ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
ハイ アベイラビリティに関する情報
ハイ アベイラビリティに関する情報
発行日;2012/09/25 | 英語版ドキュメント(2012/09/08 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

ハイ アベイラビリティに関する情報

フェールオーバーおよびハイ アベイラビリティの概要

フェールオーバーのシステム要件

ハードウェア要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

ステートフル フェールオーバー リンク

ステートフル リンクのフェールオーバー インターフェイス速度

フェールオーバー リンクの中断の回避

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー

使用するフェールオーバーのタイプの決定

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

ステートレス(標準)フェールオーバー

ステートフル フェールオーバー

トランスペアレント ファイアウォール モードの要件

フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート

Auto Update プロセスの概要

Auto Update プロセスのモニタリング

フェールオーバー ヘルスのモニタリング

装置ヘルスのモニタリング

インターフェイスのモニタリング

フェールオーバー時間

フェールオーバー メッセージ

フェールオーバー システム メッセージ

デバッグ メッセージ

SNMP

ハイ アベイラビリティに関する情報

この章では、Cisco 5500 シリーズ ASA でのハイ アベイラビリティの実現を可能にするフェールオーバー機能の概要について説明します。ハイ アベイラビリティの設定については、「アクティブ/アクティブ フェールオーバーの設定」または「アクティブ/スタンバイ フェールオーバーの設定」を参照してください。

この章は、次の項で構成されています。

「フェールオーバーおよびハイ アベイラビリティの概要」

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステートフル フェールオーバー リンク」

「アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー」

「ステートレス(標準)フェールオーバーとステートフル フェールオーバー」

「トランスペアレント ファイアウォール モードの要件」

「フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート」

「フェールオーバー ヘルスのモニタリング」

「フェールオーバー時間」

「フェールオーバー メッセージ」

フェールオーバーおよびハイ アベイラビリティの概要

ハイ アベイラビリティを設定するには、同じASAが 2 台、専用のフェールオーバー リンク(オプションで、ステートフル フェールオーバー リンク)で相互に接続されている必要があります。アクティブ インターフェイスおよび装置のヘルスがモニタされて、所定のフェールオーバー条件に一致しているかどうかが判断されます。所定の条件に一致すると、フェールオーバーが行われます。

ASAは、アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーの 2 つのフェールオーバーをサポートします。各フェールオーバー コンフィギュレーションには、フェールオーバーを判定および実行する独自の方式があります。

アクティブ/アクティブ フェールオーバーでは、両方の装置がネットワーク トラフィックを渡すことができます。これにより、ネットワークにトラフィック共有を設定することもできます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで実行中の装置でのみ使用できます。

アクティブ/スタンバイ フェールオーバーでは、1 つの装置だけがトラフィックを渡すことができ、もう 1 つの装置はスタンバイ状態で待機します。アクティブ/スタンバイ フェールオーバーは、シングル コンテキスト モードで実行中の装置とマルチ コンテキスト モードで実行中の装置の両方で使用できます。

両フェールオーバー コンフィギュレーションとも、ステートフルまたはステートレス(通常)フェールオーバーをサポートします。


) セキュリティ アプライアンスがアクティブ/アクティブ ステートフル フェールオーバーに設定されている場合、IPsec または SSL VPN をイネーブルにできません。したがって、これらの機能は使用できません。VPN フェールオーバーは、アクティブ/スタンバイ フェールオーバー コンフィギュレーションに限り使用できます。


フェールオーバーのシステム要件

この項では、フェールオーバー コンフィギュレーションにあるASAのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。

この項は、次の内容で構成されています。

「ハードウェア要件」

「ソフトウェア要件」

「ライセンス要件」

ハードウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は、モデルとインターフェイスの数およびタイプが同じであり、同じ SSM(ある場合)と RAM がインストールされている必要があります。

フェールオーバー コンフィギュレーションで装置に異なるサイズのフラッシュ メモリを使用している場合、小さい方のフラッシュ メモリを取り付けた装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルを格納できる十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。

ソフトウェア要件

フェールオーバー コンフィギュレーションの 2 台の装置は同じ動作モード(ルーテッドまたはトランスペアレント、シングルコンテキストまたはマルチコンテキスト)でなければなりません。ソフトウェア バージョンは、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じである必要があります。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを使用できます。たとえば、ある装置をバージョン 8.3(1) からバージョン 8.3(2) にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

ライセンス要件

フェールオーバー コンフィギュレーションの 2 台の装置は、ライセンスが同じである必要はありません。これらのライセンスは結合され、1 つのフェールオーバー クラスタ ライセンスが構成されます。詳細については、「フェールオーバー ライセンス(8.3(1) 以降)」を参照してください。

フェールオーバー リンクとステートフル フェールオーバー リンク

この項では、フェールオーバー リンクおよびステートフル フェールオーバー リンクについて説明します。これらのリンクは、フェールオーバー コンフィギュレーションで 2 台の装置を接続する専用のリンクです。この項は、次の内容で構成されています。

「フェールオーバー リンク」

「ステートフル フェールオーバー リンク」

「フェールオーバー リンクの中断の回避」

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。次の情報がフェールオーバー リンク経由で伝達されています。

装置の状態(アクティブまたはスタンバイ)

hello メッセージ(キープアライブ)

ネットワーク リンクの状態

MAC アドレス交換

コンフィギュレーションの複製および同期


注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にASAを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASAを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

デバイス上のインターフェイスは、使用されていなければどれでも、フェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバー リンク(および、オプションでステートフル フェールオーバー リンク)専用とする必要があります。

フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを ASA のフェールオーバー インターフェイスとしては使用しません。

クロス イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。


) フェールオーバー リンクにクロス ケーブルを使用した場合、インターフェイスで障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。



) ASAは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。


ステートフル フェールオーバー リンク

ステートフル フェールオーバーを使用するには、ステートフル フェールオーバー リンクを設定してすべてのステート情報を渡す必要があります。ステートフル フェールオーバー リンクを設定する方法としては、次の 3 つのオプションがあります。

ステートフル フェールオーバー リンクに、専用のイーサネット インターフェイスを使用できます。

フェールオーバー リンクを共有できます。

内部インターフェイスなど、通常のデータ インターフェイスを共有できます。しかし、このオプションはお勧めしません。

次の 2 つの方法のいずれかで、専用のステート リンクを接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを ASA のフェールオーバー インターフェイスとしては使用しません。

クロス イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。


) ステート リンクにクロス ケーブルを使用した場合、インターフェイスで障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASAは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

ASAに直接接続されている Cisco スイッチ ポートの PortFast オプションをイネーブルにします。


データ インターフェイスをステートフル フェールオーバー リンクとして使用する場合、そのインターフェイスをステートフル フェールオーバー リンクと指定すると、次の警告が表示されます。

******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
Sharing Stateful failover interface with regular data interface is not
a recommended configuration due to performance and security concerns.
******* WARNING ***** WARNING ******* WARNING ****** WARNING *********
 

データ インターフェイスとステートフル フェールオーバー インターフェイスを共有すると、リプレイ攻撃を受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。


) データ インターフェイスをステートフル フェールオーバー インターフェイスとして使用するのは、シングル コンテキストのルーテッド モードでだけサポートされます。


マルチ コンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。


) ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。



注意 フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にASAを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASAを使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。

ステートフル リンクのフェールオーバー インターフェイス速度

フェールオーバー リンクをステートフル フェールオーバー リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートフル フェールオーバー インターフェイス専用にすることを検討してください。

ASA には、次のフェールオーバー インターフェイス速度のガイドラインを使用してください。

Cisco ASA 5510

データ インターフェイスが 1 ギガビットで動作できる場合であっても、CPU 速度の制限により、ステートフル リンクが動作できる速度は 100 Mbps です。

Cisco ASA 5520/5540/5550

ステートフル リンクの速度は、最も速いデータ リンクと一致する必要があります。

Cisco ASA 5580/5585

ステートフル リンクには、管理ポート以外の 1 ギガビット ポートを使用してください。管理ポートはパフォーマンスが低く、ステートフル フェールオーバーのパフォーマンス要件を満たしません。

長距離のフェールオーバーを使用する場合のフェールオーバー リンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバー メッセージの再送信により、どうしてもパフォーマンスが低下します。

ASA はフェールオーバー ハートビートとステートフル リンクの共有をサポートしますが、ステートフル フェールオーバー トラフィックの多いシステムでは、ハートビート リンクを分けることを推奨します。

フェールオーバー リンクの中断の回避

フェールオーバー インターフェイスを使用してプライマリ装置とセカンダリ装置間でメッセージを転送するため、フェールオーバー インターフェイスがダウンすると(つまり、物理リンクがダウンするか、インターフェイスの接続に使用されるスイッチがダウンすると)、ASA のフェールオーバー動作はフェールオーバー インターフェイスのヘルスが復元されるまで影響を受けます。

フェールオーバー ペアの装置間ですべての通信が切断されると、両方の装置がアクティブ状態になります(これは予期された動作です)。通信が復元され、2 台のアクティブ装置がフェールオーバー リンクまたはモニタ対象インターフェイスで通信を再開すると、プライマリ装置はアクティブなままであり、セカンダリ装置はすぐにスタンバイ状態に戻ります。この関係は、プライマリ装置のヘルスに関係なく確立されます。

この動作のため、ネットワークの分断中にセカンダリ アクティブ装置によって正常に渡されたステートフル フローは中断されます。この中断を回避するには、フェールオーバー リンクおよびデータ インターフェイスは、異なるパスを通過して、すべてのリンクで同時に障害が発生する可能性を減らす必要があります。1 つのフェールオーバー リンクのみがダウンした場合、ASA はインターフェイスのヘルスのサンプルを取得し、この情報をデータ インターフェイスを介してピアと交換し、ダウンしたインターフェイスがアクティブ装置に数多くある場合にはスイッチオーバーを実行します。その後、フェールオーバー動作は、フェールオーバー リンクのヘルスが復元されるまで停止されます。

ネットワーク トポロジに応じて、ASA のフェールオーバー ペアには複数のプライマリ/セカンダリ障害シナリオがあります。それらのシナリオについて次に説明します。

シナリオ 1:非推奨

単一のスイッチまたはスイッチ セットが 2 つの ASA 間のフェールオーバー インターフェイスとデータ インターフェイスの両方の接続に使用される場合、スイッチまたはスイッチ間リンクがダウンすると、両方の ASA がアクティブになります。したがって、図 64-1 および図 64-2 で示されている次の 2 つの接続方式は推奨しません。

図 64-1 単一のスイッチを使用した接続:非推奨

 

図 64-2 2 つのスイッチを使用した接続:非推奨

 

シナリオ 2:推奨

ASA フェールオーバー ペアにフェールオーバー インターフェイス障害に対する耐性を持たせるには、前の接続で示したように、フェールオーバー インターフェイスでデータ インターフェイスとして同じスイッチを使用しないことを推奨します。代わりに、図 64-3 および図 64-4 に示すように、異なるスイッチを使用するか直接ケーブルを使用して、2 つの ASA フェールオーバー インターフェイスを接続します。

図 64-3 異なるスイッチを使用した接続

 

図 64-4 ケーブルを使用した接続

 

シナリオ 3:推奨

ASA データ インターフェイスが複数のスイッチ セットに接続されている場合、図 64-5 に示すように、フェールオーバー インターフェイスをいずれかのスイッチに接続できます。できれば、ネットワークのセキュア側にあるスイッチにします。

図 64-5 セキュアなスイッチを使用した接続

 

シナリオ 4:推奨

最も信頼できるフェールオーバー コンフィギュレーションでは、図 64-6図 64-7、および図 64-8 に示すように、フェールオーバー インターフェイスで冗長インターフェイスが使用されます。

図 64-6 イーサネット ケーブルを使用した接続

 

図 64-7 冗長インターフェイスを使用した接続

 

図 64-8 スイッチ間リンクを使用した接続

 

アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバー

アクティブ/スタンバイおよびアクティブ/アクティブという 2 種類のフェールオーバー コンフィギュレーションが ASAによってサポートされています。

アクティブ/スタンバイ フェールオーバーでは、1 台の装置がアクティブ装置です。この装置がトラフィックを渡します。スタンバイ装置は、アクティブにトラフィックを渡しません。フェールオーバーが発生すると、アクティブ装置がスタンバイ装置にフェールオーバーし、そのスタンバイ装置がアクティブになります。アクティブ/スタンバイ フェールオーバーは、シングル コンテキストまたはマルチ コンテキスト モードの ASAで使用できます。ただし、シングル コンテキスト モードのASAで使用するのが最も一般的です。

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードのASAでのみ使用できます。アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。アクティブ/アクティブ フェールオーバーでは、ASAのセキュリティ コンテキストは、 フェールオーバー グループ に分割されます。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。各グループは、フェールオーバー ペアの指定されたASAでアクティブになるよう割り当てられます。フェールオーバーが行われる場合は、フェールオーバー グループ レベルで行われます。

各種フェールオーバーの詳細については、次の情報を参照してください。

「アクティブ/スタンバイ フェールオーバーの設定」

「アクティブ/アクティブ フェールオーバーの設定」

使用するフェールオーバーのタイプの決定

選択するフェールオーバーのタイプは、ASAのコンフィギュレーションとASAの使用計画によって決定されます。

ASAをシングル モードで動作させている場合、使用できるのはアクティブ/スタンバイ フェールオーバーだけです。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作しているASAでのみ使用できます。


) ASA 5505 は、マルチ コンテキスト モードまたはアクティブ/アクティブ フェールオーバーをサポートしません。

VPN は、マルチ コンテキスト モードまたはアクティブ/アクティブ フェールオーバーではサポートされません。


ASAをマルチ コンテキスト モードで動作させている場合は、アクティブ/アクティブ フェールオーバーまたはアクティブ/スタンバイ フェールオーバーを設定できます。

フェールオーバー ペアの両方のメンバがトラフィックを共有できるようにするには、アクティブ/アクティブ フェールオーバーを使用します。各デバイスでの負荷が 50% を超えないようにしてください。

この方法でトラフィックを共有しない場合は、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーを使用します。

表 64-1 に、各タイプのフェールオーバー コンフィギュレーションでサポートされる機能を比較して示します。

 

表 64-1 フェールオーバー コンフィギュレーション機能のサポート

機能
アクティブ/アクティブ
アクティブ/スタンバイ

シングル コンテキスト モード

No

Yes

マルチ コンテキスト モード

Yes

Yes

トラフィック共有ネットワーク コンフィギュレーション

Yes

No

装置のフェールオーバー

Yes

Yes

コンテキスト グループのフェールオーバー

Yes

No

個別コンテキストのフェールオーバー

No

No

ステートレス(標準)フェールオーバーとステートフル フェールオーバー

ASAは、標準およびステートフルという 2 つのタイプのフェールオーバーをサポートします。この項は、次の内容で構成されています。

「ステートレス(標準)フェールオーバー」

「ステートフル フェールオーバー」

ステートレス(標準)フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。


) バージョン 8.0 以降では、クライアントレス SSL VPN の一部のコンフィギュレーション要素(ブックマークやカスタマイゼーションなど)は VPN フェールオーバー サブシステムを使用しており、これはステートフル フェールオーバーの一部です。フェールオーバー ペアのメンバ間でこれらの要素を同期するには、ステートフル フェールオーバーを使用する必要があります。ステートレス(標準)フェールオーバーは、クライアントレス SSL VPN には推奨できません。


ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルになっている場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

バージョン 8.4 以降では、ステートフル フェールオーバーは OSPF や EIGRP などのダイナミック ルーティング プロトコルに参加します。そのため、アクティブ装置上のダイナミック ルーティング プロトコルを介して学習されたルートは、スタンバイ装置のルーティング情報ベース(RIB)テーブルに保持されます。フェールオーバー イベントが発生した場合、最初はアクティブなセカンダリ ASA にプライマリ ASA をミラーリングするルールがあるため、パケットは通常は最小限の切断でトラフィックに移動します。フェールオーバーの直後に、新しくアクティブになった装置で再コンバージェンス タイマーが開始されます。次に、RIB テーブルのエポック番号が増加します。再コンバージェンス中に、OSPF および EIGRP ルートは新しいエポック番号で更新されます。タイマーが期限切れになると、失効したルート エントリ(エポック番号によって決定される)はテーブルから削除されます。これで、RIB には新しくアクティブになった装置での最新のルーティング プロトコル転送情報が含まれています。

表 64-2 は、ステートフル フェールオーバーがイネーブルになっているときにスタンバイ装置に渡されるステート情報と渡されないステート情報を示します。

 

表 64-2 ステート情報

スタンバイ装置に渡されるステート情報
スタンバイ装置に渡されないステート情報

NAT 変換テーブル

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

TCP 接続状態

ユーザ認証(uauth)テーブル

検査対象のプロトコルは高度な TCP ステート トラッキングの対象となり、これらの接続の TCP ステートは自動的には複製されません。これらの接続がスタンバイ装置に複製されている間、TCP ステートを再確立するベスト エフォート型の試みが行われます。

UDP 接続状態

DHCP サーバ アドレスのリース

ARP テーブル

モジュールのステート情報。

レイヤ 2 ブリッジ テーブル(トランスペアレント ファイアウォール モードで動作中の場合)

電話プロキシのステートフル フェールオーバー。アクティブ装置がダウンした場合は、コールが失敗し、メディアのフローが停止するので、障害が発生した装置から電話の登録を解除し、アクティブ装置に再登録する必要があります。コールは再確立する必要があります。

HTTP 接続状態(HTTP 複製がイネーブルの場合)

--

ISAKMP および IPSec SA テーブル

--

GTP PDP 接続データベース

--

SIP シグナリング セッション

--

次のクライアントレス SSL VPN 機能は、ステートフル フェールオーバーでサポートされていません。

スマート トンネル

ポート転送

プラグイン

Java アプレット

IPv6 クライアントレスまたは Anyconnect セッション

Citrix 認証(Citrix ユーザはフェールオーバー後に再認証が必要です)


) アクティブな Cisco IP SoftPhone セッション中にフェールオーバーが行われると、コール セッション ステート情報がスタンバイ装置に複製されているので、コールはアクティブのままになります。コールが終了すると、IP SoftPhone クライアントは Cisco CallManager との接続がなくなります。これは、CTIQBE ハングアップ メッセージのセッション情報がスタンバイ装置に存在しないために発生します。IP SoftPhone クライアントが一定の時間内に CallManager から返送される応答を受信しない場合、このクライアントは CallManager を到達不能と見なし、自分自身の登録を解除します。


VPN フェールオーバーの場合、VPN エンドユーザは、フェールオーバーの発生時に VPN セッションに再認証または再接続する必要がありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバー プロセス中にパケットを失って、パケット損失から回復できない可能性があります。

トランスペアレント ファイアウォール モードの要件

アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニングツリー プロトコル(STP)を実行している接続済みスイッチ ポートは、トポロジ変更を検出すると 30 ~ 50 秒間ブロッキング ステートに移行できます。ポートがブロッキング ステートである間のトラフィックの損失を回避するために、スイッチ ポート モードに応じて次の回避策のいずれかを設定できます。

アクセス モード:スイッチで STP PortFast 機能をイネーブルにします。

interface interface_id
spanning-tree portfast
 

PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディング モードに遷移します。ポートは引き続き STP に参加しています。したがって、ポートがループの一部になる場合、最終的には STP ブロッキング モードに遷移します。

トランク モード:ASA で、inside インターフェイスと outside インターフェイスの両方で BPDU をブロックします。

access-list id ethertype deny bpdu
access-group id in interface inside_name
access-group id in interface outside_name
 

BPDU をブロックすると、スイッチの STP はディセーブルになります。ネットワーク レイアウトで ASA を含むループを設定しないでください。

上記のオプションのどちらも使用できない場合は、フェールオーバー機能または STP の安定性に影響する、推奨度の低い次の回避策のいずれかを使用できます。

フェールオーバー インターフェイスのモニタリングをディセーブルにします。

フェールオーバー インターフェイスの保持時間を、ASA がフェールオーバーする前に STP が収束できる高い値に増やします。

STP タイマーを減らし、フェールオーバー インターフェイスの保持時間よりも速く STP が収束できるようにします。

フェールオーバー コンフィギュレーションでの Auto Update サーバ サポート

Auto Update サーバを使用して、ソフトウェア イメージとコンフィギュレーション ファイルを、アクティブ/スタンバイ フェールオーバー コンフィギュレーションの ASA に配置できます。アクティブ/スタンバイ フェールオーバー コンフィギュレーションで Auto Update をイネーブルにするには、フェールオーバー ペアのプライマリ装置に Auto Update サーバのコンフィギュレーションを入力します。

フェールオーバー コンフィギュレーションの Auto Update サーバ サポートには、次の制限と動作が適用されます。

アクティブ/スタンバイ コンフィギュレーションがサポートされるのは、シングル モードだけです。

新しいプラットフォーム ソフトウェア イメージをロードする際、フェールオーバー ペアはトラフィックの転送を停止します。

LAN ベースのフェールオーバーを使用する場合、新しいコンフィギュレーションによってフェールオーバー リンクのコンフィギュレーションが変更されてはいけません。フェールオーバー リンクのコンフィギュレーションが変更されると、装置間の通信は失敗します。

Auto Update サーバへの Call Home を実行するのはプライマリ装置だけです。Call Home を実行するには、プライマリ装置がアクティブ状態である必要があります。そうでない場合、ASAは自動的にプライマリ装置にフェールオーバーします。

ソフトウェア イメージまたはコンフィギュレーション ファイルをダウンロードするのは、プライマリ装置だけです。その後、ソフトウェア イメージまたはコンフィギュレーション ファイルはセカンダリ装置にコピーされます。

インターフェイス MAC アドレスとハードウェアのシリアル番号は、プライマリ装置のものです。

Auto Update サーバまたは HTTP サーバに保存されたコンフィギュレーション ファイルは、プライマリ装置専用です。

Auto Update プロセスの概要

次に、フェールオーバー コンフィギュレーションでの Auto Update プロセスの概要を示します。このプロセスは、フェールオーバーがイネーブルであり、動作していることを前提としています。装置がコンフィギュレーションを同期化している場合、SSM カードの不具合以外の理由でスタンバイ装置に障害が発生している場合、または、フェールオーバー リンクがダウンしている場合、Auto Update プロセスは実行できません。

1. 両方の装置は、プラットフォームおよび ASDM ソフトウェア チェックサムとバージョン情報を交換します。

2. プライマリ装置は Auto Update サーバにアクセスします。プライマリ装置がアクティブ状態でない場合、ASAはプライマリ装置にフェールオーバーした後、Auto Update サーバにアクセスします。

3. Auto Update サーバは、ソフトウェア チェックサムと URL 情報を返します。

4. プライマリ装置が、アクティブまたはスタンバイ装置のプラットフォーム イメージ ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、Auto Update サーバの URL を使用して、HTTP サーバから適切なファイルを取得します。

b. プライマリ装置は、そのイメージをスタンバイ装置にコピーしてから、自身のイメージをアップデートします。

c. 両方の装置に新しいイメージがある場合は、セカンダリ(スタンバイ)装置が最初にリロードされます。

セカンダリ装置のブート時にヒットレス アップグレードが可能な場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。リロードが終了すると、プライマリ装置がアクティブ装置になります。

スタンバイ装置のブート時にヒットレス アップグレードができない場合は、両方の装置が同時にリロードされます。

d. セカンダリ(スタンバイ)装置だけに新しいイメージがある場合は、セカンダリ装置だけがリロードされます。プライマリ装置は、セカンダリ装置のリロードが終了するまで待機します。

e. プライマリ(アクティブ)装置だけに新しいイメージがある場合は、セカンダリ装置がアクティブ装置になり、プライマリ装置がリロードされます。

f. もう一度アップデート プロセスが手順 1 から開始されます。

5. ASAが、プライマリまたはセカンダリ装置の ASDM ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、Auto Update サーバから提供された URL を使用して、HTTP サーバから ASDM イメージ ファイルを取得します。

b. プライマリ装置は、必要に応じてそのイメージをスタンバイ装置にコピーします。

c. プライマリ装置は、自身の ASDM イメージをアップデートします。

d. もう一度アップデート プロセスが手順 1 から開始されます。

6. プライマリ装置が、コンフィギュレーション ファイルをアップデートする必要があると判断した場合は、次の処理が実行されます。

a. プライマリ装置は、指定された URL を使用して、からコンフィギュレーション ファイルを取得します。

b. 両方の装置で同時に、古いコンフィギュレーションが新しいコンフィギュレーションに置換されます。

c. もう一度アップデート プロセスが手順 1 から開始されます。

7. チェックサムがすべてのイメージおよびコンフィギュレーション ファイルと一致している場合、アップデートは必要ありません。このプロセスは、次のポーリング時間まで中断されます。

Auto Update プロセスのモニタリング

debug auto-update client または debug fover cmd-exe コマンドを使用して、Auto Update プロセスで実行される処理を表示できます。次に、 debug auto-update client コマンドの出力例を示します。ターミナル セッションから debug コマンドを実行します。

Auto-update client: Sent DeviceDetails to /cgi-bin/dda.pl of server 192.168.0.21
Auto-update client: Processing UpdateInfo from server 192.168.0.21
Component: asdm, URL: http://192.168.0.21/asdm.bint, checksum: 0x94bced0261cc992ae710faf8d244cf32
Component: config, URL: http://192.168.0.21/config-rms.xml, checksum: 0x67358553572688a805a155af312f6898
Component: image, URL: http://192.168.0.21/cdisk73.bin, checksum: 0x6d091b43ce96243e29a62f2330139419
Auto-update client: need to update img, act: yes, stby yes
name
ciscoasa(config)# Auto-update client: update img on stby unit...
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 1501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 2501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 3501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 4501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 5501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 6501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 7501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8001, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 8501, len = 1024
auto-update: Fover copyfile, seq = 4 type = 1, pseq = 9001, len = 1024
auto-update: Fover file copy waiting at clock tick 6129280
fover_parse: Rcvd file copy ack, ret = 0, seq = 4
auto-update: Fover filecopy returns value: 0 at clock tick 6150260, upd time 145980 msecs
Auto-update client: update img on active unit...
fover_parse: Rcvd image info from mate
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
auto-update: HA safe reload: reload active waiting with mate state: 20
Beginning configuration replication: Sending to mate.
auto-update: HA safe reload: reload active waiting with mate state: 50
auto-update: HA safe reload: reload active waiting with mate state: 50
 
auto-update: HA safe reload: reload active waiting with mate state: 80
Sauto-update: HA safe reload: reload active unit at clock tick: 6266860
Auto-update client: Succeeded: Image, version: 0x6d091b43ce96243e29a62f2330139419
 

Auto Update プロセスが失敗すると、次のシステム ログ メッセージが生成されます。

%ASA4-612002: Auto Update failed: file version: version reason: reason
 

失敗したアップデートに応じて、 file は「image」、「asdm」、または「configuration」になります。 version は、アップデートのバージョン番号です。 reason は、アップデートが失敗した原因です。

フェールオーバー ヘルスのモニタリング

ASAは、各装置について全体的なヘルスおよびインターフェイス ヘルスをモニタします。ASAがテストを実行して、各装置の状態を判断する方法の詳細については、次の項を参照してください。

「装置ヘルスのモニタリング」

「インターフェイスのモニタリング」

装置ヘルスのモニタリング

ASAは、フェールオーバー リンクをモニタして相手装置のヘルスを判断します。装置は、フェールオーバー リンクで 3 回連続して hello メッセージを受信しないときは、フェールオーバー インターフェイスを含む各インターフェイスでインターフェイス hello メッセージを送信し、ピア インターフェイスが応答するかどうかを検証します。ASAが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。

ASAがフェールオーバー インターフェイスで応答を受信した場合は、フェールオーバーを行いません。

ASAがフェールオーバー リンクで応答を受信せず、他のインターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

ASAがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。

hello メッセージの頻度と、フェールオーバーが行われる前の保持時間を設定できます。ポーリング時間が速くて保持時間が短いほど、装置の故障が短時間で検出され、フェールオーバーの実行が迅速になりますが、キープアライブ パケットを遅延させるネットワーク輻輳が原因で「偽の」障害が生じる可能性もあります。

インターフェイスのモニタリング

すべてのコンテキスト間に分割された最大 250 のインターフェイスをモニタできます。重要なインターフェイスをモニタする必要があります。たとえば、共有インターフェイスをモニタするためのコンテキストを 1 つ設定します (インターフェイスが共有されているため、すべてのコンテキストがそのモニタリングでモニタされます)。

設定した保持時間が半分経過しても装置がモニタ対象のインターフェイスで hello メッセージを受信しない場合は、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイスのステータスのテスト。リンク アップ/ダウン テストでインターフェイスが動作していることが示された場合、ASAはネットワーク テストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク アクティビティ テスト:受信ネットワーク アクティビティ テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト ping テスト:ブロードキャスト ping 要求の送信で構成される ping テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

インターフェイスに IPv4 および IPv6 アドレスが設定されている場合、ASAは IPv4 を使用してヘルス モニタリングを実行します。

インターフェイスに IPv6 アドレスだけが設定されている場合、ASAは ARP ではなく IPv6 ネイバー探索を使用してヘルス モニタリング テストを実行します。ブロードキャスト ping テストの場合、ASAは IPv6 全ノード アドレス(FE02::1)を使用します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したASAは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


フェールオーバー時間

表 64-3 に、最小、デフォルト、最大フェールオーバー時間を示します。

 

表 64-3 Cisco ASA 5500 シリーズ ASA フェールオーバー時間

フェールオーバー条件
最小
デフォルト
最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

15 秒

45 秒

アクティブ装置のメインボード インターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置の 4GE モジュール インターフェイス リンクがダウンする。

2 秒

5 秒

15 秒

アクティブ装置の IPS または CSC モジュールに障害がある。

2 秒

2 秒

2 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

フェールオーバー メッセージ

フェールオーバーが発生すると、両方のASAがシステム メッセージを送信します。この項は、次の内容で構成されています。

「フェールオーバー システム メッセージ」

「デバッグ メッセージ」

「SNMP」

フェールオーバー システム メッセージ

ASAは、深刻な状況を表すプライオリティ レベル 2 のフェールオーバーについて、複数のシステム メッセージを発行します。これらのメッセージを表示するには、 syslog メッセージ ガイド を参照してください。ロギングをイネーブルにするには、「ロギングの設定」を参照してください。


) 切り替え中、フェールオーバーは論理的にシャットダウンした後、インターフェイスを起動し、syslog 411001 および 411002 メッセージを生成します。これは通常のアクティビティです。


デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、コマンド リファレンスを参照してください。


) CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステム パフォーマンスに大きく影響することがあります。このため、debug fover コマンドは、特定の問題に対するトララブルシューティングや、Cisco TAC とのトラブルシューティング セッションに限定して使用してください。


SNMP

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、お使いの SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。詳細については、「SNMP の設定」を参照してください。