでの非対称ルーティング グループの設定


) 非対称ルーティング(ASR)グループを設定するには、管理コンテキストである必要があり、管理コンテキストがアクティブである必要があります。


ASR グループを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Routing] > [ASR Groups] を選択します。

ステップ 2 設定されたインターフェイスの ASR グループ ID を [ASR Group ID] ドロップダウン リストから指定します。1 つのインターフェイスに割り当てることができるグループの最大数は 8 個です。他のコンテキストによってグループにインターフェイスが割り当てられている場合、このコンテキストに割り当てることができるグループは少なくなります。

ステップ 3 [Apply] をクリックし、変更内容を実行コンフィギュレーションに保存します。


 

フェールオーバーの制御

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項は、次の内容で構成されています。

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「障害が発生した装置またはフェールオーバー グループの復元」

フェールオーバーの強制実行

装置レベルでフェールオーバーを強制実行するには、次の手順を実行します。


ステップ 1 [System] > [Monitoring] > [Failover] > [System] を開きます。

ステップ 2 次のいずれかのボタンをクリックします。

[Make Active] をクリックすると、その装置がアクティブ装置になります。

[Make Standby] をクリックすると、相手装置がアクティブ装置になります。


 

フェールオーバー グループ レベルでフェールオーバーを強制実行するには、次の手順を実行します。


ステップ 1 [System] > [Monitoring] > [Failover] > [Failover Group # ] を開きます。 # は、制御するフェールオーバー グループの番号です。

ステップ 2 次のいずれかのボタンをクリックします。

[Make Active] をクリックすると、セキュリティ アプライアンスでフェールオーバー グループがアクティブになります。

[Make Standby] をクリックすると、他のセキュリティ アプライアンスでフェールオーバー グループがアクティブになります。


 

フェールオーバーのディセーブル化

アクティブ/アクティブ フェールオーバー ペアでフェールオーバーをディセーブル化すると、どの装置を優先するように設定されていようと、フェールオーバー グループはアクティブであるすべての装置でアクティブ状態のまま維持されます。システム実行スペースで no failover コマンドを実行します。

フェールオーバーをディセーブルにするには、次の手順を実行します。


ステップ 1 [System] > [Configuration]> [Device Setup] > [High Availability] > [Failover] > [Setup] タブを開きます。

ステップ 2 [Enable Failover] チェックボックスをオフにします。


 

障害が発生した装置またはフェールオーバー グループの復元

障害が発生した装置またはフェールオーバー グループを復元すると、その装置またはフェールオーバー グループは故障状態からスタンバイ状態になります。フェールオーバー グループまたは装置は、自動的にはアクティブ状態になりません。復元された装置またはグループは、フェールオーバー(強制または性質)によってアクティブになるまではスタンバイ状態のままです。ただし、フェールオーバー プリエンプションが設定されているフェールオーバー グループは例外です。以前アクティブであったフェールオーバー グループにプリエンプションが設定されており、障害が発生した装置が優先装置の場合、そのフェールオーバー グループはアクティブになります。

障害が発生した装置を障害のない状態に復元するには、次の手順を実行します。


ステップ 1 [System] > [Monitoring] > [Failover] > [System] を開きます。

ステップ 2 [Reset Failover] をクリックします。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。


 

障害が発生したフェールオーバー グループを障害のない状態に復元するには、次の手順を実行します。


ステップ 1 [System] > [Monitoring] > [Failover] > [Failover Group # ] を開きます。 # は、復元するフェールオーバー グループの番号です。

ステップ 2 [Reset Failover] をクリックします。


 

アクティブ/アクティブ フェールオーバーのモニタリング

[Monitoring] > [Properties] > [Failover] 領域で次の画面を使用して、アクティブ/アクティブ フェールオーバーをモニタします。

「System」

「[Failover Group 1] と [Failover Group 2]」

System

[System] ペインには、システムのフェールオーバー状態が表示されます。また、システムのフェールオーバー状態を次の方法で制御できます。

デバイスのアクティブ/スタンバイ状態を切り替える。

障害が発生したデバイスをリセットする。

スタンバイ装置をリロードする。

フィールド

[Failover state of the system]: 表示専用 。ASAのフェールオーバー状態を表示します。表示される情報は、 show failover コマンドで受け取る出力と同じです。表示される出力の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。

[System] ペインでは、次のアクションを使用できます。

[Make Active]:このボタンをクリックして、アクティブ/スタンバイ コンフィギュレーションでASAをアクティブ装置にします。アクティブ/アクティブ コンフィギュレーションで、このボタンをクリックすると、ASAで両方のフェールオーバー グループがアクティブになります。

[Make Standby]:このボタンをクリックして、アクティブ/スタンバイ ペアでASAをスタンバイ装置にします。アクティブ/アクティブ コンフィギュレーションで、このボタンをクリックすると、ASAで両方のフェールオーバー グループがスタンバイ状態になります。

[Reset Failover]:このボタンをクリックして、システムを障害状態からスタンバイ状態にリセットします。システムをアクティブ状態にはリセットできません。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。

[Reload Standby]:このボタンをクリックして、スタンバイ装置を強制的にリロードします。

[Refresh]:このボタンをクリックして、[system] フィールドのフェールオーバー状態にあるステータス情報をリフレッシュします。

[Failover Group 1] と [Failover Group 2]

[Failover Group 1] ペインおよび [Failover Group 2] ペインには、選択したグループのフェールオーバー状態が表示されます。また、グループのアクティブ/スタンバイ状態を切り替えるか、または障害が発生したグループをリセットして、グループのフェールオーバー状態を制御することもできます。

フィールド

[Failover state of Group[ x ]]: 表示専用 。選択したフェールオーバー グループのフェールオーバー状態を表示します。表示される情報は、 show failover group コマンドで受け取る出力と同じです。

このペインで次のアクションを実行できます。

[Make Active]:このボタンをクリックして、ASAでフェールオーバー グループをアクティブ装置にします。

[Make Standby]:このボタンをクリックして、ASAでフェールオーバー グループを強制的にスタンバイ状態にします。

[Reset Failover]:このボタンをクリックして、システムを障害状態からスタンバイ状態にリセットします。システムをアクティブ状態にはリセットできません。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。

[Refresh]:このボタンをクリックして、[system] フィールドのフェールオーバー状態にあるステータス情報をリフレッシュします。

アクティブ/アクティブ フェールオーバーの機能履歴

表 66-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 66-3 アクティブ/アクティブ フェールオーバーの機能履歴

機能名
リリース
機能情報

アクティブ/アクティブ フェールオーバー

7.0

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。

この機能および関連するコマンドが導入されました。

フェールオーバーでの IPv6 サポート

8.2(2)

次の画面が変更されました。

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces]。