ASDM を使用した Cisco ASA 5500 シリーズ コンフィギュレーション ガイド ASA 5505、ASA 5510、ASA 5520、ASA 5540、ASA 5550、ASA 5580、ASA 5512-X、ASA 5515-X、ASA 5525-X、ASA 5545-X、ASA 5555-X、および ASA 5585-X 用ソフトウェア バージョン 8.4 および 8.6
High Availability and Scalability Wizard の使用
High Availability and Scalability Wizard の使用
発行日;2012/09/25 | 英語版ドキュメント(2012/06/20 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 22MB) | フィードバック

目次

High Availability and Scalability Wizard の使用

High Availability and Scalability Wizard に関する情報

High Availability and Scalability Wizard のライセンス要件

High Availability and Scalability Wizard の前提条件

High Availability and Scalability Wizard を使用したフェールオーバーの設定

High Availability and Scalability Wizard へのアクセス

High Availability and Scalability Wizard を使用した Active/Active フェールオーバーの設定

High Availability and Scalability Wizard を使用した Active/Standby フェールオーバーの設定

High Availability and Scalability Wizard の画面

設定の種類

Failover Peer Connectivity and Compatibility Check

Change a Device to Multiple Mode

Security Context Configuration

Failover Link Configuration

State Link Configuration

Standby Address Configuration

Summary

High Availability and Scalability Wizard を使用した VPN クラスタ ロード バランシングの設定

VPN クラスタ ロード バランシングの設定

High Availability and Scalability Wizard の機能履歴

High Availability and Scalability Wizard の使用

High Availability and Scalability Wizard の指示に従って、ハイ アベイラビリティなフェールオーバーの設定と、VPN クラスタ ロード バランシングの設定ができます。この章は、次の項で構成されています。

「High Availability and Scalability Wizard に関する情報」

「High Availability and Scalability Wizard のライセンス要件」

「High Availability and Scalability Wizard の前提条件」

「High Availability and Scalability Wizard を使用したフェールオーバーの設定」

「High Availability and Scalability Wizard を使用した VPN クラスタ ロード バランシングの設定」

「High Availability and Scalability Wizard の機能履歴」

High Availability and Scalability Wizard に関する情報

フェールオーバーの詳細については、「フェールオーバーおよびハイ アベイラビリティの概要」を参照してください。

High Availability and Scalability Wizard のライセンス要件

Active/Standby フェールオーバー

 

モデル
ライセンス要件

ASA 5505

Security Plus ライセンス (ステートフル フェールオーバーはサポートされません)。

ASA 5510、ASA 5512-X

Security Plus ライセンス

他のすべてのモデル

基本ライセンス

アクティブ/アクティブ フェールオーバー

 

モデル
ライセンス要件

ASA 5505

サポートしない

ASA 5510、ASA 5512-X

Security Plus ライセンス

他のすべてのモデル

基本ライセンス

VPN ロード バランシング


) この機能は、ペイロード暗号化機能のないモデルでは使用できません。


 

モデル
ライセンス要件

ASA 5505 および 5512-X

サポートしない

ASA 5510

次のライセンスが必要です。

Security Plus ライセンス

強力な暗号化(3DES/AES)ライセンス。

他のすべてのモデル

次のライセンスが必要です。

基本ライセンス

強力な暗号化(3DES/AES)ライセンス。

High Availability and Scalability Wizard の前提条件

High Availability and Scalability Wizard を完了するには、次の情報を手元に用意してください。

LAN のフェールオーバー設定とステートフル フェールオーバー設定(次の設定を含む)

インターフェイス名

プライマリ ユニットとセカンダリ ユニットのアクティブ IP アドレス

プライマリ ユニットとセカンダリ ユニットのサブネット マスク

論理名

ロール(プライマリまたはセカンダリ)

フェールオーバー リンクでの暗号化通信に使用する、16 進数形式で表される 32 文字の共有キー(任意)

High Availability and Scalability Wizard を使用したフェールオーバーの設定

High Availability and Scalability Wizard を使用して、Active/Active または Active/Standby フェールオーバーを設定できます。この項では、ウィザードを使用する方法について説明します。取り上げる事項は次のとおりです。

「High Availability and Scalability Wizard へのアクセス」

「High Availability and Scalability Wizard を使用した Active/Active フェールオーバーの設定」

「High Availability and Scalability Wizard を使用した Active/Standby フェールオーバーの設定」

「High Availability and Scalability Wizard の画面」

High Availability and Scalability Wizard へのアクセス

ASDM のメイン アプリケーション ウィンドウで、次のいずれかを選択して High Availability and Scalability Wizard にアクセスします。

[Wizards] > [High Availability and Scalability Wizard] を選択する。

[Configuration] > [Device Management] > [High Availability] > [HA/Scalability Wizard] を選択し、[Launch High Availability and Scalability Wizard] をクリックする。

ウィザードの次の画面に移動するには、[Next] をクリックします。次の画面に進む前に、各画面の必須フィールドへの入力を完了する必要があります。

ウィザードの前の画面に戻るには、[Back] をクリックします。ウィザードの後の画面で追加した設定に前の画面で行った変更が反映されていない場合でも、ウィザードを進んでいけば入力した情報は画面上に残っています。情報を再度入力する必要はありません。

[Cancel ] をクリックすると、変更内容を保存せずにいつでもウィザードを終了できます。

ウィザードの [Summary] 画面でコンフィギュレーション設定を ASA に送信するには、[Finish] をクリックします。

オンラインで追加情報を取得するには、[Help] をクリックします。

High Availability and Scalability Wizard を使用した Active/Active フェールオーバーの設定

次の手順では、High Availability and Scalability Wizard を使用した Active/Active フェールオーバーの設定の概要を説明します。手順の各ステップは、ウィザード画面に対応しています。各ステップを実行したら、次のステップに進む前に [Next] をクリックします(ただし、最終ステップを除きます)。また、各ステップには、実行に必要な追加情報への参照も含まれています。


ステップ 1 [Configuration Type] 画面で、[Configure Active/Active failover] をクリックします。

この画面の詳細については、「設定の種類」を参照してください。

ステップ 2 [Failover Peer Connectivity and Compatibility Check] 画面にフェールオーバー ピアの IP アドレスを入力します。[Test Compatibility] をクリックします。すべての互換性テストに合格するまで、次の画面に進むことはできません。

この画面の詳細については、「Failover Peer Connectivity and Compatibility Check」を参照してください。

ステップ 3 ASAまたはフェールオーバー ピアがシングルコンテキスト モードである場合、[Change Device to Multiple Mode] 画面でマルチ コンテキスト モードに変更します。ASA をマルチ コンテキスト モードに変更すると、リブートされます。リブートが完了すると、ASDM は自動的にASAとの通信を再確立します。

この画面の詳細については、「Change a Device to Multiple Mode」を参照してください。

ステップ 4 [Context Configuration] 画面で、フェールオーバー グループにセキュリティ コンテキストを割り当てます。この画面では、コンテキストを追加または削除できます。

この画面の詳細については、「Security Context Configuration」を参照してください。

ステップ 5 [Failover Link Configuration] 画面でフェールオーバー リンクを定義します。

この画面の詳細については、「Failover Link Configuration」を参照してください。

ステップ 6 (ASA 5505 ASAでは使用不可)[State Link Configuration] 画面でステートフル フェールオーバー リンクを定義します。

この画面の詳細については、「State Link Configuration」を参照してください。

ステップ 7 [Standby Address Configuration] 画面で、スタンバイ アドレスをASA インターフェイスに追加します。

この画面の詳細については、「Standby Address Configuration」を参照してください。

ステップ 8 [Summary] 画面でコンフィギュレーションを確認します。必要に応じて [Back] をクリックし、前の画面に戻って変更します。

この画面の詳細については、「Summary」を参照してください。

ステップ 9 [Finish] をクリックします。

フェールオーバー コンフィギュレーションがASAとフェールオーバー ピアに送信されます。


 

High Availability and Scalability Wizard を使用した Active/Standby フェールオーバーの設定

次の手順では、High Availability and Scalability Wizard を使用した Active/Standby フェールオーバーの設定の概要を説明します。手順の各ステップは、ウィザード画面に対応しています。各ステップを実行したら、次のステップに進む前に [Next] をクリックします(ただし、最終ステップを除きます)。また、各ステップには、実行に必要な追加情報への参照も含まれています。


ステップ 1 [Configuration Type] 画面で、[Configure Active/Standby failover] をクリックします。

この画面の詳細については、「設定の種類」を参照してください。

ステップ 2 [Failover Peer Connectivity and Compatibility Check] 画面にフェールオーバー ピアの IP アドレスを入力します。[Test Compatibility] をクリックします。すべての互換性テストに合格するまで、次の画面に進むことはできません。

この画面の詳細については、「Failover Peer Connectivity and Compatibility Check」を参照してください。

ステップ 3 [Failover Link Configuration] 画面でフェールオーバー リンクを定義します。

この画面の詳細については、「Failover Link Configuration」を参照してください。

ステップ 4 (ASA 5505 ASAでは使用不可)[State Link Configuration] 画面でステートフル フェールオーバー リンクを定義します。

この画面の詳細については、「State Link Configuration」を参照してください。

ステップ 5 [Standby Address Configuration] 画面で、スタンバイ アドレスをASA インターフェイスに追加します。

この画面の詳細については、「Standby Address Configuration」を参照してください。

ステップ 6 [Summary] 画面でコンフィギュレーションを確認します。必要に応じて [Back] をクリックし、前の画面に移動して変更します。

この画面の詳細については、「Summary」を参照してください。

ステップ 7 [Finish] をクリックします。

フェールオーバー コンフィギュレーションがASAとフェールオーバー ピアに送信されます。


 

High Availability and Scalability Wizard の画面

High Availability and Scalability Wizard では、Active/Active フェールオーバー コンフィギュレーション、Active/Standby フェールオーバー コンフィギュレーション、または VPN クラスタ ロード バランシング コンフィギュレーションの作成プロセスを、順を追って実行できます。

ウィザードを進んでいくと、設定するフェールオーバーのタイプと使用するハードウェア プラットフォームに応じた画面が表示されます。

この項は、次の内容で構成されています。

「設定の種類」

「Failover Peer Connectivity and Compatibility Check」

「Change a Device to Multiple Mode」

「Security Context Configuration」

「Failover Link Configuration」

「State Link Configuration」

「Standby Address Configuration」

「VPN クラスタ ロード バランシングの設定」

「Summary」

設定の種類

[Configuration Type] 画面では、設定するフェールオーバーや VPN クラスタ ロード バランシングのタイプを選択できます。[Firewall Hardware/Software Profile] 領域には、次のような 表示専用 情報が表示されます。

ASA のハードウェア モデル番号。

ASA で使用可能なインターフェイス数。

ASA にインストールされているモジュール数。

ASA 上のプラットフォーム ソフトウェアのバージョン。

デバイスにインストールされているフェールオーバー ライセンスのタイプ。フェールオーバーを設定するには、アップグレードしたライセンスの購入が必要になる場合があります。

ファイアウォール モード(ルーテッドまたはトランスペアレント)およびコンテキスト モード(シングルまたはマルチ)。

必要なフェールオーバー コンフィギュレーションのタイプを選択するには、次のいずれかのオプションをクリックします。

Active/Active フェールオーバーの場合は [Configure Active/Active Failover]

Active/Standby フェールオーバーの場合は [Configure Active/Standby Failover]

クラスタの一部として VPN ロード バランシングに参加する場合は [Configure VPN Cluster Load Balancing]

Failover Peer Connectivity and Compatibility Check

[Failover Peer Connectivity and Compatibility Check] 画面では、選択したフェールオーバー ピアが到達可能で、現在の装置と互換性があることを確認できます。接続および互換性テストが失敗した場合、ウィザードの先に進む前に、問題を修正する必要があります。

フェールオーバー ピアの接続と互換性を確認するには、次の手順を実行します。


ステップ 1 ピア装置の IP アドレスを入力します。このアドレスはフェールオーバー リンクのアドレスでなくても構いませんが、ASDM アクセスがイネーブルになっているインターフェイスでなければなりません。このフィールドには IPv4 アドレスと IPv6 アドレスの両方を入力できます。

ステップ 2 [Next] をクリックして、次の接続テストおよび互換性テストを実行します。

ASDM からピア装置への接続テスト

ファイアウォール デバイスからピア ファイアウォール デバイスへの接続テスト

プラットフォームのハードウェア互換性テスト

ソフトウェア バージョンの互換性

フェールオーバー ライセンスの互換性

ファイアウォール モードの互換性(ルーテッドまたはトランスペアレント)

コンテキスト モードの互換性(シングルまたはマルチ)


 

Change a Device to Multiple Mode

[Change Device to Multiple Mode] ダイアログボックスは、Active/Active フェールオーバー コンフィギュレーションで だけ 表示されます。Active/Active フェールオーバーでは、ASA がマルチ コンテキスト モードになっている必要があります。このダイアログボックスでは、シングルコンテキスト モードのASAをマルチ コンテキスト モードに変換します。

シングル コンテキスト モードからマルチ コンテキスト モードに変換するとき、ASA は、現在実行しているコンフィギュレーションからシステム コンフィギュレーションと管理コンテキストを作成します。管理コンテキスト コンフィギュレーションは、admin.cfg というファイルに格納されます。変換プロセスでは、以前のスタートアップ コンフィギュレーションが保存されないので、スタートアップ コンフィギュレーションが実行中のコンフィギュレーションと異なる場合は、異なる部分が失われます。

ASA をシングル コンテキスト モードからマルチ コンテキスト モードに変換すると、ASA およびそのピアはリブートされます。ただし、High Availability and Scalability Wizard では、新規作成された管理コンテキストとの接続が復元され、このダイアログボックスで [Devices Status] フィールドのステータスが報告されます。


) 次に進む前に、現在の ASA とそのピアの両方をマルチ コンテキスト モードに変換する必要があります。


現在の ASA をマルチ コンテキスト モードに変更するには、次の手順を実行します。


ステップ 1 [Change device To Multiple Context] をクリックします。ここで、 device は ASA のホスト名です。

ステップ 2 ピア ASA に対してこのステップを繰り返します。

マルチ コンテキスト モードへの変換中は ASA のステータスが表示されます。


 

Security Context Configuration

[Security Context Configuration] 画面は Active/Active コンフィギュレーションの場合 だけ に表示され、セキュリティ コンテキストをフェールオーバー グループに割り当てることができます。この画面では、現在設定されているセキュリティ コンテキストの名前が表示され、必要に応じて新しいセキュリティ コンテキストを追加したり、既存のコンテキストを変更したり削除したりできます。また、コンテキストの割り当て先となるフェールオーバー グループ番号が表示され、必要に応じてフェールオーバー グループを変更できます。この画面でセキュリティ コンテキストを作成できますが、作成したコンテキストにインターフェイスを割り当てたり、作成したコンテキストの他のプロパティを設定したりすることはできません。コンテキスト プロパティを設定し、インターフェイスをコンテキストに割り当てるには、[System] > [Security Contexts] を選択します。

Failover Link Configuration

[Failover Link Configuration] 画面は、LAN ベースのフェールオーバーを設定する場合に だけ 表示されます。

LAN ベースのフェールオーバーを設定するには、次の手順を実行します。


ステップ 1 フェールオーバー通信に使用する LAN インターフェイスをドロップダウン リストから選択します。

ステップ 2 インターフェイスの名前を入力します。

ステップ 3 アクティブ状態のフェールオーバー グループ 1 がある装置上のフェールオーバー リンクに使用する IP アドレスを入力します。このフィールドには、IPv4 アドレスまたは IPv6 アドレスを入力できます。

ステップ 4 スタンバイ状態のフェールオーバー グループ 1 がある装置上のフェールオーバー リンクに使用する IP アドレスを入力します。このフィールドには、IPv4 アドレスまたは IPv6 アドレスを入力できます。

ステップ 5 アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスク(IPv4 アドレス)またはプレフィックス(IPv6 アドレス)を入力または選択します。

ステップ 6 (ASA 5505 のみ)スイッチ ポートをドロップダウン リストから選択します。このドロップダウン リストには、各スイッチ ポートに割り当てられている現在の VLAN とその VLAN に関連付けられたすべての名前が含まれています。すべてのスイッチ ポートにデフォルト VLAN が存在するため、下位の内部ポートは別用途に使用できるので、内部ポートに VLAN 1 を選択しないでください。


) フェールオーバーに十分な帯域幅を確保するためにも、フェールオーバーにトランクまたは PoE は使用しないでください。


ステップ 7 (任意)フェールオーバー通信の暗号化に使用する秘密キーを入力します。このフィールドを空白のままにした場合は、コマンド複製中に送信されるコンフィギュレーション内のパスワードまたはキーを含め、フェールオーバー通信がクリア テキストになります。


 

State Link Configuration


) [State Link Configuration] 画面は ASA 5505 には表示されません。


[State Link Configuration] 画面では、ステートフル フェールオーバーをイネーブルまたはディセーブルにして、ステートフル フェールオーバー リンクのプロパティを設定できます。

ステートフル フェールオーバーをイネーブルにするには、次の手順を実行します。


ステップ 1 LAN ベースのフェールオーバー リンクでステート情報を渡すには、[Use the LAN link as the State Link] をクリックします。

ステップ 2 ステートフル フェールオーバーをディセーブルにするには、[Disable Stateful Failover] をクリックします。

ステップ 3 未使用のインターフェイスをステートフル フェールオーバー インターフェイスとして設定するには、[Configure another interface for Stateful failover] をクリックします。

ステップ 4 ステートフル フェールオーバー通信に使用するインターフェイスをドロップダウン リストから選択します。

ステップ 5 ステートフル フェールオーバー インターフェイスの名前を入力します。

ステップ 6 アクティブ状態のフェールオーバー グループ 1 がある装置上のステートフル フェールオーバー リンクの IP アドレスを入力します。このフィールドには、IPv4 アドレスまたは IPv6 アドレスを入力できます。

ステップ 7 スタンバイ状態のフェールオーバー グループ 1 がある装置上のステートフル フェールオーバー リンクの IP アドレスを入力します。このフィールドには、IPv4 アドレスまたは IPv6 アドレスを入力できます。

ステップ 8 アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスク(IPv4 アドレス)またはプレフィックス(IPv6 アドレス)を入力または選択します。


 

Standby Address Configuration

[Standby Address Configuration] 画面を使用して、ASA 上のインターフェイスにスタンバイ IP アドレスを割り当てます。フェールオーバー装置上に現在設定されているインターフェイスが表示されます。インターフェイスはコンテキストでグループ化され、コンテキストはフェールオーバー グループでグループ化されます。

ASA 上のインターフェイスにスタンバイ IP アドレスを割り当てるには、次の手順を実行します。


ステップ 1 (Active/Standby フェールオーバーの場合)デバイス名の横のプラス記号(+)をクリックすると、そのデバイス上のインターフェイスが表示されます。デバイス名の横のマイナス記号(-)をクリックすると、そのデバイス上のインターフェイスが非表示になります。

ステップ 2 (Active/Active フェールオーバーの場合)デバイス、フェールオーバー グループ、コンテキスト名の横のプラス記号(+)をクリックすると、リストが展開されます。デバイス、フェールオーバー グループ、コンテキスト名の横のマイナス記号(-)をクリックすると、リストが折りたたまれます。

ステップ 3 [Active IP] フィールドをダブルクリックすると、アクティブ IP アドレスを編集または追加できます。また、このフィールドに移動すると、フェールオーバー ピア装置上の対応するインターフェイスが [Standby IP] フィールドに表示されます。このフィールドには、IPv4 アドレスまたは IPv6 アドレスを入力できます。

ステップ 4 [Standby IP] フィールドをダブルクリックすると、スタンバイ IP アドレスを編集または追加できます。また、このフィールドに移動すると、フェールオーバー ピア装置上の対応するインターフェイスが [Active IP] フィールドに表示されます。このフィールドには、IPv4 アドレスまたは IPv6 アドレスを入力できます。

ステップ 5 [Is Monitored] チェックボックスをオンにすると、このインターフェイスのヘルス モニタリングがイネーブルになります。チェックボックスをオフにすると、ヘルス モニタリングがディセーブルになります。デフォルトでは、物理インターフェイスのヘルス モニタリングはイネーブルに、仮想インターフェイスのヘルス モニタリングはディセーブルになっています。

ステップ 6 非同期グループ ID をドロップダウン リストから選択します。この設定は、物理インターフェイスにだけ使用可能です。仮想インターフェイスの場合、このフィールドには「None」が表示されます。


 

Summary

[Summary] 画面では、これまでのウィザードの画面で実行した設定手順の結果が表示されます。

設定を確認して [Finish] をクリックすると、設定内容がデバイスに送信されます。フェールオーバーを設定している場合、設定内容はフェールオーバー ピアにも送信されます。設定を変更する必要がある場合は、[Back] をクリックして変更する必要のある画面まで戻ります。変更を行ったら [Next] をクリックして [Summary] 画面まで戻ります。

High Availability and Scalability Wizard を使用した VPN クラスタ ロード バランシングの設定

次の手順では、High Availability and Scalability Wizard を使用した VPN クラスタ ロード バランシングの設定の概要を説明します。ウィザードへのアクセスの詳細については、「High Availability and Scalability Wizard へのアクセス」を参照してください。

手順の各ステップは、ウィザード画面に対応しています。各ステップを実行したら、次のステップに進む前に [Next] をクリックします(ただし、最終ステップを除きます)。また、各ステップには、実行に必要な追加情報への参照も含まれています。


ステップ 1 [Configuration Type] 画面で、[Configure VPN Cluster Load Balancing] をクリックします。

この画面の詳細については、「設定の種類」を参照してください。

ステップ 2 [VPN Cluster Load Balancing Configuration] 画面で VPN ロード バランシング設定を実行します。

この画面の詳細については、「VPN クラスタ ロード バランシングの設定」を参照してください。

ステップ 3 [Summary] 画面でコンフィギュレーションを確認します。必要に応じて [Back] をクリックし、前の画面に戻って変更します。

この画面の詳細については、「Summary」を参照してください。

ステップ 4 [Finish] をクリックします。

VPN クラスタ ロード バランシングの設定が ASA に送信されます。


 

VPN クラスタ ロード バランシングの設定

リモートクライアント コンフィギュレーションで、複数のASAを同じネットワークに接続してリモート セッションを処理している場合、これらのデバイスでセッション負荷を分担するように設定できます。この機能はロード バランシングと呼ばれ、最も負荷の低いデバイスにセッション トラフィックが送信されます。このため、すべてのデバイス間で負荷が分散されます。ロード バランシングにより、システム リソースが効率的に使用され、パフォーマンスとシステム アベイラビリティが向上します。

[VPN Cluster Load Balancing Configuration] 画面を使用して、デバイスがロード バランシング クラスタに参加するのに必要なパラメータを設定します。

ロード バランシングをイネーブルにするには、次の手順を実行します。

共通仮想クラスタ IP アドレス、UDP ポート(必要に応じて)、およびクラスタの IPsec 共有秘密情報を確立することによりロードバランシング クラスタを設定する。これらの値は、クラスタ内の各デバイスで同一です。

デバイスでロード バランシングをイネーブルにし、デバイス固有のプロパティを定義することにより、参加デバイスを設定する。これらの値はデバイスによって異なります。


) ロード バランシングは、Cisco VPN Client(バージョン 3.0 以降)、Cisco VPN 3002 Hardware Client(バージョン 3.5 以降)、または Easy VPN クライアントとして設定されている ASA 5505 で開始されたリモート セッションだけで有効です。その他すべてのクライアント(LAN-to-LAN 接続を含む)は、ロード バランシングがイネーブルになっている ASA に接続できますが、これらのクライアントはロード バランシングに参加できません。


ロード バランシングを実装するには、次の手順を実行して、同じプライベート LAN-to-LAN ネットワーク上の 2 つ以上のデバイスを、論理的に仮想クラスタとしてグループ化します。


ステップ 1 仮想クラスタ全体を表す 1 つの IP アドレスを選択します。仮想クラスタ内のすべての ASA が共有するパブリック サブネットのアドレス範囲内で、IP アドレスを指定します。

ステップ 2 このデバイスが参加する仮想クラスタの UDP ポートを指定します。デフォルト値は 9023 です。別のアプリケーションでこのポートが使用されている場合は、ロード バランシングに使用する UDP の宛先ポート番号を入力します。

ステップ 3 IPsec 暗号化をイネーブルにして、デバイス間で通信されるすべてのロードバランシング情報が暗号化されるようにするには、[Enable IPsec Encryption] チェックボックスをオンにします。共有秘密を指定し、確認する必要があります。仮想クラスタ内の ASA は、IPsec を使用する LAN-to-LAN トンネルを介して通信します。IPsec 暗号化をディセーブルにするには、[Enable IPsec Encryption] チェックボックスをオフにします。


) 暗号化を使用する場合、事前にロード バランシング内部インターフェイスを設定しておく必要があります。そのインターフェイスがロード バランシング内部インターフェイスでイネーブルになっていない場合、クラスタの暗号化を設定しようとするとエラー メッセージが表示されます。

クラスタの暗号化を設定したときにロード バランシング内部インターフェイスはイネーブルになっていたが、仮想クラスタ内の参加デバイスを設定する前にディセーブルになった場合は、[Participate in Load Balancing Cluster] チェックボックスをオンにするとエラー メッセージが表示され、そのクラスタに対する暗号化はイネーブルになりません。


ステップ 4 IPsec 暗号化をイネーブルにするときに、IPsec ピア間の共有秘密を指定します。入力した値は、連続するアスタリスク文字として表示されます。

ステップ 5 クラスタ内のこのデバイスに割り当てるプライオリティを指定します。範囲は、1 ~ 10 です。プライオリティは、起動時または既存のマスターで障害が発生したときに、このデバイスが仮想クラスタ マスターになる可能性を表します。プライオリティを高く設定すると(たとえば 10)、このデバイスが仮想クラスタ マスターになる可能性が高くなります。


) 仮想クラスタ内のデバイスを異なるタイミングで起動した場合、最初に起動したデバイスが、仮想クラスタ マスターの役割を果たすと想定されます。どの仮想クラスタにもマスターが必要であるため、起動したときに仮想クラスタ内の各デバイスはチェックを行い、クラスタに仮想マスターがあることを確認します。仮想マスターがない場合、そのデバイスがマスターの役割を果たします。後で起動し、クラスタに追加されたデバイスは、セカンダリ デバイスになります。仮想クラスタ内のすべてのデバイスが同時に起動されたときは、最高の優先順位が設定されたデバイスが仮想クラスタ マスターになります。仮想クラスタ内の複数のデバイスが同時に起動され、いずれも最高の優先順位が設定されている場合、最も低い IP アドレスを持つデバイスが仮想クラスタ マスターになります。


ステップ 6 このデバイスのパブリック インターフェイスの名前または IP アドレスを指定します。

ステップ 7 このデバイスのプライベート インターフェイスの名前または IP アドレスを指定します。

ステップ 8 VPN クライアント接続をクラスタ デバイスにリダイレクトするとき、外部 IP アドレスの代わりにクラスタ デバイスのホスト名とドメイン名を使用して、VPN クラスタ マスターによって完全修飾ドメイン名が送信されるようにするには、[Send FQDN to client instead of an IP address when redirecting] チェックボックスをオンにします。


 

High Availability and Scalability Wizard の機能履歴

表 7-1 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。 ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 7-1 High Availability and Scalability Wizard の機能履歴

機能名
プラットフォーム リリース
機能情報

High Availability and Scalability Wizard

7.2(1)

この機能が導入されました。

フェールオーバー コンフィギュレーションでの IPv6 アドレス サポート

8.2(5)

この機能が導入されました。IPv6 アドレスを利用可能にするため、High Availability and Scalability Wizard の次の画面が変更されました。

Failover Peer Connectivity and Compatibility Check

Failover Link Configuration

State Link Configuration

Standby Address Configuration