Cisco ASA シリーズ ASDM コンフィギュレーション ガイド(一般的な操作) ソフトウェア バージョン 7.1
ASA のクラスタの設定
ASA のクラスタの設定
発行日;2013/10/29 | 英語版ドキュメント(2013/09/27 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

ASA のクラスタの設定

ASA クラスタリングに関する情報

ASA クラスタをネットワークに適合させる方法

パフォーマンス スケーリング係数

クラスタ メンバ

ブートストラップ コンフィギュレーション

マスターおよびスレーブ ユニットの役割

マスター ユニット選定

新しい接続の所有権

ASA クラスタのインターフェイス

インターフェイス タイプ

インターフェイス タイプ モード

クラスタ制御リンク

クラスタ制御リンク トラフィックの概要

クラスタ制御リンク ネットワーク

クラスタ制御リンクのサイジング

クラスタ制御リンクの冗長性

クラスタ制御リンクの障害

ASA のクラスタ内のハイ アベイラビリティ

ユニットのヘルス モニタリング

インターフェイスのモニタ

ユニットまたはインターフェイスの障害

データ パス接続状態の複製

コンフィギュレーションの複製

ASA クラスタ管理

管理ネットワーク

管理インターフェイス

マスター ユニット管理と スレーブ ユニット管理の違い

RSA キー複製

ASDM 接続証明書 IP アドレス不一致

ロード バランシングの方式

スパンド EtherChannel(推奨)

ポリシーベース ルーティング(ルーテッド モードのみ)

等コスト マルチパス ルーティング(ルーテッド モードのみ)

ASA クラスタが接続を管理する方法

接続のロール

サンプル データ フロー

新しい TCP 接続のクラスタ全体での再分散

ASA の機能とクラスタリング

サポートされていない機能

中央集中型機能

個々のユニットに適用される機能

ダイナミック ルーティング

マルチキャスト ルーティング

NAT

ネットワーク アクセス用の AAA

syslog および NetFlow

SNMP

VPN

FTP

Cisco TrustSec

ASA クラスタリングのライセンス要件

ASA クラスタリングの前提条件

注意事項と制限事項

デフォルト設定

ASA クラスタリングの設定

ASA クラスタ コンフィギュレーションのタスク フロー

クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定

マスター装置でのクラスタのインターフェイス モードの設定

各装置の管理インターフェイスの設定

マスタ装置のクラスタ制御インターフェイスのイネーブル化

設定のバックアップ(推奨)

マスター ユニットでのインターフェイスの設定

個別インターフェイスの設定(管理インターフェイスの場合に推奨)

スパンド EtherChannel の設定

ASA クラスタの追加または参加

ASA クラスタ メンバの管理

ASA クラスタ パラメータの設定

マスター装置からの新スレーブの追加

非アクティブ メンバになる

マスター装置からのスレーブ メンバの非アクティブ化

クラスタからの脱退

マスター ユニットの変更

クラスタ全体でのコマンドの実行

ASA クラスタのモニタ

クラスタ ダッシュボード

[Monitoring] 画面

クラスタ サマリーの表示

クラスタ リソースのモニタリング

クラスタ トラフィックのモニタリング

クラスタ制御リンクのモニタリング

関連機能

ASA クラスタリングのコンフィギュレーション例

Firewall on a Stick

トラフィックの分離

冗長インターフェイス(PBR または ECMP)

バックアップ リンクを持つスパンド EtherChannel

ASA クラスタリングの機能履歴

ASA のクラスタの設定

クラスタリングを利用すると、複数の ASA をグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

この章の内容は、次のとおりです。

「ASA クラスタリングに関する情報」

「ASA クラスタリングのライセンス要件」

「ASA クラスタリングの前提条件」

「注意事項と制限事項」

「デフォルト設定」

「ASA クラスタリングの設定」

「ASA クラスタ メンバの管理」

「ASA クラスタのモニタ」

「ASA クラスタリングのコンフィギュレーション例」

「ASA クラスタリングの機能履歴」

ASA クラスタリングに関する情報

この項では、次のトピックについて取り上げます。

「ASA クラスタをネットワークに適合させる方法」

「パフォーマンス スケーリング係数」

「クラスタ メンバ」

「ASA クラスタのインターフェイス」

「クラスタ制御リンク」

「ASA のクラスタ内のハイ アベイラビリティ」

「コンフィギュレーションの複製」

「ASA クラスタ管理」

「ロード バランシングの方式」

「ASA クラスタが接続を管理する方法」

「ASA の機能とクラスタリング」

ASA クラスタをネットワークに適合させる方法

クラスタは、最大 8 台の ASA で構成され、これらは 1 つのユニットとして機能します。ASA をクラスタとして機能させるには、次のインフラストラクチャが必要です。

クラスタ内通信用の、隔離された高速バックプレーン ネットワーク。 クラスタ制御リンク と呼ばれます。「クラスタ制御リンク」を参照してください。

各 ASA への管理アクセス(コンフィギュレーションおよびモニタリングのため)。「ASA クラスタ管理」を参照してください。

クラスタをネットワーク内に配置するときは、クラスタが送受信するデータのロード バランシングを、アップストリームおよびダウンストリームのルータが次のいずれかの方法でできることが必要です。

スパンド EtherChannel(推奨):クラスタ内の複数のメンバのインターフェイスをグループ化して 1 つの EtherChannel とします。この EtherChannel がユニット間のロード バランシングを実行します。「スパンド EtherChannel(推奨)」を参照してください。

ポリシーベース ルーティング(ルーテッド モードのみ):アップストリームとダウンストリームのルータが、ルート マップと ACL を使用してユニット間のロード バランシングを実行します。「ポリシーベース ルーティング(ルーテッド モードのみ)」を参照してください。

等コスト マルチパス ルーティング(ルーテッド モードのみ):アップストリームとダウンストリームのルータが、等コストのスタティックまたはダイナミック ルートを使用してユニット間のロード バランシングを実行します。「等コスト マルチパス ルーティング(ルーテッド モードのみ)」を参照してください。

パフォーマンス スケーリング係数

複数のユニットを結合して 1 つのクラスタとしたときに、期待できるパフォーマンスの概算値は次のようになります。

合計スループットの 70%

最大接続数の 60%

接続数/秒の 50%

たとえば、スループットについては、ASA 5585-X と SSP-40 が処理できる実際のファイアウォール トラフィックは、単独動作時は約 10 Gbps となります。8 ユニットのクラスタでは、合計スループットの最大値は約 80 Gbps(8 ユニット x 10 Gbps)の 70%、つまり 56 Gbps となります。

ブートストラップ コンフィギュレーション

各デバイスで、最小限のブートストラップ コンフィギュレーション(クラスタ名、クラスタ制御リンク インターフェイスなどのクラスタ設定)を設定します。クラスタリングを最初にイネーブルにしたユニットが一般的には マスター ユニットとなります。以降のユニットに対してクラスタリングをイネーブルにすると、そのユニットは スレーブ としてクラスタに参加します。

マスターおよびスレーブ ユニットの役割

クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは、ブートストラップ コンフィギュレーション内のプライオリティ設定によって決まります。プライオリティは 1 ~ 100 の範囲内で設定され、1 が最高のプライオリティです。他のすべてのメンバはスレーブ ユニットです。一般的には、クラスタを作成した後で最初に追加したユニットがマスター ユニットとなります。これは単に、その時点でクラスタに存在する唯一のユニットであるからです。

すべてのコンフィギュレーション作業(ブートストラップ コンフィギュレーションを除く)は、マスター ユニット上のみで実行する必要があります。コンフィギュレーションは、スレーブ ユニットに複製されます。物理的資産(たとえばインターフェイス)の場合は、マスター ユニットのコンフィギュレーションがすべてのスレーブ ユニット上でミラーリングされます。たとえば、GigabitEthernet 0/1 を内部インターフェイスとして、GigabitEthernet 0/0 を外部インターフェイスとして設定した場合は、これらのインターフェイスはスレーブ ユニット上でも、内部および外部のインターフェイスとして使用されます。

機能によっては、クラスタ内でスケーリングしないものがあり、そのような機能についてはマスター ユニットがすべてのトラフィックを処理します。「中央集中型機能」を参照してください。

マスター ユニット選定

クラスタのメンバは、クラスタ制御リンクを介して通信してマスター ユニットを選定します。方法は次のとおりです。

1. ユニットに対してクラスタリングをイネーブルにしたとき(または、クラスタリングがイネーブル済みの状態でそのユニットを初めて起動したとき)に、そのユニットは選定要求を 3 秒間隔でブロードキャストします。

2. プライオリティの高い他のユニットがこの選定要求に応答します。プライオリティは 1 ~ 100 の範囲内で設定され、1 が最高のプライオリティです。

3. 45 秒経過しても、プライオリティの高い他のユニットからの応答を受信していない場合は、そのユニットがマスターになります。


) 最高のプライオリティを持つユニットが複数ある場合は、クラスタ ユニット名、次にシリアル番号を使用してマスターが決定されます。


4. 後からクラスタに参加したユニットのプライオリティの方が高い場合でも、そのユニットが自動的にマスター ユニットになることはありません。既存のマスター ユニットは常にマスターのままです。ただし、マスター ユニットが応答を停止すると、その時点で新しいマスター ユニットが選定されます。


) 特定のユニットを手動で強制的にマスターにすることができます。中央集中型機能については、マスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。中央集中型機能のリストについては、「中央集中型機能」を参照してください。


新しい接続の所有権

新しい接続がクラスタのメンバへのものである場合は、そのユニットがその接続の両方向のオーナーとなります。接続のパケットが別のユニットに到着した場合は、そのパケットはクラスタ制御リンクを介してオーナー ユニットに転送されます。最適なパフォーマンスを得るには、適切な外部ロード バランシングが必要です。1 つのフローの両方向が同じユニットに到着するとともに、フローがユニット間に均等に分散されるようにするためです。逆方向のフローが別のユニットに到着した場合は、元のユニットにリダイレクトされます。詳細については、「ロード バランシングの方式」を参照してください。

ASA クラスタのインターフェイス

たとえば、ASA 5585-X と SSP-60 を使用する場合は、データ インターフェイスはスパンド EtherChannel として設定することも、個別インターフェイスとして設定することもできます。1 つのクラスタ内のすべてのデータ インターフェイスのタイプが同一であることが必要です。

「インターフェイス タイプ」

「インターフェイス タイプ モード」

インターフェイス タイプ

スパンド EtherChannel(推奨)

ユニットあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのユニットに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはインターフェイスではなくブリッジ グループに割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。「スパンド EtherChannel(推奨)」も参照してください。

 

個別インターフェイス(ルーテッド モードのみ)

個別インターフェイスは通常のルーテッド インターフェイスであり、それぞれが専用のローカル IP アドレスを持ちます。インターフェイス コンフィギュレーションはマスター ユニット上だけで行う必要があるため、このインターフェイス コンフィギュレーションの中で IP アドレス プールを設定して、このプールのアドレスをクラスタ メンバ(マスターを含む)のインターフェイスに使用させることができます。メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。メイン クラスタ IP アドレスは、マスター ユニットのセカンダリ IP アドレスです。ローカル IP アドレスが常にルーティングのプライマリ アドレスになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ただし、ロード バランシングを別途する必要があります(この場合はアップストリーム スイッチ上で)。ロードバランシングについては、「ロード バランシングの方式」を参照してください。


) 個別インターフェイスはルーティング プロトコルに基づきトラフィックをロード バランシングしますが、ルーティング プロトコルはリンク障害時にコンバージェンスが遅くなることがよくあるので、個別インターフェイスの代わりにスパンド EtherChannel を推奨します。


 

インターフェイス タイプ モード

デバイスを設定する前に、インターフェイス タイプを選択する必要があります。インターフェイス タイプ モードについては、次のガイドラインを参照してください。

管理専用インターフェイスはいつでも、個別インターフェイス(推奨)として設定できます(スパンド EtherChannel モードのときでも)。管理インターフェイスは、個別インターフェイスとすることができます(トランスペアレント ファイアウォール モードのときでも)。

スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定すると、管理インターフェイスに対してダイナミック ルーティングをイネーブルにできません。スタティック ルートを使用する必要があります。

マルチ コンテキスト モードでは、すべてのコンテキストに対して 1 つのインターフェイス タイプを選択する必要があります。たとえば、トランスペアレント モードとルーテッド モードのコンテキストが混在している場合は、すべてのコンテキストにスパンド EtherChannel モードを使用する必要があります。これが、トランスペアレント モードで許可される唯一のインターフェイス タイプであるからです。

クラスタ制御リンク

各ユニットの、少なくとも 1 つのハードウェア インターフェイスをクラスタ制御リンク専用とする必要があります。

「クラスタ制御リンク トラフィックの概要」

「クラスタ制御リンク ネットワーク」

「クラスタ制御リンクのサイジング」

「クラスタ制御リンクの冗長性」

「クラスタ制御リンクの障害」

クラスタ制御リンク トラフィックの概要

クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

制御トラフィックには次のものが含まれます。

マスター選定。(「クラスタ メンバ」を参照)。

コンフィギュレーションの複製 (「コンフィギュレーションの複製」を参照)。

ヘルス モニタリング。(「ユニットのヘルス モニタリング」を参照)。

データ トラフィックには次のものが含まれます。

ステート複製。(「データ パス接続状態の複製」を参照)。

接続所有権クエリーおよびデータ パケット転送。(「新しい TCP 接続のクラスタ全体での再分散」を参照)。

クラスタ制御リンク ネットワーク

各クラスタ制御リンクは、同じサブネット上の IP アドレスを持ちます。このサブネットは、他のすべてのトラフィックからは隔離し、ASA クラスタ制御リンク インターフェイスだけが含まれるようにしてください。

クラスタ制御リンクのサイジング

クラスタ制御リンクに割り当てる帯域幅は、通過トラフィック用に割り当てるのと同じ大きさにしてください。クラスタ制御リンクには、10 ギガビット イーサネット インターフェイスを使用することを推奨します。たとえば、ASA 5585-X と SSP-60 を使用する場合は、クラスタのユニットあたり最大 14 Gbps を通過させることができるので、クラスタ制御リンクに割り当てるインターフェイスも、約 14 Gbps の通過が可能となるようにしてください。この場合は、たとえば 10 ギガビット イーサネット インターフェイス 2 つを EtherChannel としてクラスタ制御リンクに使用し、残りのインターフェイスを必要に応じてデータ リンクに使用します。

クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。たとえば、状態アップデートは通過トラフィック量の最大 10 % に及ぶことがあります(通過トラフィックの内容が、存続期間の短い TCP 接続のみの場合)。転送トラフィックの量は、ロードバランシングの有効性や、中央集中型機能へのトラフィックの多さによって異なります。たとえば、NAT 使用時は接続のロード バランシングが適切に行われなくなるため、すべてのリターン トラフィックが正しいユニットに到達するように再分散が必要になります。また、ネットワーク アクセス用の AAA は中央集中型機能であるため、すべてのトラフィックがマスター ユニットに転送されます。メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。

クラスタ制御リンクの冗長性

十分な数の 10 ギガビット イーサネット インターフェイスがある場合は、EtherChannel をクラスタ制御リンクに使用することを推奨します。トラフィックを EtherChannel の複数のリンクで通過させることができ、同時に冗長化も達成できるからです。

次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の ASA インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。

 

クラスタ制御リンクの障害

クラスタ制御リンク回線プロトコルが特定のユニットでダウンした場合は、クラスタリングがディセーブルになります。データ インターフェイスはシャットダウンされます。影響を受ける各ユニットでクラスタリングが手動で再度イネーブル化される(クラスタ制御リンクを修復した後で)まで、シャットダウン状態が続きます。

ユニットのヘルス モニタリング

マスター ユニットは、各スレーブ ユニットをモニタするために、クラスタ制御リンクを介してキープアライブ メッセージを定期的に送信します(間隔は設定可能です)。各スレーブ ユニットは、同じメカニズムを使用してマスター ユニットをモニタします。

インターフェイスのモニタ

各ユニットは、使用中のすべてのハードウェア インターフェイスのリンク ステータスをモニタし、ステータス変更をマスター ユニットに報告します。

スパンド EtherChannel:クラスタ リンク集約制御プロトコル(cLACP)を使用します。各ユニットは、リンク ステータスおよび cLACP プロトコル メッセージをモニタして、ポートがまだ EtherChannel でアクティブであるかどうかを判断します。ステータスがマスター ユニットに報告されます。

個別インターフェイス(ルーテッド モードのみ):各ユニットが自身のインターフェイスを自己モニタし、インターフェイスのステータスをマスター ユニットに報告します。

ユニットまたはインターフェイスの障害

ヘルス モニタリングがイネーブルのときは、ユニットまたはそのインターフェイスで障害が発生するとそのユニットが削除されます。あるインターフェイスが、特定のユニット上では障害が発生したが、別のユニットではアクティブの場合は、そのユニットはクラスタから削除されます。

クラスタ内のユニットで障害が発生したときに、そのユニットでホスティングされている接続は他のユニットにシームレスに移管されます。トラフィック フローのステート情報は、クラスタ制御リンクを介して共有されます。

マスター ユニットで障害が発生した場合は、そのクラスタの他のメンバのうち、プライオリティが最高(番号が最小)のものがマスターになります。

データ パス接続状態の複製

どの接続にも、1 つのオーナーおよび少なくとも 1 つのバックアップ オーナーがクラスタ内にあります。バックアップ オーナーは、障害が発生しても接続を引き継ぎません。代わりに、TCP/UDP のステート情報を保存します。これは、障害発生時に接続が新しいオーナーにシームレスに移管されるようにするためです。

オーナーが使用不可能になった場合は、その接続からパケットを受け取る最初のユニット(ロード バランシングに基づく)がバックアップ オーナーに問い合わせて、関連するステート情報を取得し、これでそのユニットが新しいオーナーになることができます。

トラフィックの中には、TCP または UDP レイヤよりも上のステート情報を必要とするものがあります。このトラフィックに対するクラスタリング サポートの有無については、 表 10-1 参照してください。

 

表 10-1 クラスタ全体で複製される ASA の機能

トラフィック
状態のサポート
コメント

アップ タイム

Yes

システム アップ タイムをトラッキングします。

ARP テーブル

Yes

トランスペアレント モードのみ。

MAC アドレス テーブル

Yes

トランスペアレント モードのみ。

ユーザ アイデンティティ

Yes

AAA ルール(uauth)とアイデンティティ ファイアウォールが含まれます。

IPv6 ネイバー データベース

Yes

 

ダイナミック ルーティング

Yes

 

複数サイト ライセンス

No

 

SNMP エンジン ID

No

 

VPN

No

VPN セッションは、マスター ユニットで障害が発生すると切断されます。

コンフィギュレーションの複製

クラスタ内のすべてのユニットは、単一のコンフィギュレーションを共有します。最初のブートストラップ コンフィギュレーションを除き、コンフィギュレーション変更を加えることができるのはマスター ユニット上だけであり、変更は自動的にクラスタ内の他のすべてのユニットに複製されます。

管理ネットワーク

すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。

管理インターフェイス

管理インターフェイスについては、専用管理インターフェイスの 1 つを使用することを推奨します。管理インターフェイスは、個別インターフェイスとして設定することも(ルーテッド モードとトランスペアレント モードの両方)、スパンド EtherChannel インターフェイスとして設定することもできます。

管理用には、個別インターフェイスを使用することを推奨します(スパンド EtherChannel をデータ インターフェイスに使用している場合でも)。個別インターフェイスならば、必要に応じて各ユニットに直接接続できますが、スパンド EtherChannel インターフェイスでは、現在のマスター ユニットへのリモート接続しかできません。


) スパンド EtherChannel インターフェイス モードを使用しているときに、管理インターフェイスを個別インターフェイスとして設定する場合は、管理インターフェイスに対してダイナミック ルーティングをイネーブルにすることはできません。スタティック ルートを使用する必要があります。


個別インターフェイスの場合は、メイン クラスタ IP アドレスはそのクラスタの固定アドレスであり、常に現在のマスター ユニットに属します。インターフェイスごとに、管理者はアドレス範囲も設定します。これで、各ユニット(現在のマスターも含まれます)がその範囲内のローカル アドレスを使用できるようになります。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。ローカル IP アドレスは、ルーティングに使用され、トラブルシューティングにも役立ちます。

たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。

発信方向の管理トラフィック、たとえば TFTP や syslog については、各ユニットはローカル IP アドレスを使用してサーバに接続します。これには、マスター ユニットも含まれます。

スパンド EtherChannel インターフェイスの場合は、IP アドレスは 1 つだけ設定でき、その IP アドレスは常にマスター ユニットに関連付けられます。EtherChannel インターフェイスを使用してスレーブ ユニットに直接接続することはできません。管理インターフェイスは個別インターフェイスとして設定することを推奨します。各ユニットに接続できるようにするためです。デバイス ローカル EtherChannel を管理に使用できます。

マスター ユニット管理と スレーブ ユニット管理の違い

ブートストラップ コンフィギュレーションを除き、すべての管理とモニタリングはマスター ユニットで実行できます。マスター ユニットから、すべてのユニットの実行時統計情報やリソース使用状況などのモニタリング情報を調べることができます。また、クラスタ内のすべてのユニットに対してコマンドを発行することや、コンソール メッセージをスレーブ ユニットからマスター ユニットに複製することもできます。

必要に応じて、スレーブ ユニットを直接モニタできます。マスター ユニットからでもできますが、ファイル管理をスレーブ ユニット上で実行できます(コンフィギュレーションのバックアップや、イメージの更新など)。次の機能は、マスター ユニットからは使用できません。

ユニットごとのクラスタ固有統計情報のモニタリング。

ユニットごとの Syslog モニタリング。

RSA キー複製

マスター ユニット上で RSA キーを作成すると、そのキーはすべてのスレーブ ユニットに複製されます。メイン クラスタ IP アドレスへの SSH セッションがある場合に、マスター ユニットで障害が発生すると接続が切断されます。新しいマスター ユニットは、SSH 接続に対して同じキーを使用するので、新しいマスター ユニットに再接続するときに、キャッシュ済みの SSH ホスト キーを更新する必要はありません。

ASDM 接続証明書 IP アドレス不一致

デフォルトでは、自己署名証明書は、ローカル IP アドレスに基づいて ASDM 接続に使用されます。ASDM を使用してメイン クラスタ IP アドレスに接続する場合は、IP アドレス不一致に関する警告メッセージが表示されます。これは、証明書で使用されているのがローカル IP アドレスであり、メイン クラスタ IP アドレスではないからです。このメッセージは無視して、ASDM 接続を確立できます。ただし、この種の警告を回避するには、新しい証明書を登録し、この中でメイン クラスタ IP アドレスと、IP アドレス プールからのすべてのローカル IP アドレスを指定します。この証明書を各クラスタ メンバに使用します。詳細については、を参照してください。

スパンド EtherChannel(推奨)

ユニットあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのユニットに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。

「スパンド EtherChannel の利点」

「最大スループットのガイドライン」

「ロード バランシング」

「EtherChannel の冗長性」

「VSS または vPC への接続」

スパンド EtherChannel の利点

EtherChannel 方式のロードバランシングは、次のような利点から、他の方式よりも推奨されます。

障害検出までの時間が短い。

コンバージェンス時間が短い。個別インターフェイスはルーティング プロトコルに基づきトラフィックをロード バランシングしますが、ルーティング プロトコルはリンク障害時にコンバージェンスが遅くなることがよくあります。

コンフィギュレーションが容易である。

EtherChannel 全般(クラスタリングだけでなく)の詳細については、を参照してください。

最大スループットのガイドライン

最大スループットを実現するには、次のことを推奨します。

使用するロード バランシング ハッシュ アルゴリズムは「対称」であるようにします。つまり、どちらの方向からのパケットも同じハッシュを持たせて、スパンド EtherChannel 内の同じ ASA に送信します。送信元と宛先の IP アドレス(デフォルト)または送信元と宛先のポートをハッシュ アルゴリズムとして使用することを推奨します。

ASA をスイッチに接続するときは、同じタイプのラインカードを使用します。すべてのパケットに同じハッシュ アルゴリズムが適用されるようにするためです。

ロード バランシング

EtherChannel リンクは、送信元または宛先 IP アドレス、TCP ポートおよび UDP ポート番号に基づいて、専用のハッシュ アルゴリズムを使用して選択されます。


) ASA では、デフォルトのロードバランシング アルゴリズムを変更しないでください(を参照)。スイッチでは、次のアルゴリズムのいずれかを使用することを推奨します(Nexus OS port-channel load-balance コマンドを参照)。source-dest-ip または source-dest-ip-port。クラスタ内の ASA へのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、vlan キーワードを使用しないでください。


EtherChannel 内のリンク数はロード バランシングに影響を及ぼします。詳細については、を参照してください。

対称ロード バランシングは常に可能とは限りません。NAT を設定する場合は、フォワード パケットとリターン パケットとで IP アドレスやポートが異なります。リターン トラフィックはハッシュに基づいて別のユニットに送信されるため、クラスタはほとんどのリターン トラフィックを正しいユニットにリダイレクトする必要があります。詳細については、「NAT」を参照してください。

EtherChannel の冗長性

EtherChannel には、冗長性機能が組み込まれています。これは、すべてのリンクの回線プロトコル ステータスをモニタします。リンクの 1 つで障害が発生すると、トラフィックは残りのリンク間で再分散されます。EtherChannel のすべてのリンクが特定のユニット上で停止したが、他方のユニットがまだアクティブである場合は、そのユニットはクラスタから削除されます。

VSS または vPC への接続

1 つの ASA につき複数のインターフェイスを、スパンド EtherChannel に入れることができます。1 つの ASA につき複数のインターフェイスが特に役立つのは、VSS または vPC の両方のスイッチに接続するときです。EtherChannel では、最大 16 個のインターフェイスのうち 8 個しかアクティブにできないことに注意してください。残りの 8 個のインターフェイスは、リンク障害に備えてスタンバイとなります。次の図には、4 ASA クラスタと 8 ASA クラスタがあり、どちらも EtherChannel のリンク数合計は 16 です。アクティブ リンクは実線で、非アクティブ リンクは点線で示しています。cLACP ロードバランシングは、EtherChannel のリンクのうち最良の 8 本を自動的に選択してアクティブにすることができます。つまり、cLACP は、リンク レベルでのロード バランシング実現に役立ちます。

 

ポリシーベース ルーティング(ルーテッド モードのみ)

個別インターフェイスを使用するときは、各 ASA インターフェイスが専用の IP アドレスと MAC アドレスを維持します。ルーテッド モードでのロード バランシング方法の 1 つが、ポリシーベース ルーティング(PBR)です。

この方法が推奨されるのは、すでに PBR を使用しており、既存のインフラストラクチャを活用したい場合です。このメソッドは、スパンされる EtherChannel に対しても、 追加調整オプションを提供する場合があります。

PBR は、ルート マップおよび ACL に基づいて、ルーティングの決定を行います。管理者は、手動でトラフィックをクラスタ内のすべての ASA に分ける必要があります。PBR は静的であるため、常に最適なロード バランシング結果を実現できないこともあります。最高のパフォーマンスを達成するには、PBR ポリシーを設定するときに、同じ接続のフォワードとリターンのパケットが同じ物理的 ASA に送信されるように指定することを推奨します。たとえば、Cisco ルータがある場合は、冗長性を実現するには IOS PBR をオブジェクト トラッキングとともに使用します。IOS オブジェクト トラッキングは、ICMP ping を使用して各 ASA をモニタします。これで、PBR は、特定の ASA の到達可能性に基づいてルート マップをイネーブルまたはディセーブルにできます。詳細については、次の URL を参照してください。

http://www.cisco.com/en/US/products/ps6599/products_white_paper09186a00800a4409.shtml

http://www.cisco.com/en/US/docs/ios/12_3t/12_3t4/feature/guide/gtpbrtrk.html#wp1057830


) このロードバランシング方法を使用する場合は、デバイス ローカル EtherChannel を個別インターフェイスとして使用できます。


等コスト マルチパス ルーティング(ルーテッド モードのみ)

個別インターフェイスを使用するときは、各 ASA インターフェイスが専用の IP アドレスと MAC アドレスを維持します。ルーテッド モードでのロード バランシング方法の 1 つが、等コスト マルチパス(ECMP)ルーティングです。

この方法が推奨されるのは、すでに ECMP を使用しており、既存のインフラストラクチャを活用したい場合です。このメソッドは、スパンされる EtherChannel に対しても、 追加調整オプションを提供する場合があります。

ECMP ルーティングでは、ルーティング メトリックが同値で最高である複数の「最適パス」を介してパケットを転送できます。EtherChannel のように、送信元および宛先の IP アドレスや送信元および宛先のポートのハッシュを使用してネクスト ホップの 1 つにパケットを送信できます。ECMP ルーティングにスタティック ルートを使用する場合は、ASA の障害発生時に問題が起きることがあります。ルートは引き続き使用されるため、障害が発生した ASA へのトラフィックが失われるからです。スタティック ルートを使用する場合は必ず、オブジェクト トラッキングなどのスタティック ルート モニタリング機能を使用してください。ダイナミック ルーティング プロトコルを使用してルートの追加と削除を行うことを推奨します。この場合は、ダイナミック ルーティングに参加するように各 ASA を設定する必要があります。


) このロードバランシング方法を使用する場合は、デバイス ローカル EtherChannel を個別インターフェイスとして使用できます。


接続のロール

ASA には次の 3 種類のロールがあり、各接続に対して定義されます。

オーナー:最初に接続を受信するユニット。オーナーは、TCP 状態を保持し、パケットを処理します。1 つの接続に対してオーナーは 1 つだけです。

ディレクタ:フォワーダからのオーナー ルックアップ要求を処理するユニット。また、オーナーが停止した場合はバックアップとなり、接続の状態を保持します。オーナーが新しい接続を受信すると、オーナーは、送信元/宛先 IP アドレスおよび TCP ポートのハッシュに基づいてディレクタを選択し、新しい接続を登録するためにメッセージをそのディレクタに送信します。パケットがオーナー以外のユニットに到着した場合は、そのユニットはどのユニットがオーナーかをディレクタに問い合わせます。これで、パケットを転送できるようになります。1 つの接続に対してディレクタは 1 つだけです。

フォワーダ:パケットをオーナーに転送するユニット。フォワーダが接続のパケットを受信したときに、その接続のオーナーが自分ではない場合は、フォワーダはディレクタにオーナーを問い合わせてから、そのオーナーへのフローを確立します。これは、この接続に関してフォワーダが受信するその他のパケット用です。ディレクタは、フォワーダにもなることができます。フォワーダが SYN-ACK パケットを受信した場合は、パケット内の SYN Cookie から直接オーナーを導出できるので、ディレクタに問い合わせる必要はありません(TCP シーケンスのランダム化をディセーブルにした場合は、SYN Cookie は使用されないので、ディレクタへの問い合わせが必要です)。存続期間が短いフロー(たとえば DNS や ICMP)の場合は、フォワーダは問い合わせの代わりにパケットを即座にディレクタに送信し、ディレクタがそのパケットをオーナーに送信します。1 つの接続に対して、複数のフォワーダが存在できます。最も効率的なスループットを実現できるのは、フォワーダが 1 つもなく、接続のすべてのパケットをオーナーが受信するという、優れたロードバランシング方法が使用されている場合です。

サンプル データ フロー

次の例は、新しい接続の確立を示します。

 

1. SYN パケットがクライアントから発信され、ASA の 1 つ(ロード バランシング方法に基づく)に配信されます。これがオーナーとなります。オーナーはフローを作成し、オーナー情報をエンコードして SYN Cookie を生成し、パケットをサーバに転送します。

2. SYN-ACK パケットがサーバから発信され、別の ASA(ロード バランシング方法に基づく)に配信されます。この ASA はフォワーダです。

3. フォワーダはこの接続を所有してはいないので、オーナー情報を SYN Cookie からデコードし、オーナーへの転送フローを作成し、SYN-ACK をオーナーに転送します。

4. オーナーはディレクタに状態アップデートを送信し、SYN-ACK をクライアントに転送します。

5. ディレクタは状態アップデートをオーナーから受信し、オーナーへのフローを作成し、オーナーと同様に TCP ステート情報を記録します。ディレクタは、この接続のバックアップ オーナーとしての役割を持ちます。

6. これ以降、フォワーダに配信されたパケットはすべて、オーナーに転送されます。

7. パケットがその他のユニットに配信された場合は、そのユニットはディレクタに問い合わせてオーナーを特定し、フローを確立します。

8. フローの状態が変化した場合は、状態アップデートがオーナーからディレクタに送信されます。

新しい TCP 接続のクラスタ全体での再分散

アップストリームまたはダウンストリーム ルータによるロード バランシングの結果として、フロー分散に偏りが生じた場合は、新しい TCP フローを過負荷のユニットから他のユニットにリダイレクトするように設定できます。既存のフローは他のユニットには移動されません。

サポートされていない機能

これらの機能は、クラスタリングがイネーブルのときは設定できず、コマンドは拒否されます。

ユニファイド コミュニケーション

リモート アクセス VPN(SSL VPN および IPSec VPN)

次のアプリケーション インスペクション:

CTIQBE

GTP

H323、H225、および RAS

IPsec パススルー

MGCP

MMP

RTSP

SIP

SCCP(Skinny)

WAAS

WCCP

Botnet Traffic Filter

Auto Update Server

DHCP クライアント、サーバ、リレー、およびプロキシ

VPN ロード バランシング

フェールオーバー

ASA CX モジュール

中央集中型機能

次の機能は、マスター ユニット上だけでサポートされます。クラスタの場合もスケーリングされません。たとえば、8 ユニット(5585-X と SSP-60)から成るクラスタがあるとします。Other VPN ライセンスでは、1 台の ASA 5585-X と SSP-60 に対して許可される IPSec トンネルの最大数は 10,000 です。8 ユニット クラスタ全体で使用できるトンネル数は 10,000 までです。この機能はスケーリングしません。


) 中央集中型機能のトラフィックは、メンバ ユニットからマスター ユニットに、クラスタ制御リンクを介して転送されます。クラスタ制御リンク用に十分な帯域幅を確保するには、「クラスタ制御リンクのサイジング」を参照してください。

再分散機能(「新しい TCP 接続のクラスタ全体での再分散」を参照)を使用する場合は、中央集中型機能のトラフィックが中央集中型機能として分類される前に再分散が行われて、マスター以外のユニットに転送されることがあります。この場合は、トラフィックがマスター ユニットに送り返されます。

中央集中型機能については、マスター ユニットで障害が発生するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。


サイト間 VPN

次のアプリケーション インスペクション:

DCERPC

NetBios

PPTP

RADIUS

RSH

SUNRPC

TFTP

XDMCP

ダイナミック ルーティング(スパンド EtherChannel モードのみ)

マルチキャスト ルーティング(個別インターフェイス モードのみ)

スタティック ルート モニタリング

IGMP マルチキャスト コントロール プレーン プロトコル処理(データ プレーン フォワーディングはクラスタ全体に分散されます)

PIM マルチキャスト コントロール プレーン プロトコル処理(データ プレーン フォワーディングはクラスタ全体に分散されます)

ネットワーク アクセスの認証および許可。アカウンティングは非集中型です。

フィルタリング サービス

個々のユニットに適用される機能

これらの機能は、クラスタ全体ではなく、個々の ASA ユニットに適用されます。

QoS:QoS ポリシーは、コンフィギュレーション複製の一部としてクラスタ全体で同期されます。ただし、ポリシーは、各ユニットに対して個別に適用されます。たとえば、出力に対してポリシングを設定する場合は、適合レートおよび適合バースト値は、特定の ASA から出て行くトラフィックに適用されます。8 ユニットから成るクラスタがあり、トラフィックが均等に分散している場合は、適合レートは実際にクラスタの レート の 8 倍になります。

脅威検出:脅威検出は、各ユニットに対して個別に機能します。たとえば、上位統計情報は、ユニット別です。たとえば、ポート スキャン検出が機能しないのは、スキャン トラフィックが全ユニット間で分散されるので、1 つのユニットがすべてのトラフィックを読み取ることはないからです。

リソース管理:マルチ コンテキスト モードでのリソース管理は、ローカル使用状況に基づいて各ユニットに個別に適用されます。

IPS モジュール:IPS モジュール間でのコンフィギュレーションの同期や状態の共有は行われません。IPS シグニチャによっては、IPS が複数の接続にわたって状態を保持することが必要になります。たとえば、ポート スキャン シグニチャが使用されるのは、同じ人物が同じサーバへの多数の接続を、それぞれ異なるポートを使用して開いていることを IPS モジュールが検出した場合です。クラスタリングでは、これらの接続は複数の ASA デバイス間で分散されます。これらのデバイスそれぞれに専用の IPS モジュールがあります。これらの IPS モジュールはステート情報を共有しないので、結果としてのポート スキャンをクラスタが検出できない場合があります。

スパンド EtherChannel モードでのダイナミック ルーティング

スパンド EtherChannel モードでは、ルーティング プロセスはマスター ユニット上だけで実行されます。ルートはマスター ユニットを介して学習され、スレーブに複製されます。ルーティング パケットがスレーブに到着した場合は、マスター ユニットにリダイレクトされます。

図 10-1 スパンド EtherChannel モードでのダイナミック ルーティング

 

スレーブ メンバがマスター ユニットからルートを学習した後は、各ユニットが個別に転送に関する判断を行います。

OSPF LSA データベースは、マスター ユニットからスレーブ ユニットに同期されません。マスター ユニットのスイッチオーバーが発生した場合は、隣接ルータが再起動を検出します。スイッチオーバーは透過的ではありません。OSPF プロセスが IP アドレスの 1 つをルータ ID として選択します 必須ではありませんが、スタティック ルータ ID を割り当てることができます。これで、同じルータ ID がクラスタ全体で使用されるようになります。

個別インターフェイス モードでのダイナミック ルーティング

個別インターフェイス モードでは、各ユニットがスタンドアロン ルータとしてルーティング プロトコルを実行します。ルートの学習は、各ユニットが個別に行います。

図 10-2 個別インターフェイス モードでのダイナミック ルーティング

 

上の図では、ルータ A はルータ B への等コスト パスが 4 本あることを学習します。パスはそれぞれ 1 つの ASA を通過します。ECMP を使用して、4 パス間でトラフィックのロード バランシングを行います。各 ASA は、外部ルータと通信するときに、それぞれ異なるルータ ID を選択します。

管理者は、各ユニットが別のルータ ID を使用できるように、ルータ ID のクラスタ プールを設定する必要があります。

スパンド EtherChannel モードでのマルチキャスト ルーティング

スパンド EtherChannel モードでは、ファースト パス転送が確立されるまでの間、マスター ユニットがすべてのマルチキャスト ルーティング パケットとデータ パケットを処理します。接続が確立された後は、各スレーブがマルチキャスト データ パケットを転送できます。

個別インターフェイス モードでのマルチキャスト ルーティング

個別インターフェイス モードでは、マルチキャストに関してユニットが個別に動作することはありません。データおよびルーティングのパケットはすべてマスター ユニットで処理されて転送されるので、パケット レプリケーションが回避されます。

NAT

NAT は、クラスタの全体的なスループットに影響を与えることがあります。着信および発信の NAT パケットが、クラスタ内のそれぞれ別の ASA に送信されることがあります。ロード バランシング アルゴリズムは IP アドレスとポートに依存していますが、NAT が使用されるときは、着信と発信とで、パケットの IP アドレスやポートが異なるからです。接続のオーナーではない ASA に到着したパケットは、クラスタ制御リンクを介してオーナーに転送されるので、大量のトラフィックがクラスタ制御リンク上で発生します。

それでもクラスタリングで NAT を使用する場合は、次のガイドラインを考慮してください。

プロキシ ARP なし:個別インターフェイスの場合は、マッピング アドレスについてプロキシ ARP 応答が送信されることはありません。これは、クラスタに存在しなくなった可能性のある ASA と隣接ルータとがピア関係を維持することを防ぐためです。アップストリーム ルータは、メイン クラスタ IP アドレスを指すマッピング アドレスについてはスタティック ルートまたは PBR とオブジェクト トラッキングを使用する必要があります。これは、スパンド EtherChannel の問題ではありません。クラスタ インターフェイスには関連付けられた IP アドレスが 1 つしかないためです。

個別インターフェイスのインターフェイス PAT なし:インターフェイス PAT は、個別インターフェイスではサポートされていません。

NAT プール アドレス分散:マスター ユニットがあらかじめ、アドレスをクラスタ全体で均等に分散させます。メンバが接続を受信したときに、そのメンバのアドレスが 1 つも残っていない場合は、接続はドロップされます(他のメンバにはまだ使用可能なアドレスがある場合でも)。最低でも、クラスタ内のユニットと同数の NAT アドレスが含まれていることを確認してください。各ユニットが確実に 1 つのアドレスを受け取るようにするためです。アドレス割り当てを表示するには、 show nat pool cluster コマンドを使用します。

ラウンドロビンなし:PAT プールのラウンドロビンは、クラスタリングではサポートされません。

マスター ユニットによって管理されるダイナミック NAT xlate:マスター ユニットが xlate テーブルを維持し、スレーブ ユニットに複製します。ダイナミック NAT を必要とする接続をスレーブ ユニットが受信したときに、その xlate がテーブル内にない場合は、スレーブはマスター ユニットに xlate を要求します。スレーブ ユニットが接続を所有します。

Per-session PAT 機能:クラスタリングに限りませんが、Per-session PAT 機能によって PAT のスケーラビリティが向上します。クラスタリングの場合は、各スレーブ ユニットが独自の PAT 接続を持てるようになります。対照的に、Multi-Session PAT 接続はマスター ユニットに転送する必要があり、マスター ユニットがオーナーとなります。デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックが、Per-session PAT xlate を使用します。Multi-Session PAT を必要とするトラフィックについては(たとえば H.323、SIP、Skinny)、Per-Session PAT をディセーブルにできます。Per-session PAT の詳細については、ファイアウォール コンフィギュレーション ガイドのを参照してください。

次のインスペクション用のスタティック PAT はありません。

FTP

PPTP

RSH

SQLNET

TFTP

XDMCP

すべての VoIP アプリケーション

ネットワーク アクセス用の AAA

ネットワーク アクセス用の AAA は、認証、許可、アカウンティングの 3 つのコンポーネントで構成されます。認証とアカウンティングは、クラスタリング マスター上で中央集中型機能として実装されており、データ構造がクラスタ スレーブに複製されます。マスターが選定されたときは、確立済みの認証済みユーザおよびユーザに関連付けられた許可を引き続き中断なく運用するのに必要なすべての情報を、新しいマスターが保有します。ユーザ認証のアイドルおよび絶対タイムアウトは、マスター ユニット変更が発生したときも維持されます。

アカウンティングは、クラスタ内の分散型機能として実装されています。アカウンティングはフロー単位で実行されるので、フローを所有するクラスタ ユニットがアカウンティング開始と停止のメッセージを AAA サーバに送信します(フローに対するアカウンティングが設定されているとき)。

syslog および NetFlow

syslog:クラスタの各ユニットは自身の syslog メッセージを生成します。各ユニットの syslog メッセージ ヘッダー フィールドで使用されるデバイス ID を同一にするか、別にするかを設定できます。たとえば、ホスト名コンフィギュレーションはクラスタ内のすべてのユニットに複製されて共有されます。ホスト名をデバイス ID として使用するようにロギングを設定した場合は、どのユニットで生成された syslog メッセージも 1 つのユニットからのように見えます。クラスタ ブートストラップ コンフィギュレーションで割り当てられたローカル ユニット名をデバイス ID として使用するようにロギングを設定した場合は、syslog メッセージはそれぞれ別のユニットからのように見えます。を参照してください。

NetFlow:クラスタの各ユニットは自身の NetFlow ストリームを生成します。NetFlow コレクタは、各 ASA を独立した NetFlow エクスポータとしてのみ扱うことができます。

SNMP

SNMP エージェントは、個々の ASA を、そのローカル IP アドレスによってポーリングします。クラスタの統合データをポーリングすることはできません。

SNMP ポーリングには、メイン クラスタ IP アドレスではなく、常にローカル アドレスを使用してください。SNMP エージェントがメイン クラスタ IP アドレスをポーリングする場合は、新しいマスターが選定されたときに、新しいマスター ユニットのポーリングに失敗します。

VPN

サイトツーサイト VPN は、中央集中型機能です。マスター ユニットだけが VPN 接続をサポートします。リモート アクセス VPN は、クラスタリングではサポートされません。VPN 機能を使用できるのはマスター ユニットだけであり、クラスタのハイ アベイラビリティ能力は活用されません。マスター ユニットで障害が発生した場合は、すべての既存の VPN 接続が失われ、VPN ユーザにとってはサービスの中断となります。新しいマスターが選定されたときに、VPN 接続を再確立する必要があります。

VPN トンネルをスパンド EtherChannel アドレスに接続すると、接続が自動的にマスター ユニットに転送されます。PBR または ECMP を使用するときの個別インターフェイスへの接続については、ローカル インターフェイス アドレスではなく、常にメイン クラスタ IP アドレスに接続する必要があります。

VPN 関連のキーと証明書は、すべてのユニットに複製されます。

FTP

FTP データ チャネルとコントロール チャネルのフローがそれぞれ別のクラスタ メンバによって所有されている場合は、データ チャネルのオーナーは定期的にアイドル タイムアウト アップデートをコントロール チャネルのオーナーに送信し、アイドル タイムアウト値を更新します。ただし、コントロール フローのオーナーがリロードされて、コントロール フローが再ホスティングされた場合は、親子フロー関係は維持されなくなります。したがって、コントロール フローのアイドル タイムアウトは更新されません。

Cisco TrustSec

マスター ユニットだけがセキュリティ グループ タグ(SGT)情報を学習します。マスター ユニットからこの SGT がスレーブに渡されるので、スレーブは、セキュリティ ポリシーに基づいて SGT の一致の決定を行うことができます。

ASA クラスタリングのライセンス要件

 

モデル
ライセンス要件

ASA 5580、ASA 5585-X

クラスタ ライセンス。

各ユニット上にクラスタ ライセンスが必要です。その他の機能ライセンスについては、各クラスタ ユニットのライセンスが同一でなくてもかまいません。複数のユニットに機能ライセンスがある場合は、これらが結合されて単一の実行 ASA クラスタ ライセンスとなります。

(注) 各ユニットに同じ暗号化ライセンスが必要です。

他のすべてのモデル

サポートしない

ASA クラスタリングの前提条件

表 10-2 は、ASA クラスタリングとの相互運用がサポートされる外部ハードウェアおよびソフトウェアの一覧です。

 

表 10-2 ASA クラスタリングに関する外部ハードウェアおよびソフトウェアの依存関係

サポート対象ハードウェア
サポート対象のソフトウェア

Nexus 7000

NXOS 5.2(5)

Catalyst 6500 と Supervisor 32、720、および 720-10GE

IOS 12.2(33)SXI7、SXI8、および SXI9

クラスタ制御リンク インターフェイスのスイッチでは、ASA に接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。

スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。

スイッチでは、次の EtherChannel ロードバランシング アルゴリズムのいずれかを使用することを推奨します(Nexus OS port-channel load-balance コマンドを参照)。 source-dest-ip または source-dest-ip-port 。クラスタ内の ASA へのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、 vlan キーワードを使用しないでください。ASA上のデフォルトのロードバランシング アルゴリズムを 変更しないでください

スパンド EtherChannel:ASA スパンド EtherChannel (クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。

 

デバイス ローカル EtherChannel:ASA デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数の ASA EtherChannel を結合して 1 つの EtherChannel としないでください。

 

注意事項と制限事項

コンテキスト モードのガイドライン

シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。各メンバ ユニットのモードが一致する必要があります。

ファイアウォール モードのガイドライン

ルーテッド ファイアウォール モードとトランスペアレント ファイアウォール モードでサポートされています。

フェールオーバーのガイドライン

フェールオーバーは、クラスタリングを行うときはサポートされません。

IPv6 のガイドライン

IPv6 をサポートします。ただし、クラスタ制御リンクは、IPv4 のみを使用してサポートされます。

モデルのガイドライン

ASA 5580 および ASA 5585-X のみでサポートされます。

ASA 5585-X と SSP-10 および SSP-20(2 個の 10 ギガビット イーサネット インターフェイスを持つ)については、一方のインターフェイスをクラスタ制御リンクに使用し、他方をデータに使用することを推奨します(データについてはサブインターフェイスを使用できます)。この設定は、クラスタ制御リンクの冗長性には対応しませんが、クラスタ制御リンクのサイズをデータ インターフェイスのサイズと一致させるという要件は満たされます。詳細については、「クラスタ制御リンクのサイジング」を参照してください。

その他のガイドライン

1 つのクラスタに含まれるユニットは 8 個までです。

クラスタ内のすべてのユニットは、同一モデル、同一 DRAM であることが必要です。フラッシュ メモリの容量は同一である必要はありません。

1 つのクラスタのすべてのメンバが同一のソフトウェアを実行する必要があります(イメージ アップグレード時を除く) ヒットレス アップグレードがサポートされるのは、任意のメンテナンス リリースのマイナー リリース内(たとえば 9.0(1)から 9.0(4)へ)、および隣接するマイナー リリース間(たとえば 9.0 から 9.1 へ)です。また、前のバージョンの最後のマイナー リリースから次のメジャー リリースへのアップグレードのときもサポートされます。たとえば 8.6 から 9.0 への場合です(8.6 は、9.0 よりも前のバージョンのうち、使用するモデルでサポートされる最後のバージョンです)。

クラスタのすべてのメンバが同じ地理的な場所にある必要があります。

新しいクラスタ メンバはマスター ユニットと同じ SSL 暗号化設定( ssl encryption コマンド)を使用する必要があります。

何らかのトポロジ変更を行うとき(たとえば、EtherChannel インターフェイスの追加または削除、ASA またはスイッチ上のインターフェイスのイネーブル化またはディセーブル化、VSS または vPC を形成するスイッチの追加)は、ヘルス チェック機能をディセーブルにしてください。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェック機能を再度イネーブルにできます。

ユニットを既存のクラスタに追加したときや、ユニットをリロードしたときは、一時的に、限定的なパケット/接続ドロップが発生します。これは予定どおりの動作です。場合によっては、ドロップされたパケットが原因で接続がハングすることがあります。たとえば、FTP 接続の FIN/ACK パケットがドロップされると、FTP クライアントがハングします。この場合は、FTP 接続を再確立する必要があります。

スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再起動します。トラフィックが再び流れ出すまでに、少し時間がかかります。

デフォルト設定

スパンド EtherChannel を使用するときは、cLACP システム ID は自動生成され、システム プライオリティはデフォルトで 1 です。

クラスタのヘルス チェック機能は、デフォルトでイネーブルになり、ホールド時間は 3 秒です。

接続再分散は、デフォルトではディセーブルです。接続再分散をイネーブルにした場合の、デフォルトの負荷情報交換間隔は 5 秒です。

ASA クラスタリングの設定

「ASA クラスタ コンフィギュレーションのタスク フロー」

「クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定」

「マスター装置でのクラスタのインターフェイス モードの設定」

「各装置の管理インターフェイスの設定」

「マスタ装置のクラスタ制御インターフェイスのイネーブル化」

「設定のバックアップ(推奨)」

「マスター ユニットでのインターフェイスの設定」

「ASA クラスタの追加または参加」

ASA クラスタ コンフィギュレーションのタスク フロー

クラスタリングを設定するには、次の手順を実行します。


ステップ 1 機器をケーブルで接続します。クラスタリングを設定する前に、クラスタ制御リンク ネットワーク、管理ネットワーク、およびデータ ネットワークをケーブルで接続します。「クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定」を参照してください。

ステップ 2 コンソール ポートに接続します。コンフィギュレーションは、各ユニットのコンソール ポートで行う必要があります。を参照してください。初期設定後は、ASDM を使用して設定を完了できます。

ステップ 3 インターフェイス タイプを設定します。クラスタリングに対して設定できるインターフェイスのタイプは、スパンド EtherChannel と個別インターフェイスのうち 1 つのみです。「マスター装置でのクラスタのインターフェイス モードの設定」を参照してください。

ステップ 4 ASDM を使用して各装置に接続できるように、各装置の管理インターフェイスを設定します。一意の IP アドレスの設定後は、残りの設定は ASDM を使用して行えます。「各装置の管理インターフェイスの設定」を参照してください。

ステップ 5 (推奨)クラスタリングをイネーブルにする前に、各装置の設定をバック アップします。「設定のバックアップ(推奨)」を参照してください。

ステップ 6 クラスタリング用のインターフェイスをマスター ユニット上で設定します。インターフェイスがクラスタ対応でない場合は、クラスタリングをイネーブルにできません。問題を回避するために、クラスタリングをイネーブルにする前にすべてのインターフェイス コンフィギュレーションを完了してください。「マスター ユニットでのインターフェイスの設定」を参照してください。

ステップ 7 [High Availability and Scalability] ウィザードを実行しているクラスタに参加します。「ASA クラスタの追加または参加」を参照してください。

ステップ 8 セキュリティ ポリシーをマスター ユニット上で設定します。サポートされる機能をマスター ユニット上で設定するには、このマニュアルの該当する章を参照してください。コンフィギュレーションはスレーブ ユニットに複製されます。サポートされる/されない機能のリストについては、「ASA の機能とクラスタリング」を参照してください。


 

クラスタ ユニットのケーブル接続とアップストリームおよびダウンストリーム機器の設定

クラスタリングを設定する前に、クラスタ制御リンク ネットワーク、管理ネットワーク、およびデータ ネットワークをケーブルで接続します。


) クラスタに参加するようにユニットを設定する前に、少なくとも、アクティブなクラスタ制御リンク ネットワークが必要です。


アップストリームとダウンストリームの機器も設定する必要があります。たとえば、EtherChannel を使用する場合は、EtherChannel のアップストリーム/ダウンストリーム機器を設定する必要があります。

手順の詳細


) この例では、ロードバランシングに EtherChannel を使用します。PBR または ECMP を使用する場合は、スイッチ コンフィギュレーションが異なります。


たとえば、4 台の ASA 5585-X のそれぞれにおいて、次のものを使用します。

デバイス ローカル EtherChannel の 10 ギガビット イーサネット インターフェイス 2 個(クラスタ制御リンク用)。

スパンド EtherChannel の 10 ギガビット イーサネット インターフェイス 2 個(内部および外部ネットワーク用)。各インターフェイスは、EtherChannel の VLAN サブインターフェイスです。サブインターフェイスを使用すると、内部と外部の両方のインターフェイスが EtherChannel の利点を活用できます。

管理インターフェイス 1 個。

内部と外部の両方のネットワーク用に 1 台のスイッチがあります。

 

 

目的
4 台の各 ASA の接続インターフェイス
スイッチ ポートへ

クラスタ制御リンク

TenGigabitEthernet 0/6 および TenGigabitEthernet 0/7

合計 8 ポート

TenGigabitEthernet 0/6 と TenGigabitEthernet 0/7 のペアごとに、4 個の EtherChannel(ASA ごとに 1 個の EC)を設定します。

これらの EtherChannel すべてが、同一の独立クラスタ制御 VLAN 上(たとえば VLAN 101)に存在する必要があります。

内部および外部インターフェイス

TenGigabitEthernet 0/8 および TenGigabitEthernet 0/9

合計 8 ポート

単一の EtherChannel を設定します(すべての ASA にまたがる)。

この VLAN およびネットワークは、ここで設定することも、後で設定することもできます。たとえば、VLAN 200(内部用)および VLAN 201(外部用)が含まれるトランクを設定します。

管理インターフェイス

Management 0/0

合計 4 ポート

すべてのインターフェイスを、同一の独立管理 VLAN(たとえば VLAN 100)上に置きます。

次の作業

マスター装置からクラスタのインターフェイス モードを設定します。「マスター装置でのクラスタのインターフェイス モードの設定」を参照してください。

マスター装置でのクラスタのインターフェイス モードの設定

クラスタリング用に設定できるインターフェイスのタイプは、スパンド EtherChannel と個別インターフェイスのいずれか一方のみです。1 つのクラスタ内でインターフェイス タイプを混在させることはできません。管理インターフェイスに関する例外およびその他のガイドラインについては、「インターフェイス タイプ モード」を参照してください。

ASDM 内のマスター装置のモードは変更できません。


) マスター装置からスレーブ装置を追加しない場合は、マスター装置だけでなく全装置のインターフェイス モードをこの項の説明に従って手動でセットする必要があります。マスター装置からスレーブ装置を追加する場合は、ASDM がスレーブ装置のインターフェイス モードを自動的に設定します。


前提条件

この手順をコンソール ポートで実行します。

トランスペアレント ファイアウォール モードは、スパンド EtherChannel モードだけをサポートします。

マルチ コンテキスト モードの場合は、この設定をシステム実行スペースで行います。コンテキストごとにモードを設定することはできません。

制限事項

クラスタ インターフェイス モードを設定すると、クラスタリングでサポートされていない機能はコンフィギュレーションに含めることができません。サポートされない機能のリストについては、「サポートされていない機能」を参照してください。モードを設定する前に、互換性のないコンフィギュレーションを確認できます。

手順の詳細

 

 
コマンド
目的

ステップ 1

cluster interface-mode { individual | spanned } check-details

 

hostname(config)# cluster interface-mode spanned check-details

check-details コマンドを実行すると、互換性のないコンフィギュレーションが表示されるので、インターフェイス モードを強制的に設定して後で設定を修正するか、インターフェイス モードを設定するときにコンフィギュレーションをクリアするかを決定できます。モードは、このコマンドでは変更されません。

ステップ 2

cluster interface-mode { individual | spanned } [ force ]

 

hostname(config)# cluster interface-mode spanned force

クラスタリングのインターフェイス モードを設定します。デフォルト設定はありません。明示的にモードを選択する必要があります。モードを設定していない場合は、クラスタリングをイネーブルにできません。

スパンド EtherChannel モードでは、インターフェイスに対してクラスタ IP プールを設定することはできません。

個別インターフェイス モードでは、EtherChannel に対してクラスタ スパニングをイネーブルにすることはできません。

force オプションを指定すると、互換性のないコンフィギュレーションの検査は行わずにモードが変更されます。コンフィギュレーションの問題がある場合は、モードを変更した後に手動で解決する必要があります。インターフェイス コンフィギュレーションの修正ができるのはモードの設定後に限られるので、 force オプションを使用することを推奨します。このようにすれば、最低でも、デフォルト コンフィギュレーション(ある場合)の状態から開始できます。さらにガイダンスが必要な場合は、モードを設定した後で check-details オプションを再実行します。

force オプションを指定しない場合は、互換性のないコンフィギュレーションがある場合に、コンフィギュレーションのクリアとリロードが求められます。コンフィギュレーションに互換性の問題がない場合は(まれなケース)、モードが変更され、コンフィギュレーションは維持されます。コンフィギュレーションをクリアしたくない場合は、 n を入力してコマンドを終了します。

インターフェイス モードを解除するには、 no cluster interface-mode コマンドを入力します。

次の作業

リモート構成用の管理インターフェイスを設定します。「各装置の管理インターフェイスの設定」を参照してください。

各装置の管理インターフェイスの設定

ASDM を使用して設定をリモートに実行するには、この項の説明に従って、コンソール ポートで CLI を使用して各装置の管理インターフェイスを設定します。

ガイドライン

工場出荷時のデフォルト設定には、事前設定された管理 0/0 インターフェイス、192.168.1.1 が含まれています(インターフェイス モードの設定時に、設定を消去していなければ)。

初期設定の管理ネットワークに将来のすべてのクラスタ メンバを接続するには、各装置に一意の IP アドレスを提供する必要があります。

マスター装置(通常は最初にクラスタに追加された装置)で使用される IP アドレスを除き、これらの管理 IP アドレスは一時的に使用されるだけです。

スレーブがクラスタに参加すると、管理インターフェイス設定はマスター装置からの複製に置き換えられます。

手順の詳細


ステップ 1 コンソール ポートに接続します。を参照してください。

ステップ 2 コンソール ポートから、管理 IP アドレスを変更し、新しいアドレスに ASDM アクセスを設定する場合には、を参照してください。

ステップ 3 ADSM を新しい管理アドレスに接続します。を参照してください。

ステップ 4 マルチ コンテキスト モードの場合は、「個別インターフェイスの設定(管理インターフェイスの場合に推奨)」に従って、マスター装置のみの管理コンテキストの管理インターフェイスのクラスタ IP プールも設定する必要があります。[High Availability and Scalability] ウィザードで、コンテキスト内の IP アドレスを後で設定することはできません。


 

次の作業

(任意)クラスタ制御リンクを設定します。「マスタ装置のクラスタ制御インターフェイスのイネーブル化」を参照してください。

マスタ装置のクラスタ制御インターフェイスのイネーブル化

[High Availability and Scalability] ウィザードでクラスタ制御リンク インターフェイスを設定することができます。ウィザードを使用しない場合は、この項のマスター装置の手順を実行してください。マスター装置から後でスレーブ装置を追加しても、クラスタ制御リンク インターフェイスの設定はスレーブに自動的に適用されます。

十分な数のインターフェイスがある場合は、複数のクラスタ制御リンク インターフェイスを結合して 1 つの EtherChannel とすることを推奨します。この EtherChannel は ASA に対してローカルであり、スパンド EtherChannel ではありません。クラスタ制御リンクには、10 ギガビット イーサネット インターフェイスを使用することを推奨します。

前提条件

「クラスタ制御リンクのサイジング」を参照して、クラスタ制御リンクのサイズを決定します。

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで開始します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

制約事項

VLAN サブインターフェイスをクラスタ制御リンクとして使用することはできません。

管理 x / x インターフェイスをクラスタ制御リンクとして使用することはできません(単独か EtherChannel かにかかわらず)。

IPS モジュール搭載 ASA 5585-X では、IPS モジュール インターフェイスをクラスタ制御リンクに使用することはできません。

手順の詳細

この項には、EtherChannel を設定する手順が含まれます。単一のインターフェイスをクラスタ制御リンクとして使用するには、を参照してください。必要があるのはインターフェイスのイネーブル化だけです。インターフェイスの名前などのパラメータを設定しないでください。


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2 [Add] > [EtherChannel Interface] を選択します。

 

[Add EtherChannel Interface] ダイアログボックスが表示されます。

 

ステップ 3 ポート チャネル ID とグループ メンバーだけを設定します。クラスタ制御リンクの名前を設定しないでください。

ステップ 4 [OK] をクリックします。

[Interfaces] ペインに戻ります。

ステップ 5 各メンバ インターフェイスを選択し、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

ステップ 6 [Advanced] タブをクリックします。

ステップ 7 [EtherChannel] 領域で、[Mode] ドロップダウン リストから [On] を選択します。クラスタ制御リンクでの不要なトラフィックを削減できるように、メンバ インターフェイスに対しては on モードを使用することを推奨します。クラスタ制御リンクは LACP トラフィックのオーバーヘッドを必要としません。これは隔離された、安定したネットワークであるからです。

ステップ 8 [OK] をクリックします。

[Interfaces] ペインに戻ります。

ステップ 9 [Apply] をクリックします。


 

次の作業

設定をバックアップします。「設定のバックアップ(推奨)」を参照してください。

設定のバックアップ(推奨)

スレーブ装置でクラスタリングをイネーブルにすると、現在の設定は同期したマスター装置の設定に置き換えられます。クラスタ全体を解除する場合、使用可能な管理インターフェイス コンフィグギュレーションのバックアップ設定を取っておくと役立つ場合があります。詳細については、「クラスタからの脱退」を参照してください。

ガイドライン

各装置のバックアップを実行します。

手順の詳細


ステップ 1 [Tools] > [Backup Configurations] を選択します。

ステップ 2 最低でも実行コンフィギュレーションをバックアップします。詳細な手順については、を参照してください。


 

マスター ユニットでのインターフェイスの設定

ここでは、クラスタリング互換となるようにインターフェイスを設定する方法について説明します。データ インターフェイスは、スパンド EtherChannel として設定することも、個別インターフェイスとして設定することもできます。各方式は別のロードバランシング メカニズムを使用します。両方のタイプを同じコンフィギュレーションの中で使用することはできません。詳細については、「ASA クラスタのインターフェイス」を参照してください。

インターフェイスがクラスタ対応でない場合は、クラスタリングをイネーブルにできません。問題を回避するために、クラスタリングをイネーブルにする前にすべてのインターフェイス コンフィギュレーションを完了してください。

「個別インターフェイスの設定(管理インターフェイスの場合に推奨)」

「スパンド EtherChannel の設定」

個別インターフェイスの設定(管理インターフェイスの場合に推奨)

個別インターフェイスは通常のルーテッド インターフェイスであり、それぞれが専用の IP アドレスを IP アドレス プールから取得します。メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。

スパンド EtherChannel モードでは、管理インターフェイスを個別インターフェイスとして設定することを推奨します。個別管理インターフェイスならば、必要に応じて各ユニットに直接接続できますが、スパンド EtherChannel インターフェイスでは、現在のマスター ユニットへの接続しかできません。詳細については、「管理インターフェイス」を参照してください。

前提条件

管理専用インターフェイスの場合を除き、個別インターフェイス モードであることが必要です。「マスター装置でのクラスタのインターフェイス モードの設定」を参照してください。

マルチ コンテキスト モードの場合は、この手順を各コンテキストで実行します。まだコンテキスト コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

個別インターフェイスの場合は、ネイバー デバイスでのロード バランシングを設定する必要があります。管理インターフェイスには、外部のロード バランシングは必要ありません。ロードバランシングについては、「ロード バランシングの方式」を参照してください。

(任意)インターフェイスをデバイス ローカル EtherChannel インターフェイスとして設定する、冗長インターフェイスを設定する、およびサブインターフェイスを設定する作業を必要に応じて行います。

EtherChannel については、を参照してください。この EtherChannel はユニットに対してローカルであり、スパンド EtherChannel ではありません。

冗長インターフェイスについては、を参照してください。管理インターフェイスは、冗長インターフェイスにすることはできません。

サブインターフェイスについては、を参照してください。

ASDM を使用して管理インターフェイスにリモートに接続している場合は、将来のスレーブ装置の現在の IP アドレスは一時的なものです。

各メンバーには、マスター装置で定義されたクラスタ IP プールから IP アドレスが割り当てられます。

クラスタ IP プールには、将来のスレーブの IP アドレスを含み、ネットワークですでに使用中のアドレスを含むことはできません。

次に例を示します。

a. マスター装置に 10.1.1.1 を設定します。

b. 他の装置には、10.1.1.2、10.1.1.3、10.1.1.4 を使用します。

c. マスター装置のクラスタの IP プールを設定する場合、使用中であるために .2、.3、.4 のアドレスをプールに含めることはできません。

d. 代わりに、.5、.6、.7、.8 のような他の IP アドレスを使用する必要があります。


) プールには、マスター装置を含むクラスタのメンバー数分のアドレスが必要です。を持つとマスター)を含む、多くのアドレスを必要とする。元の .1 アドレスメイン クラスタ IP アドレスであり、現在のマスター装置のものです。


e. クラスタに参加すると古い一時的なアドレスは放棄され、他の場所で使用できます。

手順の詳細


ステップ 1 [Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

ステップ 2 インターフェイス行を選択して、[Edit] をクリックします。次のパラメータを設定します。

a. (スパンされる EtherChannel モードでは必須)[Dedicate this interface to management only]:トラフィックをパススルーしないようにインターフェイスを管理専用モードに設定します。デフォルトでは、管理タイプのインターフェイスは管理専用として設定されます。トランスペアレント モードでは、このコマンドは管理タイプのインターフェイスに対して常にイネーブルになります。

b. [Interface Name]:48 文字までの名前を入力します。

c. [Security Level]:0(最低)~100(最高)のレベルを入力します。詳細については、を参照してください。

d. [Enable Interface]:インターフェイスがすでに有効になっていない場合は、このチェックボックスをオンにします。

e. [Use Static IP]:IP アドレスを設定するには、[Use Static IP] オプション ボタンをクリックし、IP アドレスとマスクを入力します。DHCP と PPPoE はサポートされません。

f. (任意)[Description]:このインターフェイスの説明を入力します。説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。


) [Configure Hardware Properties] ボタンについては、を参照してください。


ステップ 3 IPv4 クラスタ IP プールの追加、および任意での MAC アドレス プールの追加には、[Advanced] タブをクリックします。

g. ASA クラスタの下で、[IP Address Pool] フィールドの横にある [...] ボタンをクリックしてクラスタ IP プールを作成します。表示される有効範囲は、[General] タブで設定するメイン IP アドレスにより決定します。

 

h. [Add] をクリックします。

 

i. メイン クラスタの IP アドレスを含まないアドレス範囲を設定します。ネットワーク内で現在使用されているアドレスも含みません。範囲は、たとえば 8 アドレスというように、クラスタのサイズに合わせて十分に大きくする必要があります。

 

j. [OK] をクリックして、新しいプールを作成します。

k. 作成した新しいプールを選択して、[Assign] をクリックし、次に [OK] をクリックします。

 

プール名が [IP Address Pool] フィールドに表示されます。

l. (任意)MAC アドレス プールを設定するには、[MAC Address Pool] フィールドの横にある [...] ボタンをクリックします。画面に従って、インターフェイスに MAC アドレス プールを追加します。インターフェイスに MAC アドレスを手動で設定することはあまりありませんが、そのような場合には、このプールを使用して各インターフェイスに一義的な MAC アドレスを割り当てます。

m. [Advanced] タブのその他のオプションのパラメータについては、を参照してください。

ステップ 4 IPv6 アドレスを設定するには、[IPv6] タブをクリックします。

 

a. [Enable IPv6] チェックボックスをオンにします。

b. グローバル IPv6 アドレスを手動で設定するには、[Interface IPv6 Addresses] 領域で [Add] をクリックします。

[Enable address autoconfiguration] オプションはサポートされません。

[Add IPv6 Address for Interface] ダイアログボックスが表示されます。

c. [Address/Prefix Length] フィールドに、グローバル IPv6 アドレスと IPv6 プレフィックスの長さを入力します。たとえば、「2001:0DB8::BA98:0:3210/48」のように入力します。IPv6 アドレッシングの詳細については、を参照してください。

 

d. クラスタ IP プールを実装するには、[...] ボタンをクリックします。

 

e. [Add] をクリックします。

 

f. プールの開始 IP アドレス(ネットワーク プレフィックス)、プレフィックス長、アドレス数を設定します。

g. [OK] をクリックして、新しいプールを作成します。

h. 作成した新しいプールを選択して、[Assign] をクリックし、次に [OK] をクリックします。

[ASA Cluster IP Pool] フィールドにプールが表示されます。

i. [OK] をクリックします。

j. [IPv6] タブのその他のオプション パラメータについては、を参照してください。

ステップ 5 [OK] をクリックして、[Interfaces] ペインに戻ります。

ステップ 6 [Apply] をクリックします。


 

次の作業

スパンド インターフェイス モードの場合は、データ インターフェイスを設定します。「スパンド EtherChannel の設定」を参照してください。

個別インターフェイス モードの場合は、クラスタに参加します。「ASA クラスタの追加または参加」を参照してください。

スパンド EtherChannel の設定

スパンド EtherChannel は、クラスタ内のすべての ASA に広がるものであり、EtherChannel の動作の一部としてロード バランシングを行うことができます。

前提条件

スパンド EtherChannel インターフェイス モードに入っている必要があります。「マスター装置でのクラスタのインターフェイス モードの設定」を参照してください。

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで開始します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

トランスペアレント モードの場合は、に従ってブリッジ グループを設定します。

ガイドライン

EtherChannel で最大および最小リンクを指定 しないでください 。ASAまたはスイッチの EtherChannel で最大および最小リンクを指定しないことを推奨します。これらを使用する必要がある場合は、次の点に注意してください。

ASA 上で設定されるリンクの最大数は、クラスタ全体のアクティブ ポートの合計数です。スイッチ上で設定された最大リンク数の値が、ASA での値を超えていないことを確認してください。

ASA 上で設定される最小リンク数は、ポートチャネル インターフェイスを起動するための最小アクティブ ポート数( ユニットあたり )です。スイッチ上では、最小リンク数はクラスタ全体の最小リンク数であるため、この値は ASA での値とは一致しません。

デフォルトのロードバランシング アルゴリズムを変更 しないでください 。スイッチでは、次のアルゴリズムのいずれかを使用することを推奨します(Nexus OS port-channel load-balance コマンドを参照)。 source-dest-ip または source-dest-ip-port 。クラスタ内の ASA へのトラフィックが均等に分散されなくなることがあるため、ロードバランシング アルゴリズムでは、 vlan キーワードを使用しないでください。

EtherChannel の詳細なガイドライン、制限、および前提条件については、を参照してください。

も参照してください。

手順の詳細


ステップ 1 コンテキスト モードによって次のように異なります。

シングル モードの場合、[Configuration] > [Device Setup] > [Interfaces] ペインを選択します。

マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

ステップ 2 [Add] > [EtherChannel Interface] を選択します。

 

[Add EtherChannel Interface] ダイアログボックスが表示されます。

 

ステップ 3 次をイネーブルにします。

[Port Channel ID]

[Span EtherChannel across the ASA cluster]

[Enable interface](デフォルトで検査される)

[Members in Group]:[Members in Group] ボックスに、インターフェイスを少なくとも 1 つ追加する必要があります。ユニットごとに複数のインターフェイスが EtherChannel に含まれていると、VSS または vPC のスイッチに接続する場合に役立ちます。EtherChannel では(スパンド EtherChannel もこれに含まれます)、最大 16 個のインターフェイスのうち 8 個しかアクティブにできないことに注意してください。残りの 8 個のインターフェイスは、リンク障害に備えてスタンバイとなります。たとえば、8 台の ASA から成るクラスタの場合は、各 ASA で最大 2 個のインターフェイスを使用でき、EtherChannel の合計は 16 インターフェイスとなります。すべてのインターフェイスが同じタイプと速度であるようにします。最初に追加するインターフェイスによって、EtherChannel のタイプと速度が決まります。一致しないインターフェイスを追加すると、そのインターフェイスは停止状態になります。ASDM では、一致しないインターフェイスの追加は防止されません。

この画面の残りのフィールドは、この手順の後半で説明します。

ステップ 4 (任意)すべてのメンバ インターフェイスについて、メディア タイプ、二重通信、速度、フロー制御のポーズ フレームを上書きするには、[Configure Hardware Properties] をクリックします。これらのパラメータはチャネル グループのすべてのインターフェイスで一致している必要があるため、この方法はこれらのパラメータを設定するショートカットになります。設定の詳細については、を参照してください。

 

[OK] をクリックして [Hardware Properties] の変更を受け入れます。

ステップ 5 (任意) MAC アドレスおよびオプション パラメータを設定するには、[Advanced] タブをクリックします。

 

a. シングル モードでは、MAC アドレスのクローンで、EtherChannel の手動 MAC アドレスを設定します。スタンバイ MAC アドレスをセットしないでください。無視されます。スパンド EtherChannel の MAC アドレスを設定する必要があります。現在のマスター ユニットがクラスタから脱退しても MAC アドレスが変更されないようにするためです。MAC アドレスが手動設定されている場合は、その MAC アドレスは現在のマスター ユニットに留まります。

マルチ コンテキスト モードでは、インターフェイスをコンテキスト間で共有する場合に、MAC アドレスの自動生成がデフォルトでイネーブルになっています。したがって、共有インターフェイスの MAC アドレスを手動で設定する必要があるのは、自動生成をディセーブルにした場合だけです。自動生成された MAC アドレスも使用する場合、手動で割り当てる MAC アドレスの最初の 2 バイトには A2 を使用できません。

b. (任意)VSS または vPC の 2 台のスイッチにASAを接続する場合は、[ Enable load balancing between switch pairs in VSS or vPC] モード チェックボックスをオンにして、VSS ロード バランシングをイネーブルにする必要があります。この機能を使用すると、ASA と VSS(または vPC)ペアとの間の物理リンク接続の負荷が確実に分散されます。

メンバー インターフェイス設定の下で、1 または 2 のどちらのスイッチに特定のインターフェイスを接続するかを特定する必要があります。

c. (任意)ロード バランシングの詳細については、を参照してください。MTU の詳細については、を参照してください。

[Minimum Active Members] と [Maximum Active Members] は設定しないことを推奨します。詳細については、「ガイドライン」を参照してください。

 

ステップ 6 (任意)この EtherChannel で VLAN サブインターフェイスを設定する場合は、を参照してください。この手順の残りの部分は、サブインターフェイスに適用されます。

ステップ 7 (マルチ コンテキスト モード)この手順を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。

a. [OK] をクリックして変更内容を確定します。

b. インターフェイスを割り当てるには、を参照してください。

c. ユーザが設定するコンテキストの変更:[Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

d. [Configuration] > [Device Setup] > [Interfaces] ペインを選択し、カスタマイズするポートチャネル インターフェイスを選択して、[Edit] をクリックします。

[Edit Interface] ダイアログボックスが表示されます。

ステップ 8 [General] タブをクリックします。

ステップ 9 (トランスペアレント モード)[Bridge Group] ドロップダウン メニューで、このインターフェイスを割り当てるブリッジ グループを選択します。

ステップ 10 [Interface Name] フィールドに、名前を 48 文字以内で入力します。

ステップ 11 [Security level] フィールドに、0(最低)~ 100(最高)のレベルを入力します。詳細については、を参照してください。

ステップ 12 (ルーテッド モード)IPv4 アドレスに対して [Use Static IP] オプション ボタンをクリックし、IP およびマスクを入力します。DHCP と PPPoE はサポートされません。トランスペアレント モードの場合は、EtherChannel インターフェイスではなく、ブリッジ グループ インターフェイスの IP アドレスを設定します。

ステップ 13 (任意)[Description] フィールドに、このインターフェイスの説明を入力します。説明は 240 文字以内で入力できます。改行を入れずに 1 行で入力します。

ステップ 14 (ルーテッド モード)IPv6 アドレスを設定するには、[IPv6] タブをクリックします。

トランスペアレント モードの場合は、EtherChannel インターフェイスではなく、ブリッジ グループ インターフェイスの IP アドレスを設定します。

a. [Enable IPv6] チェックボックスをオンにします。

 

b. グローバル IPv6 アドレスを手動で設定するには、[Interface IPv6 Addresses] 領域で [Add] をクリックします。

[Enable address autoconfiguration] オプションはサポートされません。

[Add IPv6 Address for Interface] ダイアログボックスが表示されます。

c. [Address/Prefix Length] フィールドに、グローバル IPv6 アドレスと IPv6 プレフィックスの長さを入力します。たとえば、2001:DB8::BA98:0:3210/64。IPv6 アドレッシングの詳細については、を参照してください。

 

d. (任意)ホスト アドレスとして Modified EUI-64 インターフェイス ID を使用するには、[EUI-64] チェックボックスをオンにします。この場合は、単に [Address/Prefix Length] フィールドにプレフィックスを入力します。

e. [OK] をクリックします。

f. [IPv6] タブのその他のオプション パラメータについては、を参照してください。

ステップ 15 [OK] をクリックして、[Interfaces] 画面に戻ります。

ステップ 16 メンバ インターフェイスがすでにイネーブルになっていない場合(インターフェイスはデフォルトではディセーブルです)は、メンバー インターフェイスを選択してイネーブルにして、[Edit] をクリックします。[Enable Interface ] チェックボックスをオンにして、[OK] をクリックします。

 

 

ステップ 17 [Apply] をクリックします。


 

次の作業

クラスタに参加します。「ASA クラスタの追加または参加」を参照してください。

ASA クラスタの追加または参加

クラスタ内の各ユニットがクラスタに参加するには、ブートストラップ コンフィギュレーションが必要です。クラスタを作成するために 1 台の装置(マスター装置になる)上で [High Availability and Scalability] ウィザードを実行し、続いてスレーブ装置を追加します。ウィザードを使用しない場合、または高度なクラスタ パラメータを設定する場合は、「ASA クラスタ パラメータの設定」を参照してください。


) マスター装置に対して、cLACP システム ID およびプライオリティのデフォルトを変更する場合は、ウィザードを使用できません。「ASA クラスタ パラメータの設定」に従ってクラスタを手動で設定する必要があります。


前提条件

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。 まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

マルチ コンテキスト モードでは、コンテキスト内の個々のインターフェイスにクラスタ IP プールはがすでに割り当てられ、クラスタ対応ができている必要があります。シングル モードでインターフェイスを設定するために、ウィザードを使用できます。「個別インターフェイスの設定(管理インターフェイスの場合に推奨)」を参照してください。

クラスタ制御リンクで使用するためのジャンボ フレームの予約をイネーブルにすることを推奨します。を参照してください。

クラスタ制御リンク インターフェイスがアップ状態である必要があります。

稼働中のクラスタにユニットを追加すると、一時的に、限定的なパケット/接続ドロップが発生することがあります。これは予定どおりの動作です。

詳細な手順 1:ウィザードの開始


ステップ 1 [Wizard] > [High Availability and Scalability Wizards] を選択します。

ステップ 2 [ASA Cluster] がすでに選択されています。[Next] をクリックします。

 

ステップ 3 [Set up a new ASA cluster] をクリックし、次に [Next] をクリックします。

 

[Join an existing ASA cluster] をクリックして、既存のクラスタにこのASAを追加します。

既存のクラスタ マスター ASA で、2 番めのオプション ボタンは [Add another member to the cluster] です。

ステップ 4 [Next] をクリックします。[ASA Cluster Mode] 画面が表示されます。

すでにクラスタ インターフェイス モードを設定した場合は(「マスター装置でのクラスタのインターフェイス モードの設定」を参照)、現在設定されているインターフェイス モードふぁ表示されます。まだインターフェイス モードを設定していない場合は、ウィザードを終了し、続行する前に CLI でモードを設定するように促されます。

ステップ 5 [Next] をクリックします。[Interfaces] 画面が表示されます。


 

詳細な手順 2:インターフェイスの設定


ステップ 1 まだ「マスター ユニットでのインターフェイスの設定」に従ってインターフェイスを設定していない場合は、この画面から、あらゆる既存インターフェイスの設定の変更およびクラスタ制御リンク用の EtherChannel の作成を含むいくつかのインターフェイス パラメータを設定することができます。

 

ステップ 2 必要なインターフェイスの変更を行います。この画面から新しい EtherChannels を作成することはできません(クラスタ制御リンクを除く)。クラスタの設定インターフェイスに関する詳細情報については、次の項を参照してください。

「個別インターフェイスの設定(管理インターフェイスの場合に推奨)」

「スパンド EtherChannel の設定」

「個別インターフェイスの設定(管理インターフェイスの場合に推奨)」

ステップ 3 [Next] をクリックします。

このウィザードでは、すべてのインターフェイスがクラスタ対応できていることを確認します。クラスタ対応ができていないインターフェイスがあると、次のようなエラーが表示されます。

 

[Interfaces] 画面に戻り、インターフェイス設定を修正します。

インターフェイス設定にエラーがなけれ、[ASA Cluster Configuration] 画面が表示されます。


 

詳細な手順 3:ブートストラップ設定のパラメータ


ステップ 1 次のブートストラップ パラメータを設定します。

 

a. [Cluster Name]:クラスタに名前を付けます。名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。クラスタ グループは装置あたり 1 つしか設定できません。クラスタのすべてのメンバが同じ名前を使用する必要があります。

b. [Member Name]:このクラスタ メンバの固有の名前を 1 ~ 38 文字の ASCII 文字列で指定します。

c. [Member Priority]:マスター ユニット選定用に、このユニットのプライオリティを 1 ~ 100 の範囲内で設定します。1 が最高のプライオリティです。

d. (任意)[Shared Key]:クラスタ制御リンクのコントロール トラフィックの暗号キーを設定します。共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、暗号キーを生成するために使用されます。このパラメータは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。パスワードの暗号化サービスをイネーブルにする場合にも、このパラメータを設定する必要があります。

e. [Cluster Control Link]:クラスタ制御リンク インターフェイスを指定します。このインターフェイスは、設定されている名前は使用できません。使用可能なインターフェイスがドロップダウン リストに表示されます。

[Interface]:インターフェイス ID、できれば EtherChannel を指定します。サブインターフェイスと管理タイプ インターフェイスは許可されません。

[IP Address]:IP アドレスには IPv4 アドレスを指定します。IPv6 は、このインターフェイスではサポートされません。

[Subnet Mask]:サブネット マスクを指定します。

ステップ 2 [Next] をクリックします。

ウィザードにクラスタ設定が表示されます。

 

ステップ 3 [Finish] をクリックします。

ステップ 4 ASAは実行コンフィギュレーションをスキャンして、クラスタリングに対応していない機能の非互換コマンドの有無を調べます。デフォルト コンフィギュレーションにあるコマンドも、これに該当することがあります。互換性のないコマンドを削除するには [OK] をクリックします。[Cancel] をクリックすると、クラスタリングはイネーブルになりません。

 

ステップ 5 しばらくすると、ASDM がクラスタをイネーブルにしてASAに再接続し、ASAがクラスタに追加されたことを確認する情報画面が表示されます。

 


) 場合によっては、ウィザードの完了後にクラスタに参加した際にエラーが発生する可能性があります。ASDM が切断されていると、ASDM はそれに続くエラーをASAから受信しません。ASDM に再接続後もクラスタリングがディセーブルの場合は、ASAコンソールポートに接続して、クラスタリングがディセーブルな詳細なエラー状況を判断する必要があります。たとえば、クラスタ制御リンクがダウンしている可能性があります。



 

詳細な手順 4:スレーブ装置の追加


ステップ 1 スレーブ装置を追加するには、[Yes] をクリックします。

マスターからウィザードを再実行する場合、ウィザードを最初に開始するときに [Add another member to the cluster] オプションを選択してスレーブ装置を追加することができます。

 

ステップ 2 新しいメンバーの名前、優先順位、クラスタ制御リンクの IP アドレスを設定します(相手装置のクラスタ制御をリンクするのと同じネットワーク上に)。

ステップ 3 [Deployment Options] で、次の [Deploy By] オプションから 1 つを選択します。

[Sending CLI commands to the remote unit now]:ブートストラップ設定をスレーブ(一時)管理 IP アドレスに送信します。スレーブ管理 IP アドレス、ユーザ名、パスワードを入力します。

[Copying generated CLI commands to paste on the remote unit manually]:スレーブ装置の CLI カット アンド ペーストまたは ASDM の CLI ツールで使用するようにコマンドを生成します。[Commands to Deploy] ボックスで、後で使用するためのコマンドを選択してコピーします。

 

ステップ 4 [Next] をクリックします。確認後、[Summary] 画面が表示されます。[Finish] をクリックします。

スレーブ装置がクラスタに追加されます。


 

次の作業

セキュリティ ポリシーをマスター ユニット上で設定します。サポートされる機能をマスター ユニット上で設定するには、このマニュアルの該当する章を参照してください。コンフィギュレーションはスレーブ ユニットに複製されます。サポートされる/されない機能のリストについては、「ASA の機能とクラスタリング」を参照してください。

高度なクラスタ パラメータを設定するには、「ASA クラスタ パラメータの設定」を参照してください。

ASA クラスタ メンバの管理

「ASA クラスタ パラメータの設定」

「マスター装置からの新スレーブの追加」

「非アクティブ メンバになる」

「マスター装置からのスレーブ メンバの非アクティブ化」

「クラスタからの脱退」

「マスター ユニットの変更」

「クラスタ全体でのコマンドの実行」

ASA クラスタ パラメータの設定

クラスタへの装置の追加にウィザードを使用しない場合は、クラスタ パラメータを手動で設定することができます。すでにクラスタリングがイネーブルであれば、いくつかのクラスタ パラメータは編集できます。クラスタリングがイネーブルになっている間は編集できないものは、グレイ表示されます。この手順には、ウィザードに含まれていない高度なパラメータも含まれます。

前提条件

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。 まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

すでにクラスタにデバイスが追加されており、それがマスター装置の場合は、このペインには [Cluster Configuration] タブにあります。

ステップ 2 [Configure ASA cluster settings] チェックボックスをオンにします。

 

チェックボックスをオフにすると、設定が消去されます。パラメータの設定がすべて完了するまで、[Participate in ASA cluster] をオンにしないでください。

ステップ 3 次のブートストラップ パラメータを設定します。

a. [Cluster Name]:クラスタに名前を付けます。名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。クラスタ グループは装置あたり 1 つしか設定できません。クラスタのすべてのメンバが同じ名前を使用する必要があります。

b. [Member Name]:このクラスタ メンバの固有の名前を 1 ~ 38 文字の ASCII 文字列で指定します。

c. [Member Priority]:マスター ユニット選定用に、このユニットのプライオリティを 1 ~ 100 の範囲内で設定します。1 が最高のプライオリティです。

d. (任意)[Shared Key]:クラスタ制御リンクのコントロール トラフィックの暗号キーを設定します。共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、暗号キーを生成するために使用されます。このパラメータは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。パスワードの暗号化サービスをイネーブルにする場合にも、このパラメータを設定する必要があります。

e. (任意)[Enable connection rebalancing for TCP traffic across all the ASAs in the cluster]:接続のリバランシングイネーブルにします。このパラメータはデフォルトではディセーブルになっています。イネーブルの場合は、クラスタの ASA は定期的に負荷情報を交換し、負荷のかかっているデバイスからの負荷の少ないデバイスにオフロードします。負荷情報を交換する間隔を、1 ~ 360 秒の範囲内で指定します。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

f. (任意)[Enable health monitoring of this device within the cluster]:クラスタのヘルス チェック機能をイネーブルにします。これには、装置のヘルス モニタリングおよびインターフェイスのヘルス モニタリングが含まれます。 :クラスタに新しいユニットを追加して、ASA またはスイッチ上でトポロジに変更を加えるときは、クラスタが完成するまで、この機能を一時的にディセーブルにする必要があります。クラスタとトポロジの変更が完了したら、この機能を再度イネーブルにすることができます。メンバ間のキープアライブ メッセージによって、メンバのヘルス状態が特定されます。ユニットがホールド時間内にピア ユニットからキープアライブ メッセージを受信しない場合は、そのピア ユニットは応答不能またはデッド状態と見なされます。インターフェイス ステータス メッセージによって、リンク障害が検出されます。ヘルス チェックはデフォルトでイネーブルになっており、イネーブルにしておくことを推奨します。ホールド時間は、キープアライブ メッセージの間隔を決定するものであり、0.8 ~ 45 秒の範囲内で設定します。デフォルトでは、ホールド時間は 3 秒です。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。


) 何らかのトポロジ変更を行うとき(たとえば、データ インターフェイスの追加または削除、ASA またはスイッチ上のインターフェイスのイネーブル化またはディセーブル化、VSS または vPC を形成するスイッチの追加)は、ヘルス チェックをディセーブルにする必要があります。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェックを再度イネーブルにします。


g. (任意)[Replicate console output to the master's console]:スレーブ装置からマスター装置へのコンソールのレプリケーションをイネーブルにします。この機能はデフォルトで無効に設定されています。ASA は、特定の重大イベントが発生したときに、メッセージを直接コンソールに出力します。コンソール複製をイネーブルにすると、スレーブ ユニットからマスター ユニットにコンソール メッセージが送信されるので、モニタが必要になるのはクラスタのコンソール ポート 1 つだけとなります。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

h. [Cluster Control Link]:クラスタ制御リンク インターフェイスを指定します。このインターフェイスは、設定されている名前は使用できません。使用可能なインターフェイスがドロップダウン リストに表示されます。

[Interface]:インターフェイス ID、できれば EtherChannel を指定します。サブインターフェイスと管理タイプ インターフェイスは許可されません。

[IP Address]:IP アドレスには IPv4 アドレスを指定します。IPv6 は、このインターフェイスではサポートされません。

[Subnet Mask]:サブネット マスクを指定します。

(任意)クラスタ制御リンク インターフェイスの最大伝送単位を 64 ~ 65,535 バイトの範囲内で指定します。MTU 値よりも大きいデータは、送信前にフラグメント化されます。デフォルトの MTU は 1500 バイトです。MTU を 1600 バイト以上に設定することを推奨します。このようにするには、ジャンボ フレームの予約をイネーブルにする必要があります。を参照してください。

i. (任意)[Cluster LACP]:スパンされた EtherChannel を使用するときは、ASAは cLACP を使用してネイバー スイッチとの間で EtherChannel のネゴシエーションを行います。cLACP ネゴシエーションのときに、同じクラスタ内の ASA は互いに連携し、スイッチに対して全体で 1 つの(仮想)デバイスであるかのように見せます。

[Virtual System MAC Address]:MAC アドレス形式である cLACP システム ID を設定します。すべてのASA が同じシステム ID を使用します。これはマスター ユニットによって自動生成され(デフォルト)、すべてのスレーブに複製されます。または手動で、 H . H . H の形式で指定します。H は 16 ビットの 16 進数字です。たとえば、MAC アドレス 00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。ただし、クラスタリングをイネーブルにした後は、この値は変更できません。

[System Priority]:1~65535 の範囲でシステムの優先度を設定します。優先度は意思決定を担当する装置の決定に使用されます。デフォルトでは、ASA はプライオリティ 1(最高のプライオリティ)を使用します。このプライオリティは、スイッチのプライオリティよりも高いことが必要です。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。ただし、クラスタリングをイネーブルにした後は、この値は変更できません。

ステップ 4 [Participate in ASA cluste] チェックボックスをオンにして、クラスタに参加します。

ステップ 5 [Apply] をクリックします。


 

マスター装置からの新スレーブの追加

マスター装置からクラスタに追加スレーブを追加することができます。[High Availability and Scalability] ウィザードを使用してスレーブを追加することもできます。マスター装置からスレーブを追加すると、クラスタ制御リンクを設定でき、追加する各スレーブ装置にクラスタ インターフェイス モードを設定できるというメリットがあります。

スレーブ装置にログインし、装置上で「ASA クラスタ パラメータの設定」に従ってクラスタリングを設定することもできます。ただし、クラスタリングをイネーブルにすると、ASDM セッションが切断されます。

前提条件

マルチ コンテキスト モードでは、システム実行スペースで次の手順を実行します。 まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

管理ネットワーク上でブートストラップ設定を送信する場合は、スレーブ装置にアクセス可能な IP アドレスがあることを確認してください。「各装置の管理インターフェイスの設定」を参照してください。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Members] の順に選択します。

ステップ 2 [Add] をクリックします。

 

ステップ 3 次のパラメータを設定します。

 

a. [Member Name]:このクラスタ メンバの固有の名前を 1 ~ 38 文字の ASCII 文字列で指定します。

b. [Member Priority]:マスター ユニット選定用に、このユニットのプライオリティを 1 ~ 100 の範囲内で設定します。1 が最高のプライオリティです。

c. [Cluster Control Link] > [IP Address]:マスター クラスタ制御リンクと同じネットワーク上で、クラスタ制御リンクのこのメンバに一意の IP アドレスを指定します。

d. [Deployment Options] で、次の [Deploy By] オプションから 1 つを選択します。

[Sending CLI commands to the remote unit now]:ブートストラップ設定をスレーブ(一時)管理 IP アドレスに送信します。スレーブ管理 IP アドレス、ユーザ名、パスワードを入力します。

[Copying generated CLI commands to paste on the remote unit manually]:スレーブ装置の CLI カット アンド ペーストまたは ASDM の CLI ツールで使用するようにコマンドを生成します。[Commands to Deploy] ボックスで、後で使用するためのコマンドを選択してコピーします。

 

ステップ 4 [OK] をクリックし、さらに [Apply] をクリックします。


 

非アクティブ メンバになる

クラスタの非アクティブ メンバになるには、クラスタリング コンフィギュレーションは変更せずに、そのユニット上でクラスタリングをディセーブルにします。


) ASA が非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開させるには、クラスタリングを再びイネーブルにします。または、そのユニットをクラスタから完全に削除します。「クラスタからの脱退」を参照してください。管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードした場合は、管理インターフェイスはアクセス不可能になります(このインターフェイスはマスター ユニットと同じ IP アドレスを使用するからです)。それ以降のコンフィギュレーション作業には、コンソール ポートを使用する必要があります。


前提条件

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

すでにクラスタにデバイスが追加されており、それがマスター装置の場合は、このペインには [Cluster Configuration] タブにあります。

ステップ 2 [Participate in ASA cluster] チェックボックスをオフにします。

 

ステップ 3 [Apply] をクリックします。

このユニットがマスター ユニットであった場合は、新しいマスターの選定が実行され、別のメンバがマスター ユニットになります。

クラスタ コンフィギュレーションは維持されるので、後でクラスタリングを再度イネーブルにできます。


 

マスター装置からのスレーブ メンバの非アクティブ化

スレーブ メンバを非アクティブにするには、次の手順を実行します。


) ASA が非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開させるには、クラスタリングを再びイネーブルにします。または、そのユニットをクラスタから完全に削除します。「クラスタからの脱退」を参照してください。管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードした場合は、管理インターフェイスはアクセス不可能になります(このインターフェイスはマスター ユニットと同じ IP アドレスを使用するからです)。それ以降のコンフィギュレーション作業には、コンソール ポートを使用する必要があります。


前提条件

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

 

ステップ 2 削除するスレーブを選択して [Delete] をクリックします。

スレーブ ブートストラップ設定は同じであり、その設定を失うことなく以後スレーブを再追加できます。

ステップ 3 [Apply] をクリックします。


 

クラスタからの脱退

クラスタから完全に脱退するには、クラスタ ブートストラップ コンフィギュレーション全体を削除する必要があります。実際には、コンフィギュレーション全体を消去または置換する必要があります。

前提条件

各メンバの現在のコンフィギュレーションは同一(マスター ユニットから同期された)であるため、クラスタから脱退すると、クラスタリング前のコンフィギュレーションをバックアップから復元するか、コンフィギュレーションを消去して初めからやり直すことも必要になります。

ASDM を使用して、バックアップ実行コンフィギュレーションを復元できます。ただし、クラスタのインターフェイス モードをディセーブルにするには、コンソール ポートで CLI を使用する必要があります。クラスタに参加する前のバック アップの設定に関する詳細情報については、「設定のバックアップ(推奨)」を参照してください。

バックアップ設定がない場合、ASDM 管理アクセス用の ASA を再設定するには CLI を使用する必要があります。

CLI を使用して、マスター クラスタ制御リンク同じネットワーク内でクラスタ制御リンクのこのメンバに一意の IP アドレスを指定します。コンソール ポートを使用する必要があります。クラスタリングのイネーブルまたはディセーブルを、リモート CLI 接続から行うことはできません。

詳細な手順:コンソール ポートからの CLI

 

 
コマンド
目的

ステップ 1

スレーブ ユニットの場合:

cluster group cluster_name

no enable
 

hostname(config)# cluster group cluster1

hostname(cfg-cluster)# no enable

クラスタリングをディセーブルにします。クラスタリングがスレーブ ユニット上でイネーブルになっている間は、コンフィギュレーション変更を行うことはできません。

ステップ 2

clear configure all

 

hostname(config)# clear configure all

実行コンフィギュレーションをクリアします。

ステップ 3

no cluster interface-mode

 

hostname(config)# no cluster interface-mode

クラスタ インターフェイス モードをディセーブルにします。モードはコンフィギュレーションには保存されないため、手動でリセットする必要があります。

ステップ 4

バックアップ コンフィギュレーションがある場合:

copy backup_cfg running-config

 

hostname(config)# copy backup_cluster.cfg running-config

 

Source filename [backup_cluster.cfg]?

 

Destination filename [running-config]?

hostname(config)#

バックアップ コンフィギュレーションを実行コンフィギュレーションにコピーします。

ステップ 5

write memory

 

hostname(config)# write memory

コンフィギュレーションをスタートアップに保存します。

ステップ 6

バックアップ コンフィギュレーションがない場合は、の説明に従って管理アクセスを再設定します。

詳細な手順:ASDM


ステップ 1 メイン クラスタの IP アドレスではなく、個別の管理 IP アドレスを使用してクラスタ メンバー装置に ASDM を直接接続します。

マスター装置からのメンバーの IP アドレスを表示するには、[Home] > [Cluster Dashboard] を選択し、[Management IP Address] コラムを表示します。

ステップ 2 [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] の順に選択します。

すでにクラスタにデバイスが追加されており、それがマスター装置の場合は、このペインには [Cluster Configuration] タブにあります。

ステップ 3 [Participate in ASA cluster] チェックボックスをオフにします。

 

ステップ 4 [Apply] をクリックします。

このユニットがマスター ユニットであった場合は、新しいマスターの選定が実行され、別のメンバがマスター ユニットになります。

ステップ 5 ASDM から出るように促されます。

ステップ 6 コンソールASA ポートに接続し、次のコマンドを入力します。

hostname(config)# no cluster interface-mode
 

ステップ 7 同じ管理 IP アドレスに ASDM を再接続します。

ステップ 8 [Tools] > [Restore Configurations] を選択します。

[Restore Configurations] ダイアログボックスが表示されます。

ステップ 9 バックアップ zip ファイル(「設定のバックアップ(推奨)」の一部として作成した)に移動し、[Next] をクリックします。

ステップ 10 [Running Configuration] チェックボックスの最小をオンにし、[Restore] をクリックします。

[Running Configuration Restore] ダイアログボックスが表示され、現在のコンフィギュレーションと交換またはマージするかどうかを尋ねられます。

ステップ 11 [Replace] をクリックします。

ステップ 12 完了したら、リストア ダイアログボックスと ASDM から出ます。

ステップ 13 バックアップ実行コンフィギュレーションの 元の 管理 IP に ASDM を再接続します。


 

マスター ユニットの変更

マスター ユニットを変更するには、次の手順を実行します。


) 中央集中型機能については、マスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。中央集中型機能のリストについては、「中央集中型機能」を参照してください。


前提条件

マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

手順の詳細


ステップ 1 [Monitoring] > [ASA Cluster] > [Cluster Summary] を選択します。

 

ステップ 2 [Change Master To] ドロップダウン メニューで、マスターにするスレーブ装置を選択し、[Make Master] をクリックします。


 

クラスタ全体でのコマンドの実行

コマンドをクラスタ内のすべてのメンバに、または特定のメンバに送信するには、次の手順を実行します。 show コマンドをすべてのメンバに送信すると、すべての出力が収集されて現在のユニットのコンソールに表示されます。その他のコマンド、たとえば capture copy も、クラスタ全体での実行を活用できます。

手順の詳細


ステップ 1 [Tools] > [Command Line Interface] を選択します。

ステップ 2 次のコマンドを入力します。

 

コマンド
目的

cluster exec [ unit unit_name ] command

 

hostname# cluster exec show xlate

コマンドをすべてのメンバに送信します。ユニット名を指定した場合は、特定のメンバに送信されます。

メンバ名を一覧表示するには、 cluster exec unit ? (現在のユニットを除くすべての名前が表示される)と入力するか、 show cluster info コマンドを入力します。

ステップ 3 [Send] をクリックします。


 

同じキャプチャ ファイルをクラスタ内のすべてのユニットから同時に TFTP サーバにコピーするには、マスター ユニットで次のコマンドを入力します。

cluster exec copy /pcap capture: tftp://10.1.1.56/capture1.pcap
 

複数の PCAP ファイル(各ユニットから 1 つずつ)が TFTP サーバにコピーされます。宛先のキャプチャ ファイル名には自動的に装置名が付加され、capture1_asa1.pcap、capture1_asa2.pcap などとなります。この例では、asa1 および asa2 がクラスタ装置名です。

次の例では、 cluster exec show port-channel summary コマンドの出力に、クラスタの各メンバの EtherChannel 情報が表示されています。

cluster exec show port-channel summary
primary(LOCAL):***********************************************************
Number of channel-groups in use: 2
Group Port-channel Protocol Span-cluster Ports
------+-------------+-----------+-----------------------------------------------
1 Po1 LACP Yes Gi0/0(P)
2 Po2 LACP Yes Gi0/1(P)
secondary:******************************************************************
Number of channel-groups in use: 2
Group Port-channel Protocol Span-cluster Ports
------+-------------+-----------+-----------------------------------------------
1 Po1 LACP Yes Gi0/0(P)
2 Po2 LACP Yes Gi0/1(P)

ASA クラスタのモニタ

「クラスタ ダッシュボード」

「[Monitoring] 画面」

「関連機能」

クラスタ ダッシュボード

マスター装置のホーム ページの [Cluster Dashboard] と [Cluster Firewall Dashboard] を使用してクラスタをモニタできます。詳細については、およびを参照してください。

クラスタ サマリーの表示

[Monitoring] > [ASA Cluster] > [Cluster Summary] を選択します。このペインには、接続相手の装置とクラスタのその他の装置の情報が表示されます。また、このペインでマスター装置を変更することができます。

 

クラスタ リソースのモニタリング

CPU

[Monitoring] > [ASA Cluster] > [System Resources Graphs] > [CPU] を選択します。このペインでは、クラスタ メンバ全体の CPU 使用率を示すグラフまたはテーブルを作成することができます。

Memory

[Monitoring] > [ASA Cluster] > [System Resources Graphs] > [Memory] を選択します。このペインでは、クラスタ メンバ全体の [Free Memory] と [Used Memory] を表示するグラフまたはテーブルを作成することができます。

クラスタ トラフィックのモニタリング

Connections

[Monitoring] > [ASA Cluster] > [Traffic] > [Graphs] > [Connections] を選択します。このペインでは、クラスタ メンバ全体の接続を示すグラフまたはテーブルを作成することができます。

Throughput

[Monitoring] > [ASA Cluster] > [Traffic] > [Graphs] > [Throughput] を選択します。このペインでは、クラスタ メンバ全体のトラフィックのスループットを示すグラフまたはテーブルを作成することができます。

クラスタ制御リンクのモニタリング

[Monitoring] > [Properties] > [System Resources Graphs] > [Cluster Control Link] を選択します。このペインでは、クラスタ制御リンクの [Receival] および [Transmittal] 容量使用率を表示するグラフまたはテーブルを作成することができます。

関連機能

 

コマンド
目的

[Wizards] > [Packet Capture Wizard]

クラスタ全体のトラブルシューティングをサポートするには、マスター装置上でのクラスタ固有トラフィックのキャプチャをイネーブルにします。これで、クラスタ内のすべてのスレーブ装置でも自動的にイネーブルになります。

を参照してください。

[Configuration] > [Device Management] > [Interfaces]> [Edit Interface] > [Advanced]

個別インターフェイス用の MAC アドレスプールを作成します。

[Configuration] > [Device Management] > [Management Access] > [Command Line (CLI)] > [CLI Prompt]

CLI プロンプトにクラスタ ユニット名が表示されるように設定します。

を参照してください。

[Configuration] > [Device Management] > [Logging] > [Syslog Setup]

クラスタ内の各ユニットは、syslog メッセージを個別に生成します。同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。

を参照してください。

ASA クラスタリングのコンフィギュレーション例

この項では、次のトピックについて取り上げます。

「Firewall on a Stick」

「トラフィックの分離」

「冗長インターフェイス(PBR または ECMP)」

「バックアップ リンクを持つスパンド EtherChannel」

Firewall on a Stick

 

異なるセキュリティ ドメインからのデータ トラフィックには、異なる VLAN が関連付けられます。たとえば内部ネットワーク用には VLAN 10、外部ネットワークには VLAN 20 とします。各 ASA は単一の物理ポートがあり、外部スイッチまたはルータに接続されます。トランキングがイネーブルになっているので、物理リンク上のすべてのパケットが 802.1q カプセル化されます。ASA は、VLAN 10 と VLAN 20 の間のファイアウォールです。

スパンド EtherChannel を使用するときは、スイッチ側ですべてのデータ リンクがグループ化されて 1 つの EtherChannel となります。ASA の 1 つが使用不可能になった場合は、スイッチは残りのユニット間でトラフィックを再分散します。

トラフィックの分離

 

内部ネットワークと外部ネットワークの間で、トラフィックを物理的に分離することができます。

上の図に示すように、左側に一方のスパンド EtherChannel があり、内部スイッチに接続されています。他方は右側にあり、外部スイッチに接続されています。必要であれば、各 EtherChannel 上に VLAN サブインターフェイスを作成することもできます。

冗長インターフェイス(PBR または ECMP)

 

冗長インターフェイスを使用すると、リンク レベルの冗長性が実現します。

個別インターフェイスを使用するときのバックアップ インターフェイスへの切り替えは、非クラスタリング モードでの動作に似ています。プライマリ リンクに障害が発生したときは、ASA によってバックアップ リンクがアクティブ化されます。スイッチ上のスパニングツリーがコンバージするのに少し時間がかかります。完了すると、スイッチ側でバックアップ リンクがアクティブになります。バックアップ リンクを別のスイッチに接続すると、スイッチ間冗長性が実現します。

バックアップ リンクを持つスパンド EtherChannel

1 つの EtherChannel のアクティブ ポートの最大数は、スイッチ側からの 8 までとなります。8 台の ASA から成るクラスタがあり、EtherChannel にユニットあたり 2 ポートを割り当てた場合は、合計 16 ポートのうち 8 ポートをスタンバイ モードにする必要があります。ASA は、どのリンクをアクティブまたはスタンバイにするかを、LACP を使用してネゴシエートします。VSS または vPC を使用してマルチスイッチ EtherChannel をイネーブルにした場合は、スイッチ間の冗長性を実現できます。ASA では、すべての物理ポートが最初にスロット番号順、次にポート番号順に並べられます。次の図では、番号の小さいポートが「プライマリ」ポートとなり(たとえば GigabitEthernet 0/0)、他方が「セカンダリ」ポートとなります(たとえば GigabitEthernet 0/1)。ハードウェア接続の対称性を保証する必要があります。つまり、すべてのプライマリ リンクは 1 台のスイッチが終端となり、すべてのセカンダリ リンクは別のスイッチが終端となっている必要があります(VSS/vPC が使用されている場合)。次の図は、クラスタに参加するユニットが増えてリンクの総数が増加したときに、どのようになるかを示しています。

 

原則として、初めにチャネル内のアクティブ ポート数を最大化し、そのうえで、アクティブなプライマリ ポートとアクティブなセカンダリ ポートの数のバランスを保ちます。5 番目のユニットがクラスタに参加したときは、トラフィックがすべてのユニットに均等には分散されないことに注意してください。

リンクまたはデバイスの障害が発生したときも、同じ原則で処理されます。その結果、ロード バランシングが理想的な状態にはならないこともあります。次の図は、4 ユニットのクラスタを示しています。このユニットの 1 つで、単一リンク障害が発生しています。

 

ネットワーク内に複数の EtherChannel を設定することも考えられます。次の図では、EtherChannel が内部に 1 つ、外部に 1 つあります。ASA は、一方の EtherChannel でプライマリとセカンダリの両方のリンクが障害状態になった場合にクラスタから削除されます。これは、その ASA がすでに内部ネットワークへの接続を失っているにもかかわらず、外部ネットワークからトラフィックを受信するのを防ぐためです。

 

ASA クラスタリングの機能履歴

表 10-3 に、各機能変更と、それが実装されたプラットフォーム リリースを示します。ASDM は、複数のプラットフォーム リリースとの下位互換性があるため、サポートが追加された特定の ASDM リリースは一覧には含まれていません。

 

表 10-3 クラスタリングの機能履歴

機能名
プラットフォーム リリース
機能情報

ASA クラスタリング

9.0(1)

クラスタリングを利用すると、複数の ASA をグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。

次の画面が導入または変更されました。

[Home] > [Device Dashboard]
[Home] > [Cluster Dashboard]
[Home] > [Cluster Firewall Dashboard]
[Configuration] > [Device Management] > [Advanced] > [Address Pools] > [MAC Address Pools]
[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]
[Configuration] > [Device Management] > [Logging] > [Syslog Setup] > [Advanced]
[Configuration] > [Device Setup] > [Interfaces]> [Add/Edit Interface] > [Advanced]
[Configuration] > [Device Setup] > [Interfaces]> [Add/Edit Interface] > [IPv6]
[Configuration] > [Device Setup] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]
[Configuration] > [Firewall] > [Advanced] > [Per-Session NAT Rules]
[Monitoring] > [ASA Cluster]
[Monitoring] > [Properties] > [System Resources Graphs] > [Cluster Control Link]
[Tools] > [Preferences] > [General]
[Tools] > [System Reload]
[Tools] > [Upgrade Software from Local Computer]
[Wizards] > [High Availability and Scalability Wizard]
[Wizards] > [Packet Capture Wizard]
[Wizards] > [Startup Wizard]