ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
アクティブ/スタンバイ フェールオーバーの設定
アクティブ/スタンバイ フェールオーバーの設定
発行日;2012/09/25 | 英語版ドキュメント(2012/09/05 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

アクティブ/スタンバイ フェールオーバーの設定

アクティブ/スタンバイ フェールオーバーに関する情報

アクティブ/スタンバイ フェールオーバーの概要

プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

デバイスの初期化とコンフィギュレーションの同期

コマンドの複製

フェールオーバーのトリガー

フェールオーバーのアクション

オプションのアクティブ/スタンバイ フェールオーバー設定

アクティブ/スタンバイ フェールオーバーのライセンス要件

アクティブ/スタンバイ フェールオーバーの前提条件

ガイドラインと制限事項

アクティブ/スタンバイ フェールオーバーの設定

フェールオーバーの設定

インターフェイスのスタンバイ アドレスの設定

ルーテッド ファイアウォール モードでのインターフェイスのスタンバイ アドレスの設定

トランスペアレント ファイアウォール モードでの管理インターフェイスのスタンバイ アドレスの設定

オプションのアクティブ/スタンバイ フェールオーバー設定値の設定

インターフェイス モニタリングのディセーブル化とイネーブル化

フェールオーバー基準の設定

装置およびインターフェイスのヘルス ポーリング時間の設定

仮想 MAC アドレスの設定

フェールオーバーの制御

フェールオーバーの強制実行

フェールオーバーのディセーブル化

障害が発生した装置の復元

アクティブ/スタンバイ フェールオーバーのモニタリング

アクティブ/スタンバイ フェールオーバーの機能履歴

アクティブ/スタンバイ フェールオーバーの設定

この章では、アクティブ/スタンバイ フェールオーバーを設定する方法について説明します。次の項目を取り上げます。

「アクティブ/スタンバイ フェールオーバーに関する情報」

「アクティブ/スタンバイ フェールオーバーのライセンス要件」

「アクティブ/スタンバイ フェールオーバーの前提条件」

「ガイドラインと制限事項」

「アクティブ/スタンバイ フェールオーバーの設定」

「フェールオーバーの制御」

「アクティブ/スタンバイ フェールオーバーのモニタリング」

「アクティブ/スタンバイ フェールオーバーの機能履歴」

アクティブ/スタンバイ フェールオーバーに関する情報

ここでは、アクティブ/スタンバイ フェールオーバーを設定する手順について説明します。次の項目を取り上げます。

「アクティブ/スタンバイ フェールオーバーの概要」

「プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス」

「デバイスの初期化とコンフィギュレーションの同期」

「コマンドの複製」

「フェールオーバーのトリガー」

「フェールオーバーのアクション」

アクティブ/スタンバイ フェールオーバーの概要

アクティブ/スタンバイ フェールオーバーでは、スタンバイASAを使用して、障害の発生した装置の機能を引き継ぐことができます。アクティブ装置が故障すると、スタンバイ状態に変わり、そしてスタンバイ装置がアクティブ状態に変わります。アクティブになる装置が、障害の発生した装置の IP アドレス(または、トランスペアレント ファイアウォールの場合は管理 IP アドレス)および MAC アドレスを引き継いで、トラフィックの転送を開始します。現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク デバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。


) マルチ コンテキスト モードの場合、ASAは装置全体(すべてのコンテキストを含む)をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーすることはできません。


プライマリ/セカンダリ ステータスとアクティブ/スタンバイ ステータス

フェールオーバー ペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。このルールの例外は、セカンダリ装置がアクティブであり、フェールオーバー リンク経由でプライマリ装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アドレスが使用されます。

デバイスの初期化とコンフィギュレーションの同期

コンフィギュレーションの同期は、フェールオーバー ペアの一方または両方のデバイスがブートされると行われます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。スタンバイ装置は、その初期スタートアップを完了すると、自分の実行コンフィギュレーションを削除し(アクティブ装置との通信に必要なフェールオーバー コマンドを除く)、アクティブ装置は自分のコンフィギュレーション全体をスタンバイ装置に送信します。

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。


) セカンダリ装置がブートされてプライマリ装置を検出できないと、その装置はアクティブ装置になります。アクティブ IP アドレスには、セカンダリ装置自体の MAC アドレスを使用します。しかし、プライマリ装置が使用可能になると、セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワーク トラフィックが中断されることがあります。これを回避するには、フェールオーバー ペアを仮想 MAC アドレスで設定します。詳細については、「仮想 MAC アドレスの設定」を参照してください。


複製が開始されると、アクティブ装置の ASA コンソールに「Beginning configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、ASA に「End Configuration Replication to mate」というメッセージが表示されます。複製中、アクティブ装置に入力されたコマンドがスタンバイ装置に適切に複製されないことがあり、またスタンバイ装置に入力されたコマンドが、アクティブ装置から複製されているコンフィギュレーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェールオーバー ペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサイズによって、複製は数秒で済むことも数分かかることもあります。


crypto ca server コマンドおよび関連するサブコマンドは、フェールオーバー ピアに同期化されません。



) スタンバイ装置の場合、コンフィギュレーションは実行メモリにだけ存在します。コンフィギュレーションをスタンバイ装置のフラッシュ メモリに保存するには、[File] > [Save Running Configuration to Flash] の順に選択します。 外部のサーバに保存されたスタートアップ コンフィギュレーションは、ネットワーク経由で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコピーできます。スタンバイ装置で、装置がリロードされると、そのコンテキストが使用可能になります。


コマンドの複製

コマンドの複製は常に、アクティブ装置からスタンバイ装置の方向に行われます。 ASDM でアクティブ装置に変更を適用すると、関連付けられたコマンドがフェールオーバー リンクを通してスタンバイ装置に送信されます。コマンドを複製する場合、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。

表 65-1 に、スタンバイ装置に複製されるコマンドと複製されないコマンドを示します。

 

表 65-1 コマンドの複製

スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド

mode firewall 、および failover lan unit を除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config を除く、すべての形式の copy コマンド

copy running-config startup-config

write memory を除く、すべての形式の write コマンド

delete

crypto ca server および関連するサブコマンド

mkdir

debug

rename

failover lan unit

rmdir

firewall

write memory

mode

--

show

--

terminal pager および pager


) スタンバイ装置上で行った変更は、アクティブ装置に複製されません。スタンバイ装置にコマンドを入力すると、ASAに「**** WARNING **** Configuration Replication is NOT performed from Standby unit to Active unit.Configurations are no longer synchronized.」というメッセージが表示されます。このメッセージは、コンフィギュレーションに影響しない数多くのコマンドを入力したときにも表示されます。


複製されたコマンドは、実行コンフィギュレーションに保存されます。複製されたコマンドをスタンバイ装置のフラッシュ メモリに保存するには、[File] > [Save Running Configuration to Flash] の順に選択します。


) スタンバイ フェールオーバーによって、次のファイルおよびコンフィギュレーション コンポーネントは複製されません。

AnyConnect イメージ

CSD イメージ

ASA イメージ

AnyConnect プロファイル

ローカル認証局(CA)

ASDM イメージ


 

フェールオーバーのトリガー

次のいずれかのイベントが発生した場合、装置が故障する可能性があります。

装置でハードウェア障害または電源断が発生した。

装置でソフトウェア障害が発生した。

多くのモニタ対象インターフェイスが故障した。

フェールオーバーを強制実行した。( 「フェールオーバーの強制実行」 を参照)。

フェールオーバーのアクション

アクティブ/スタンバイ フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチ コンテキスト モードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

表 65-2 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 65-2 フェールオーバー動作

障害の状況
ポリシー
アクティブ アクション
スタンバイ アクション
注釈

アクティブ装置が故障(電源またはハードウェア)

フェールオーバー

n/a

アクティブになる

アクティブに故障とマークする

モニタ対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーなし

スタンバイになる

動作なし

なし。

スタンバイ装置が故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

n/a

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

フェールオーバー インターフェイスに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー インターフェイスに故障とマークする

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステートフル フェールオーバー リンクに障害が発生した

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

アクティブ装置におけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし。

スタンバイ装置におけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

オプションのアクティブ/スタンバイ フェールオーバー設定

次のアクティブ/スタンバイ フェールオーバー オプションは、最初にフェールオーバーを設定するときに、またはフェールオーバーを設定した後で設定できます。

ステートフル フェールオーバーでの HTTP 複製:ステート情報の複製に接続を含めることができます。

インターフェイス モニタリング:装置の最大 250 のインターフェイスをモニタし、フェールオーバーに影響を与えるインターフェイスを制御できます。

インターフェイス ヘルス モニタリング:ASA がより早くインターフェイスの障害を検出して対応できるようにします。

フェールオーバー基準の設定:インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。

仮想 MAC アドレスの設定:セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。

アクティブ/スタンバイ フェールオーバーのライセンス要件

次の表に、この機能のライセンス要件を示します。

 

モデル
ライセンス要件

ASA 5505

Security Plus ライセンス (ステートフル フェールオーバーはサポートされません)。

ASA 5510、ASA 5512-X

Security Plus ライセンス

他のすべてのモデル

基本ライセンス

アクティブ/スタンバイ フェールオーバーの前提条件

アクティブ/スタンバイ フェールオーバーには、次の前提条件があります。

両方の装置が同じ ASA であり、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。

両方の装置が、同じソフトウェア コンフィギュレーションと適切なライセンスを備えている必要があります。

両方の装置のモード(シングルまたはマルチ、透過またはルーテッド)が同じである必要があります。

ガイドラインと制限事項

この項では、この機能のガイドラインと制限事項について説明します。

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

マルチ コンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードおよびルーテッド ファイアウォール モードでサポートされます。

IPv6 のガイドライン

IPv6 フェールオーバーがサポートされています。

モデルのガイドライン

ステートフル フェールオーバーは、ASA 5505 ではサポートされていません。

その他のガイドラインと制限事項

アクティブ/スタンバイ フェールオーバーには、次のガイドラインと制限事項が適用されます。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。

スタンバイ IP アドレスは、現在スタンバイ装置である ASA で使用されます。スタンバイ IP アドレスは、アクティブ装置で対応しているインターフェイス上のアクティブ IP アドレスと同じサブネット内にある必要があります。

フェールオーバー ペアのアクティブ装置でコンソール端末のページ設定を変更した場合、アクティブなコンソール端末のページ設定は変更されますが、スタンバイ装置の設定は変更されません。アクティブ装置で発行されたデフォルト コンフィギュレーションは、スタンバイ装置の動作にも影響を与えます。

インターフェイス モニタリングをイネーブルにすると、1 台の装置で最大 250 のインターフェイスをモニタできます。

デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、ASAは HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 failover replication http コマンドを使用するとステートフル フェールオーバー環境で HTTP セッションのステートフルな複製がイネーブルになりますが、システムのパフォーマンスが低下する可能性があります。

AnyConnect イメージは、フェールオーバー ペアの両方の ASA で同じである必要があります。ヒットレス アップグレードを実行するときにフェールオーバー ペアのイメージが一致しないと、アップグレード プロセスの最後のリブート手順で WebVPN 接続が切断され、データベースには孤立したセッションが残り、IP プールではクライアントに割り当てられた IP アドレスが「使用中」として示されます。

アクティブ/スタンバイ フェールオーバーの設定

この項では、アクティブ/スタンバイ フェールオーバーを設定する方法について説明します。この項は、次の内容で構成されています。

「フェールオーバーの設定」

「オプションのアクティブ/スタンバイ フェールオーバー設定値の設定」

フェールオーバーの設定

両方の装置でアクティブ/スタンバイ フェールオーバーを設定するには、次の手順を実行します。

フェールオーバー インターフェイスの速度と二重通信の設定は、フェールオーバーがイネーブルになっても変わりません。フェールオーバー インターフェイスの速度や二重通信の設定を変更するには、フェールオーバーをイネーブルにする前に、[Configuration] > [Interfaces] ペインで設定しておく必要があります。


ステップ 1 [Configuration] > [Device Management] > [Failover] > [Setup] タブを選択します。

ステップ 2 [Enable Failover] チェックボックスをオンにします。


) デバイスに変更を適用するまで、フェールオーバーは実際にはイネーブルになりません。


ステップ 3 フェールオーバー リンクを暗号化するには、次の手順を実行します。

a. (任意)[Use 32 hexadecimal character key] チェックボックスをオンにして、[Shared Key] フィールドに 16 進数値の暗号キーを入力します。

b. [Shared Key] フィールドに暗号キーを入力します。

[Use 32 hexadecimal character key] チェックボックスをオンにした場合、16 進数の暗号キーを入力してください。キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。

[Use 32 hexadecimal character key] チェックボックスがオフの場合は、英数字の共有秘密を入力してください。共有秘密情報は、1 ~ 63 文字で入力できます。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用されます。

ステップ 4 フェールオーバー リンクに使用するインターフェイスを [Interface] リストから選択します。フェールオーバーには専用インターフェイスが必要ですが、ステートフル フェールオーバーとインターフェイスを共有できます。

このリストには、未設定のインターフェイスまたはサブインターフェイスだけが表示され、LAN フェールオーバー インターフェイスとして選択できます。インターフェイスを LAN フェールオーバー インターフェイスに指定すると、そのインターフェイスは [Configuration] > [Interfaces] ペインでは編集できません。

ステップ 5 フェールオーバー通信に使用するインターフェイスの論理名を [Logical Name] フィールドで指定します。

ステップ 6 インターフェイスのアクティブ IP アドレスを [Active IP] フィールドで指定します。IP アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。両方のタイプのアドレスをフェールオーバー リンク インターフェイス上で設定することはできません。

ステップ 7 [Active IP] に対して指定したアドレスのタイプに応じて、フェールオーバー インターフェイスのサブネット マスク(IPv4 アドレス)またはプレフィックスの長さ(IPv6 アドレス)を [Subnet Mask]/[Prefix Length] フィールドに入力します。フィールドの名前は [Active IP] フィールドで指定したアドレスのタイプによって変わります。

ステップ 8 セカンダリ装置とプライマリ装置との通信に使用する IP アドレスを [Standby IP] フィールドで指定します。IP アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。

ステップ 9 [Preferred Role] フィールドで [Primary] または [Secondary] を選択し、この ASA の優先の役割をプライマリ装置またはセカンダリ装置として指定します。

ステップ 10 (任意)次の手順でステートフル フェールオーバー リンクを設定します。


) ステートフル フェールオーバーは、ASA 5505 プラットフォームでは使用できません。この領域は、ASA 5505 で実行している ASDM には表示されません。


a. ステート通信に使用するインターフェイスを指定します。選択できるのは、未設定のインターフェイスまたはサブインターフェイス、LAN フェールオーバー インターフェイス、または [Use Named] オプションです。


) LAN フェールオーバー インターフェイスとステートフル フェールオーバー インターフェイスには、2 つの個別の専用インターフェイスを使用することをお勧めします。


未設定のインターフェイスまたはサブインターフェイスを選択した場合、そのインターフェイスのアクティブ IP、サブネット マスク、スタンバイ IP、および論理名を入力する必要があります。

LAN フェールオーバー インターフェイスを選択した場合は、アクティブ IP、サブネット マスク、論理名、およびスタンバイ IP の値を指定する必要はありません。LAN フェールオーバー インターフェイスに指定されている値が使用されます。

[Use Named] オプションを選択した場合、[Logical Name] フィールドは、名前のついたインターフェイスのドロップダウン リストになります。このリストからインターフェイスを選択します。アクティブ IP、サブネット マスク/プレフィックスの長さ、スタンバイ IP の値を指定する必要はありません。そのインターフェイスに指定された値が使用されます。[Interfaces] タブで選択したインターフェイスにスタンバイ IP アドレスを指定してください。


) ステートフル フェールオーバーでは、大量のトラフィックが生成されることがあるため、ステートフル フェールオーバーと通常トラフィックの両方のパフォーマンスが、名前付きインターフェイスを使用することで影響を受けることがあります。


b. ステートフル フェールオーバー インターフェイスの IP アドレスを [Active IP] フィールドで指定します。IP アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。両方のタイプのアドレスをフェールオーバー リンク インターフェイス上で設定することはできません。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

c. ステートフル フェールオーバー インターフェイスのマスク(IPv4 アドレス)またはプレフィックス(IPv6 アドレス)を [Subnet Mask]/[Prefix Length] で指定します。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

d. フェールオーバー通信に使用するインターフェイス名を [Logical Name] フィールドで指定します。[Interface] ドロップダウン リストで [Use Named] オプションを選択した場合、このフィールドには、名前付きインターフェイスのリストが表示されます。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスが選択されている場合、このフィールドはグレー表示されます。

e. セカンダリ装置とプライマリ装置との通信に使用する IP アドレスを [Standby IP] フィールドで指定します。IP アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。[Interface] ドロップダウン リストで LAN フェールオーバー インターフェイスまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

f. (任意)[Enable HTTP Replication] チェックボックスをオンにして、HTTP 複製をイネーブルにします。これにより、ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ ファイアウォールにコピーできるようになります。HTTP 複製を許可しない場合、HTTP 接続はフェールオーバーの発生時に切断されます。

ステップ 11 [Apply] をクリックします。

コンフィギュレーションはフェールオーバー ペアのデバイスに保存されます。


 

インターフェイスのスタンバイ アドレスの設定

ASDM でのスタンバイ IP アドレスの設定は、装置の動作モードによって異なります。この項は、次の内容で構成されています。

「ルーテッド ファイアウォール モードでのインターフェイスのスタンバイ アドレスの設定」

「トランスペアレント ファイアウォール モードでの管理インターフェイスのスタンバイ アドレスの設定」

ルーテッド ファイアウォール モードでのインターフェイスのスタンバイ アドレスの設定

ASA の各インターフェイスのスタンバイ アドレスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブを選択します。

設定済みインターフェイスのリストが表示されます。各インターフェイスの IP アドレスが [Active IP Address] カラムに表示されます。インターフェイスのスタンバイ IP アドレスが設定されている場合は、[Standby IP address] カラムに表示されます。フェールオーバー インターフェイスおよびステートフル フェールオーバー インターフェイスについては IP アドレスは表示されません。これらのアドレスはこのタブから変更できません。

ステップ 2 スタンバイ IP アドレスが設定されていない各インターフェイスについて、[Standby IP Address] フィールドをダブルクリックし、次のいずれかを実行します。

[...] ボタンをクリックし、IP アドレスをリストから選択します。

IP アドレスをフィールドに入力します。アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。


 

インターフェイスがモニタリング対象かどうかについても、このタブから指定できます。インターフェイス モニタリングの設定方法の詳細については、「インターフェイス モニタリングのディセーブル化とイネーブル化」を参照してください。

トランスペアレント ファイアウォール モードでの管理インターフェイスのスタンバイ アドレスの設定

マルチ コンテキスト モードでは、各コンテキストでこの手順を実行する必要があります。

ASA で管理インターフェイスのスタンバイ アドレスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブを選択します。

設定済みインターフェイスのリストが表示されます。管理インターフェイスのみに IP アドレスが表示されます。

ステップ 2 スタンバイ IP アドレスが設定されていない管理インターフェイスについて、[Standby IP Address] フィールドをダブルクリックし、次のいずれかを実行します。

[...] ボタンをクリックし、IP アドレスをリストから選択します。

IP アドレスをフィールドに入力します。アドレスは、IPv4 と IPv6 のどちらのアドレスでもかまいません。


 

インターフェイスがモニタリング対象かどうかについても、このタブから指定できます。インターフェイス モニタリングの設定方法の詳細については、「インターフェイス モニタリングのディセーブル化とイネーブル化」を参照してください。

オプションのアクティブ/スタンバイ フェールオーバー設定値の設定

この項は、次の内容で構成されています。

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「フェールオーバー基準の設定」

「装置およびインターフェイスのヘルス ポーリング時間の設定」

「仮想 MAC アドレスの設定」

フェールオーバー ペアのプライマリ装置を最初に設定する場合、または初期コンフィギュレーションの後でフェールオーバー ペアのアクティブ装置で、オプションのアクティブ/スタンバイ フェールオーバーを設定できます。

インターフェイス モニタリングのディセーブル化とイネーブル化

特定のインターフェイスのモニタリングをディセーブルにし、別のモニタリングをイネーブルにすることで、フェールオーバー ポリシーに影響を与えるインターフェイスを制御できます。この機能を使用すると、重要度の低いネットワークに接続されているインターフェイスがフェールオーバー ポリシーに影響を与えないようにできます。

1 台の装置で最大 250 のインターフェイスをモニタできます。デフォルトでは、物理インターフェイスのモニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。

インターフェイス ポーリング頻度ごとに、ASA フェールオーバー ペア間で hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して hello が検出されないと(25 秒間)、そのインターフェイスでテストが開始します。

モニタ対象のフェールオーバー インターフェイスには、次のステータスが設定されます。

Unknown:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

Normal:インターフェイスはトラフィックを受信しています。

Testing:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

Link Down:インターフェイスまたは VLAN は管理のためにダウンしています。

No Link:インターフェイスの物理リンクがダウンしています。

Failed:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

シングル コンフィギュレーション モードの装置の特定のインターフェイスについて、ヘルス モニタリングをイネーブルまたはディセーブルにするには、次のコマンドのいずれかを入力します。または、マルチ コンフィギュレーション モードの装置の場合は、各セキュリティ コンテキストでコマンドを入力する必要があります。

インターフェイスのモニタリングをディセーブルまたはイネーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブを選択します。

設定済みインターフェイスのリストが表示されます。[Monitored] カラムに、フェールオーバー基準の一部としてインターフェイスがモニタされているかどうかが表示されます。モニタされている場合は、[Monitored] チェックボックスがオンになっています。

ステップ 2 表示されているインターフェイスのモニタリングをディセーブルにするには、インターフェイスの [Monitored] チェックボックスをオフにします。

ステップ 3 表示されているインターフェイスのモニタリングをイネーブルにするには、インターフェイスの [Monitored] チェックボックスをオンにします。


 

フェールオーバー基準の設定

インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。

[Configuration] > [Device Management] > [High Availability] > [Criteria] タブを使用して、障害が発生するときのインターフェイスの数、ポーリング間に待機する時間など、フェールオーバーの基準を定義します。保持時間では、装置がフェールオーバーする前にポーリングへの応答を受信しないまま待機する間隔が指定されます。

保持時間とポーリング時間を設定する方法の詳細については、「装置およびインターフェイスのヘルス ポーリング時間の設定」を参照してください。

インターフェイス ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Criteria] タブを選択します。

ステップ 2 [Interface Policy] 領域で、次のいずれかの操作を実行します。

フェールオーバーをトリガーする基準となる、障害が発生したインターフェイスの数を定義するには、[Number of failed interfaces] フィールドに 1 ~ 250 の数を入力します。障害が発生したモニタ対象インターフェイスの数が指定した値を超えると、ASA はフェールオーバーします。

フェールオーバーをトリガーする基準となる、障害が発生した設定済みインターフェイスの割合を定義するには、[Percentage of failed interfaces] フィールドに割合を入力します。障害が発生したモニタ対象インターフェイスの数が設定した割合を超えると、ASA はフェールオーバーします。

ステップ 3 [Apply] をクリックします。


 

装置およびインターフェイスのヘルス ポーリング時間の設定

ASAは、各データ インターフェイスから hello パケットを送信して、インターフェイス ヘルスをモニタします。アプライアンスは、フェールオーバー リンクを通して hello メッセージを送信し、装置ヘルスをモニタします。保持時間の半分以上が経過してもASAがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、ASA はインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。ポーリング時間と保持時間を延長すると、ASAがネットワーク上でフェールオーバーし、長時間の遅延が発生するのを防止できます。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Criteria] タブを選択します。

ステップ 2 インターフェイスのポーリング時間と保持時間を設定するには、[Failover Poll Times] 領域で次の値を変更します。

[Monitored Interfaces]:インターフェイス間でのポーリングの間の時間。範囲は 1 ~ 15 秒または 500 ~ 999 ミリ秒です。

[Interface Hold Time]:データ インターフェイスがそのデータ インターフェイス上で Hello メッセージを受信し、その後ピアの障害発生が宣言される時間を設定します。有効な値は 5 ~ 75 秒です。

ステップ 3 装置のポーリング時間と保持時間を設定するには、[Failover Poll Times] 領域で次の値を変更します。

[Unit Failover]:装置間の Hello メッセージの間の時間。範囲は 1 ~ 15 秒または 200 ~ 999 ミリ秒です。

[Unit Hold Time]:装置がフェールオーバー リンク上で Hello メッセージを受信する必要がある時間(それ以外の場合は、装置がピアの障害のテスト プロセスを開始する)を設定します。範囲は 1 ~ 45 秒または 800 ~ 999 ミリ秒です。ポーリング時間の 3 倍より少ない値は入力できません。

ステップ 4 [Apply] をクリックします。


 

仮想 MAC アドレスの設定

[Configuration] > [Device Management] > [High Availability] > [MAC Addresses] タブには、アクティブ/スタンバイ フェールオーバー ペアのインターフェイスの仮想 MAC アドレスが表示されます。


) このタブは、ASA 5505 プラットフォームでは使用できません。


アクティブ/スタンバイ フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを使用しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステートフル フェールオーバー リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


インターフェイスの仮想 MAC アドレスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [MAC Addresses] タブを開きます。

ステップ 2 既存の仮想 MAC アドレス エントリを編集するには、MAC アドレスを変更するインターフェイスの行をダブルクリックします。新しい仮想 MAC アドレス エントリを追加するには、[Add] をクリックします。

[Add/Edit Interface MAC Address] ダイアログボックスが表示されます。

ステップ 3 アクティブ インターフェイスの新しい MAC アドレスを [Active MAC Address] フィールドに入力します。

ステップ 4 スタンバイ インターフェイスの新しい MAC アドレスを [Standby MAC Address] フィールドに入力します。

ステップ 5 [OK] をクリックします。

ステップ 6 仮想 MAC アドレス エントリを削除するには、次の手順を実行します。

a. インターフェイスをクリックして、テーブル行を選択します。

b. [Delete] をクリックします。

c. [OK] をクリックします。


 

フェールオーバーの制御

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項は、次の内容で構成されています。

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「障害が発生した装置の復元」

フェールオーバーの強制実行

 

スタンバイ装置を強制的にアクティブにするには、次の手順を実行します。


ステップ 1 [Monitoring] > [Properties] > [Failover] > [Status] を選択します。

ステップ 2 次のいずれかのボタンをクリックします。

[Make Active] をクリックすると、その装置がアクティブ装置になります。

[Make Standby] をクリックすると、ペアの相手装置がアクティブ装置になります。


 

フェールオーバーのディセーブル化

フェールオーバーをディセーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] を選択します。

ステップ 2 [Enable Failover] チェックボックスをオフにします。


 

障害が発生した装置の復元

障害が発生した装置を障害のない状態に復元するには、次の手順を実行します。


ステップ 1 [Monitoring] > [Properties] > [Failover] > [Status] を選択します。

ステップ 2 [Reset Failover] をクリックします。


 

アクティブ/スタンバイ フェールオーバーのモニタリング


) フェールオーバー イベントが発生した後、デバイスのモニタリングを継続するには、ASDM を再起動するか、または [Devices] ペインに表示される別のデバイスに切り替えて、元の ASA に戻る手順を実行する必要があります。この操作が必要なのは、ASDM がデバイスから切断されて再接続された場合、接続のモニタリングが再確立されないためです。


[Monitoring] > [Properties] > [Failover] を選択して、アクティブ/スタンバイ フェールオーバーをモニタします。

アクティブ/スタンバイ フェールオーバーの機能履歴

表 65-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。

 

表 65-3 オプションのアクティブ/スタンバイ フェールオーバー設定の機能履歴

機能名
リリース
機能情報

この機能が導入されました。

7.0

この機能が導入されました。

フェールオーバーに IPv6 のサポートが追加されました。

8.2(2)

次の画面が変更されました。

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces]。