Cisco ASA シリーズ ASDM コンフィギュレーション ガイド(一般的な操作) ソフトウェア バージョン 7.1
フェールオーバーの設定
フェールオーバーの設定
発行日;2013/10/29 | 英語版ドキュメント(2013/09/18 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 13MB) | フィードバック

目次

フェールオーバーの設定

フェールオーバーの概要

フェールオーバーの概要

フェールオーバーのシステム要件

ハードウェア要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

ステートフル フェールオーバー リンク

フェイルオーバー中断の回避とデータ リンク

MAC アドレスと IP アドレス

のシャーシ内およびシャーシ間のモジュール配置

シャーシ内フェールオーバー

シャーシ間フェールオーバー

ステートレス フェールオーバーとステートフル フェールオーバー

ステートレス フェールオーバー

ステートフル フェールオーバー

トランスペアレント ファイアウォール モードの要件

アプライアンスのトランスペアレント モードの要件

モジュールのトランスペアレント モードの要件

フェールオーバー ヘルスのモニタリング

装置ヘルスのモニタリング

インターフェイスのモニタリング

フェールオーバー時間

設定同期

コンフィギュレーションの複製の実行

コマンドの複製

アクティブ/スタンバイ フェールオーバーに関する情報

プライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス

起動時のアクティブ装置の判別

フェールオーバー イベント

アクティブ/アクティブ フェールオーバーに関する情報

アクティブ/アクティブ フェールオーバーの概要

フェールオーバー グループのプライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス

起動時のフェールオーバー グループのアクティブ装置の決定

フェールオーバーイベント

フェールオーバーのライセンス要件

フェールオーバーの前提条件

注意事項と制約事項

アクティブ/スタンバイ フェールオーバーの設定

アクティブ/スタンバイ フェールオーバー ペアの設定

アクティブ/アクティブ フェールオーバーの設定

アクティブ/アクティブ フェールオーバー ペアの設定

任意選択フェールオーバー パラメータの設定

任意選択アクティブ/スタンバイ フェールオーバー パラメータの設定

インターフェイス モニタリングのディセーブル化とイネーブル化

フェールオーバー基準の設定

装置およびインターフェイスのヘルス ポーリング時間の設定

仮想 MAC アドレスの設定

オプションのアクティブ/アクティブ フェールオーバー設定値の設定

アクティブ/アクティブ フェールオーバー パラメータの設定

フェールオーバーの概要

「フェールオーバーの概要」

「フェールオーバーのシステム要件」

「フェールオーバー リンクとステートフル フェールオーバー リンク」

「MAC アドレスと IP アドレス」

「ASA サービス モジュール のシャーシ内およびシャーシ間のモジュール配置」

「ステートレス フェールオーバーとステートフル フェールオーバー」

「トランスペアレント ファイアウォール モードの要件」

「フェールオーバー ヘルスのモニタリング」

「フェールオーバー時間」

「設定同期」

「アクティブ/スタンバイ フェールオーバーに関する情報」

「アクティブ/アクティブ フェールオーバーに関する情報」

フェールオーバーの概要

フェールオーバーの設定では、専用フェールオーバー リンク(および任意でステート リンク)を介して相互に接続された 2 つの同じ ASA が必要です。アクティブ ユニットおよびインターフェイスの状態は、特定のフェールオーバー条件に一致しているかどうかを確認するためにモニタされます。所定の条件に一致すると、フェールオーバーが行われます。

ASAは、アクティブ/アクティブ フェールオーバーとアクティブ/スタンバイ フェールオーバーの 2 つのフェールオーバー モードをサポートします。各フェールオーバー モードには、フェールオーバーを判定および実行する独自の方式があります。

アクティブ/スタンバイ フェールオーバーでは、1 台の装置がアクティブ装置です。この装置がトラフィックを渡します。スタンバイ装置は、アクティブにトラフィックを渡しません。フェールオーバーが発生すると、アクティブ装置がスタンバイ装置にフェールオーバーし、そのスタンバイ装置がアクティブになります。シングルまたはマルチ コンテキスト モードでは、ASAに対してアクティブ/スタンバイ フェールオーバーを使用できます。

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードのASAでのみ使用できます。アクティブ/アクティブ フェールオーバーでは、ASAのセキュリティ コンテキストを 2 つの フェールオーバー グループ に分割します。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。一方のグループは、プライマリASAでアクティブになるよう割り当てられます。他方のグループは、セカンダリASAでアクティブになるよう割り当てられます。フェールオーバーが行われる場合は、フェールオーバー グループ レベルで行われます。

両方のフェールオーバー モードとも、ステートフルまたはステートレス フェールオーバーをサポートします。

フェールオーバーのシステム要件

この項では、フェールオーバー コンフィギュレーションにあるASAのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。

「ハードウェア要件」

「ソフトウェア要件」

「ライセンス要件」

ハードウェア要件

フェールオーバー コンフィギュレーションの 2 つのユニットは、次の条件を満たしている必要があります。

同じモデルであること。

インターフェイスの数とタイプが同じであること。

同じモジュール(存在する場合)がインストールされていること。

同じ RAM がインストールされていること。

フェールオーバー コンフィギュレーションで装置に異なるサイズのフラッシュ メモリを使用している場合、小さい方のフラッシュ メモリを取り付けた装置に、ソフトウェア イメージ ファイルおよびコンフィギュレーション ファイルを格納できる十分な容量があることを確認してください。十分な容量がない場合、フラッシュ メモリの大きい装置からフラッシュ メモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。

ソフトウェア要件

フェールオーバー コンフィギュレーションの 2 つのユニットは、次の条件を満たしている必要があります。

ファイアウォール モードが同じであること(ルーテッドまたは透過)。

コンテキスト モードが同じであること(シングルまたはマルチ)。

ソフトウェア バージョンが、メジャー(最初の番号)およびマイナー(2 番目の番号)ともに同じであること。ただし、アップグレード プロセス中は、異なるバージョンのソフトウェアを一時的に使用できます。たとえば、ある装置をバージョン 8.3(1)からバージョン 8.3(2)にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。

フェールオーバー ペアでのソフトウェアのアップグレードについては、を参照してください。

同じ AnyConnect イメージを持っていること。ヒットレス アップグレードを実行するときにフェールオーバー ペアのイメージが一致しないと、アップグレード プロセスの最後のリブート手順でクライアントレス SSL VPN 接続が切断され、データベースには孤立したセッションが残り、IP プールではクライアントに割り当てられた IP アドレスが「使用中」として示されます。

ライセンス要件

フェールオーバー コンフィギュレーションの 2 台の装置は、ライセンスが同じである必要はありません。これらのライセンスは結合され、1 つのフェールオーバー クラスタ ライセンスが構成されます。詳細については、を参照してください。

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンクと任意選択ステートフル フェールオーバー リンクは、2 つのユニット間の専用接続です。

「フェールオーバー リンク」

「ステートフル フェールオーバー リンク」

「フェイルオーバー中断の回避とデータ リンク」


注意 フェールオーバー リンクおよびステート リンク経由で送信される情報は、IPsec トンネルまたはフェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端にASAを使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASAを使用して VPN トンネルを終端する場合は、フェールオーバー通信を IPsec トンネルまたはフェールオーバー キーによってセキュリティで保護することをお勧めします。

フェールオーバー リンク

フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。

「フェールオーバー リンク データ」

「フェールオーバー リンクのインターフェイス」

「フェールオーバー リンクの接続」

フェールオーバー リンク データ

次の情報がフェールオーバー リンク経由で伝達されています。

装置の状態(アクティブまたはスタンバイ)

hello メッセージ(キープアライブ)

ネットワーク リンクの状態

MAC アドレス交換

コンフィギュレーションの複製および同期

フェールオーバー リンクのインターフェイス

物理、冗長、EtherChannel など、インターフェイスは使用されていなければどれでも、フェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバー リンク用として(また、オプションでステート リンク用として)使用できるのみです。

フェールオーバー リンクの接続

フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを ASA のフェールオーバー インターフェイスとしては使用しません。

イーサネット ケーブルを使用してユニットを直接接続します。外部スイッチは必要ありません。

ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASAは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

ステートフル フェールオーバー リンク

ステートフル フェールオーバーを使用するには、接続ステート情報を渡すためのステートフル フェールオーバー リンク(別名ステート リンク)を設定する必要があります。

ステート リンク用のインターフェイス オプションは 3 つあります。

「専用インターフェイス(推奨)」

「フェールオーバー リンクと共有」

「通常のデータ インターフェイスと共有(非推奨)」


) ステート リンクに管理インターフェイスを使用しないでください。


専用インターフェイス(推奨)

ステート リンクに専用のインターフェイス(物理、冗長、または EtherChannel)を使用できます。次の 2 つの方法のいずれかで、専用のステート リンクを接続します。

スイッチを使用します。同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)上で他のデバイスを ASA のフェールオーバー インターフェイスとしては使用しません。

イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。

ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASAは銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているので、クロス ケーブルまたはストレート ケーブルのどちらでも使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

長距離のフェールオーバーを使用する場合のフェールオーバー リンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバー メッセージの再送信により、どうしてもパフォーマンスが低下します。

フェールオーバー リンクと共有

十分なインターフェイスがない場合には、フェールオーバー リンクを共有する必要がある場合があります。フェールオーバー リンクをステート リンクとして使用している場合は、使用可能な最も速いイーサネット インターフェイスを使用します。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステート リンク専用にすることを検討してください。

通常のデータ インターフェイスと共有(非推奨)

データ インターフェイスとステート リンクを共有すると、リプレイ アタックを受けやすくなる場合があります。さらに、大量のステートフル フェールオーバー トラフィックがインターフェイスで送信され、そのネットワーク セグメントでパフォーマンス上の問題が発生することがあります。

データ インターフェイスをステート リンクとして使用することは、シングル コンテキストのルーテッド モードのみでサポートされます。

フェイルオーバー中断の回避とデータ リンク

すべてのインターフェイスで同時に障害が発生する可能性を減らすために、フェールオーバー リンクおよびデータ インターフェイスを異なるパスに通すことを推奨します。フェールオーバー リンクで障害が発生した場合、フェールオーバーが必要かどうかの決定に、ASA はデータ インターフェイスを使用できます。その後、フェールオーバー動作は、フェールオーバー リンクのヘルスが復元されるまで停止されます。

レジリエント フェールオーバー ネットワークの設計については、次の接続シナリオを参照してください。

シナリオ 1:非推奨

単一のスイッチまたはスイッチ セットが 2 つの ASA 間のフェールオーバー インターフェイスとデータ インターフェイスの両方の接続に使用される場合、スイッチまたはスイッチ間リンクがダウンすると、両方の ASA がアクティブになります。したがって、図 9-1 および図 9-2 で示されている次の 2 つの接続方式は推奨しません。

図 9-1 単一のスイッチを使用した接続:非推奨

 

図 9-2 2 つのスイッチを使用した接続:非推奨

 

シナリオ 2:推奨

フェールオーバー リンクには、データ インターフェイスと同じスイッチを使用しないことを推奨します。代わりに、図 9-3および図 9-4に示すように、別のスイッチを使用するか直接ケーブルを使用して、2 つのフェールオーバー リンクを接続します。

図 9-3 異なるスイッチを使用した接続

 

図 9-4 ケーブルを使用した接続

 

シナリオ 3:推奨

ASAデータ インターフェイスが複数セットのスイッチに接続されている場合、フェールオーバー リンクはスイッチの 1 つに接続できます。できれば、図 9-5 に示すように、ネットワークのセキュアな(内)側のスイッチに接続します。

図 9-5 セキュアなスイッチを使用した接続

 

シナリオ 4:推奨

最も信頼性の高いフェールオーバー コンフィギュレーションは、図 9-6 および図 9-7 に示すように、フェールオーバー リンク上の冗長インターフェイスを使用するというものです。

図 9-6 冗長インターフェイスを使用した接続

 

図 9-7 スイッチ間リンクを使用した接続

 

MAC アドレスと IP アドレス

インターフェイスを設定する場合、同じネットワーク上のアクティブ IP アドレスとスタンバイ IP アドレスを指定する必要があります。

1. プライマリ装置またはフェールオーバー グループが故障すると、セカンダリ装置はプライマリ装置の IP アドレスと MAC アドレスを引き継ぎ、トラフィックを通過させます。

2. 現在スタンバイになっている装置が、スタンバイの IP アドレスと MAC アドレスを引き継ぎます。

ネットワーク デバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。


) セカンダリ装置がプライマリ装置を検出せずにブートした場合、プライマリ装置の MAC アドレスを認識していないため、セカンダリ装置がアクティブ装置になり、自分の MAC アドレスを使用します。ただし、プライマリ装置が使用可能になると、(アクティブな)セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレスに変更するため、ネットワーク トラフィックが中断することがあります。同様にプライマリ装置を新しいハードウェアに交換する場合も、新しい MAC アドレスが使用されます。

仮想 MAC アドレスがこの中断を防ぎます。なぜなら、アクティブな MAC アドレスは起動時にセカンダリ装置によって認識され、プライマリ装置のハードウェアが新しくなっても変わらないからです。マルチ コンテキスト モードでは、ASAが仮想アクティブおよびスタンバイ MAC アドレスをデフォルトで生成します。詳細については、を参照してください。シングル コンテキスト モードでは、手動で仮想 MAC アドレスを設定することができます。詳細については、「仮想 MAC アドレスの設定」を参照してください。

仮想 MAC アドレスを設定しなかった場合、トラフィック フローを復元するために、接続されたルータの ARP テーブルをクリアする必要がある場合があります。MAC アドレスを変更する場合、ASAはスタティック NAT アドレスに対して Gratuitous ARP を送信しません。そのため、接続されたルータはこれらのアドレスの MAC アドレスの変更を認識できません。



) ステート リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。唯一の例外は、ステート リンクが通常のデータ インターフェイスに設定されている場合です。


ASA サービス モジュール のシャーシ内およびシャーシ間のモジュール配置

プライマリとセカンダリの ASASM は、同じスイッチ内または 2 台の異なるスイッチに搭載できます。ここでは、各オプションについて説明します。

「シャーシ内フェールオーバー」

「シャーシ間フェールオーバー」

シャーシ内フェールオーバー

セカンダリ ASASM をプライマリ ASASM と同じスイッチに搭載した場合は、モジュール レベルの障害から保護する必要があります。モジュール レベルの障害のほか、スイッチ レベルの障害を保護するには、「シャーシ間フェールオーバー」を参照してください。

両方の ASASM に同じ VLAN が割り当てられますが、ネットワーキングに参加するのはアクティブ モジュールだけです。スタンバイ モジュールは、トラフィックを転送しません。

図 9-8 に、一般的なスイッチ間の構成を示します。

図 9-8 スイッチ内フェールオーバー

 

シャーシ間フェールオーバー

スイッチレベルの障害から保護するため、セカンダリ ASASM を別のスイッチに搭載することができます。ASASM はスイッチでフェールオーバーを直接取り扱うわけではなく、スイッチのフェールオーバー動作に対して協調的に動作します。スイッチのフェールオーバー設定については、スイッチのマニュアルを参照してください。

ASASM間のフェールオーバー通信の信頼性の最適化のために、フェールオーバーおよびステート VLAN を伝送するように 2 台のスイッチ間の EtherChannel トランク ポートを設定することを推奨します。

他の VLAN については、両方のスイッチがすべてのファイアウォール VLAN にアクセスでき、モニタ対象 VLAN が両方のスイッチ間で正常に hello パケットを渡すことができるようにします。

図 9-9 に、スイッチと ASASM の一般的な冗長構成を示します。2 台のスイッチ間のトランクは、フェールオーバー ASASMVLAN(VLAN 10 と 11)を転送します。


) ASASM のフェールオーバーはスイッチのフェールオーバーに依存しない独立した機能ですが、スイッチのフェールオーバーが発生した場合には、ASASM もそれに対応します。


図 9-9 通常の動作

 

プライマリ ASASM に障害が発生すると、セカンダリ ASASM がアクティブになってファイアウォール VLAN を通過します(図 9-10)。

図 9-10 ASASM の障害

 

スイッチ全体に障害が発生し、ASASM にも障害が発生した場合(電源切断など)には、スイッチと ASASM の両方でセカンダリ ユニットへのフェールオーバーが実行されます(図 9-11)。

図 9-11 スイッチの障害

 

ステートレス フェールオーバーとステートフル フェールオーバー

ASAは、アクティブ/スタンバイ モードとアクティブ/アクティブ モードの両方に対して、ステートレスとステートフルの 2 タイプのフェールオーバーをサポートします。

「ステートレス フェールオーバー」

「ステートフル フェールオーバー」


) クライアントレス SSL VPN の一部のコンフィギュレーション要素(ブックマークやカスタマイゼーションなど)は VPN フェールオーバー サブシステムを使用していますが、これはステートフル フェールオーバーの一部です。フェールオーバー ペアのメンバ間でこれらの要素を同期するには、ステートフル フェールオーバーを使用する必要があります。ステートレス フェールオーバーは、クライアントレス SSL VPN には推奨できません。


ステートレス フェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。


) クライアントレス SSL VPN の一部のコンフィギュレーション要素(ブックマークやカスタマイゼーションなど)は VPN フェールオーバー サブシステムを使用していますが、これはステートフル フェールオーバーの一部です。フェールオーバー ペアのメンバ間でこれらの要素を同期するには、ステートフル フェールオーバーを使用する必要があります。ステートレス(標準)フェールオーバーは、クライアントレス SSL VPN には推奨できません。


ステートフル フェールオーバー

ステートフル フェールオーバーがイネーブルの場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に継続的に渡します。アクティブ/アクティブ フェールオーバーの場合は、アクティブとスタンバイのフェールオーバー グループ間でこれが行われます。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

「サポートされる機能」

「サポートされていない機能」

サポートされる機能

ステートフル フェールオーバーがイネーブルのときは、次のステート情報がスタンバイ ASA に渡されます。

NAT 変換テーブル

TCP 接続状態

UDP 接続状態

ARP テーブル

レイヤ 2 ブリッジ テーブル(トランスペアレント ファイアウォール モードで動作中の場合)

(HTTP 複製がイネーブルの場合の)HTTP 接続状態:デフォルトでは、ステートフル フェールオーバーがイネーブルのときには、ASAは HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。

ISAKMP および IPSec SA テーブル

GTP PDP 接続データベース

SIP シグナリング セッション

ICMP 接続状態:ICMP 接続の複製は、個々のインターフェイスが非対称ルーティング グループに割り当てられている場合にだけイネーブルになります。

ダイナミック ルーティング プロトコル:ステートフル フェールオーバーはダイナミック ルーティング プロトコル(OSPF や EIGRP など)に参加するため、アクティブ装置上のダイナミック ルーティング プロトコルによる学習ルートが、スタンバイ装置の Routing Information Base(RIB)テーブルに維持されます。フェールオーバー イベントで、アクティブなセカンダリ ASA には最初にプライマリ ASA をミラーリングする規則があるため、パケットは通常は最小限の中断でトラフィックに移動します。フェールオーバーの直後に、新しくアクティブになった装置で再コンバージェンス タイマーが開始されます。次に、RIB テーブルのエポック番号が増加します。再コンバージェンス中に、OSPF および EIGRP ルートは新しいエポック番号で更新されます。タイマーが期限切れになると、失効したルート エントリ(エポック番号によって決定される)はテーブルから削除されます。これで、RIB には新しくアクティブになった装置での最新のルーティング プロトコル転送情報が含まれています。

Cisco IP SoftPhone セッション:Cisco IP SoftPhone セッションの実行中にフェールオーバーが起こっても、コール セッション ステート情報がスタンバイ装置に複製されるため、コールは実行されたままです。コールが終了すると、IP SoftPhone クライアントは Cisco CallManager との接続がなくなります。これは、CTIQBE ハングアップ メッセージのセッション情報がスタンバイ装置に存在しないためです。IP SoftPhone クライアントでは、一定の時間内に CallManager からの応答が受信されない場合、CallManager に到達できないものと判断されて登録が解除されます。

VPN:VPN エンド ユーザはフェールオーバー後に VPN セッションを再認証または再接続する必要はありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバー プロセス中にパケットを失って、パケット損失から回復できない可能性があります。

サポートされていない機能

ステートフル フェールオーバーがイネーブルのときに、次のステート情報はスタンバイ ASA に渡されません。

HTTP 接続テーブル(HTTP 複製がイネーブルでない場合)

ユーザ認証(uauth)テーブル

高度な TCP ステート トラッキングの対象となるアプリケーション インスペクション:これらの接続の TCP 状態は自動的には複製されません。スタンバイ装置への接続は複製されますが、TCP ステートを再確立するベスト エフォート型の試行が行われます。

DHCP サーバ アドレスのリース

ASA IPS SSP または ASA CX SSP などのモジュールのステート情報。

電話の代理権限オプション:アクティブ装置がダウンした場合は、コールが失敗し、メディアのフローが停止するので、障害が発生した装置から電話の登録を解除し、アクティブ装置に再登録する必要があります。コールは再確立する必要があります。

選択されたクライアントレス SSL VPN 機能:

スマート トンネル

ポート転送

プラグイン

Java アプレット

IPv6 クライアントレスまたは Anyconnect セッション

Citrix 認証(Citrix ユーザはフェールオーバー後に再認証が必要です)

アプライアンスのトランスペアレント モードの要件

アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニングツリー プロトコル(STP)を実行している接続済みスイッチ ポートは、トポロジ変更を検出すると 30 ~ 50 秒間ブロッキング ステートに移行できます。ポートがブロッキング ステートである間のトラフィックの損失を回避するために、スイッチ ポート モードに応じて次の回避策のいずれかを設定できます。

アクセス モード:スイッチで STP PortFast 機能をイネーブルにします。

interface interface_id
spanning-tree portfast
 

PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディング モードに遷移します。ポートは引き続き STP に参加しています。したがって、ポートがループの一部になる場合、最終的には STP ブロッキング モードに遷移します。

トランク モード:EtherType アクセス ルールを使用して ASA の内部および外部インターフェイスの両方で BPDU をブロックします。

BPDU をブロックすると、スイッチの STP はディセーブルになります。ネットワーク レイアウトで ASA を含むループを設定しないでください。

上記のオプションのどちらも使用できない場合は、フェールオーバー機能または STP の安定性に影響する、推奨度の低い次の回避策のいずれかを使用できます。

インターフェイス モニタリングのディセーブル化。

ASA がフェールオーバーする前に、インターフェイスのホールド時間を STP が収束可能になる大きい値に増やします。

STP がインターフェイスのホールド時間より速くコンバージするように、STP タイマーを減少させます。

モジュールのトランスペアレント モードの要件

トランスペアレント モードでのフェールオーバーの使用時にループを回避するには、BPDU が通過できるようにして(デフォルト)、BPDU 転送をサポートするスイッチ ソフトウェアを使用する必要があります。

両モジュールが互いの存在を検出したり、フェールオーバー リンクが不正であったりするなど、両方のモジュールが同時にアクティブのときに、ループが発生することがあります。両方のASASM が 2 つの同じ VLAN 間でパケットをブリッジングするので、外部宛ての内部パケットが両方のASASMによって無限に複製され、ループが発生します(図 9-12 を参照)。BPDU がタイミングよく交換された場合は、スパニングツリー プロトコルによって、これらのループが遮断されます。ループを遮断するには、VLAN 200 と VLAN 201 間で送信される BPDU をブリッジングする必要があります。

図 9-12 トランスペアレント モードのループ

 

フェールオーバー ヘルスのモニタリング

ASAは、各装置について全体的なヘルスおよびインターフェイス ヘルスをモニタします。この項では、ASAによる各装置の状態を判断するためのテストの実行方法を説明します。

「装置ヘルスのモニタリング」

「インターフェイスのモニタリング」

装置ヘルスのモニタリング

ASAは、フェールオーバー リンクをモニタして相手装置のヘルスを判断します。装置は、フェールオーバー リンクで 3 回連続して hello メッセージを受信しないときは、フェールオーバー リンクを含む各データ インターフェイスでインターフェイス hello メッセージを送信し、ピアが応答するかどうかを検証します。ASAが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。

ASAがフェールオーバー リンクで応答を受信した場合は、フェールオーバーを行いません。

ASAがフェールオーバー リンクで応答を受信せず、データ インターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

ASAがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブ モードに切り替わり、相手装置を故障に分類します。

インターフェイスのモニタリング

最大 250 のインターフェイスをモニタできます(マルチ モードでは、すべてのコンテキスト間で分割)。重要なインターフェイスをモニタする必要があります。たとえばマルチ モードでは、共有インターフェイスをモニタするためのコンテキストを 1 つ設定できます。(インターフェイスが共有されているため、すべてのコンテキストがそのモニタリングでモニタされます)。

設定した保持時間が半分経過しても装置がモニタ対象のインターフェイスで hello メッセージを受信しない場合は、次のテストを実行します。

1. リンク アップ/ダウン テスト:インターフェイスのステータスのテスト。リンク アップ/ダウン テストでインターフェイスが動作していることが示された場合、ASAはネットワーク テストを実行します。一連のテストでは、障害が発生している装置を判別するためのネットワーク トラフィックが生成されます。各テストの開始時に、各装置はインターフェイスの受信パケット カウントをリセットします。各テストの終了時には、各装置はトラフィックを受信したかどうかをチェックします。トラフィックを受信していれば、インターフェイスは正常に動作していると見なされます。いずれか一方の装置だけがテスト用のトラフィックを受信している場合は、トラフィックを受信しなかった装置が故障していると見なされます。どちらの装置もトラフィックを受信しなかった場合は、次のテストが使用されます。

2. ネットワーク アクティビティ テスト:受信ネットワーク アクティビティ テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。トラフィックが受信されなかった場合、ARP テストが開始します。

3. ARP テスト:取得したエントリの最後の 2 つの装置 ARP キャッシュの読み取り。装置は、ネットワーク トラフィックを発生させるために、1 回に 1 つずつ、これらのマシンに ARP 要求を送信します。各要求後、装置は最大 5 秒間受信したトラフィックをすべてカウントします。トラフィックが受信されれば、インターフェイスは正常に動作していると見なされます。トラフィックが受信されなければ、ARP 要求が次のマシンに送信されます。リストの最後まで、まったくトラフィックが受信されなかった場合、ping テストが開始します。

4. ブロードキャスト ping テスト:ブロードキャスト ping 要求の送信で構成される ping テスト。装置は、最大 5 秒間、すべての受信パケット数をカウントします。この時間間隔の間にパケットが受信されると、インターフェイスが正常に動作しているものと見なされ、テストは停止します。

モニタ対象のインターフェイスには、次のステータスがあります。

[Unknown]:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

[Link Down]:インターフェイスまたは VLAN は管理のためにダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

インターフェイスに IPv4 および IPv6 アドレスが設定されている場合、ASAは IPv4 を使用してヘルス モニタリングを実行します。

インターフェイスに IPv6 アドレスだけが設定されている場合、ASAは ARP ではなく IPv6 ネイバー探索を使用してヘルス モニタリング テストを実行します。ブロードキャスト ping テストの場合、ASAは IPv6 全ノード アドレス(FE02::1)を使用します。

1 つのインターフェイスに対するネットワーク テストがすべて失敗したが、相手装置のこのインターフェイスが正常にトラフィックを渡し続けている場合、そのインターフェイスは故障していると見なされます。故障したインターフェイスがしきい値を超えている場合は、フェールオーバーが行われます。相手装置のインターフェイスもすべてのネットワーク テストに失敗した場合、両方のインターフェイスが「未知」状態になり、フェールオーバー制限に向けてのカウントは行いません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障したASAは、インターフェイス障害しきい値が満たされなくなった場合、スタンバイ モードに戻ります。


) 障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。


フェールオーバー時間

表 9-1 に、最小、デフォルト、最大フェールオーバー時間を示します。

 

表 9-1 ASAフェールオーバー時間

フェールオーバー条件
最小ハードウェア
Default
最大

アクティブ装置で電源断が生じる、または通常の動作が停止する。

800 ミリ秒

15 秒

45 秒

アクティブ装置のメインボード インターフェイス リンクがダウンする。

500 ミリ秒

5 秒

15 秒

アクティブ装置の 4GE モジュール インターフェイス リンクがダウンする。

2 秒

5 秒

15 秒

アクティブ装置の IPS または CSC モジュールに障害がある。

2 秒

2 秒

2 秒

アクティブ装置のインターフェイスは実行されているが、接続の問題によりインターフェイス テストを行っている。

5 秒

25 秒

75 秒

設定同期

フェールオーバーには、2 種類のコンフィギュレーション同期があります。

「コンフィギュレーションの複製の実行」

「コマンドの複製」

コンフィギュレーションの複製の実行

コンフィギュレーションの複製は、フェールオーバー ペアの一方または両方のデバイスのブート時に実行されます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。スタンバイ装置は、その初期スタートアップを完了すると、自分の実行コンフィギュレーションを削除し(アクティブ装置との通信に必要なフェールオーバー コマンドを除く)、アクティブ装置は自分のコンフィギュレーション全体をスタンバイ装置に送信します。

複製が開始されると、アクティブ装置のASAコンソールに「Beginning configuration replication: Sending to mate,」というメッセージが表示され、完了するとASAに「End Configuration Replication to mate.」というメッセージが表示されます。コンフィギュレーション サイズによって、複製は数秒から数分かかります。

スタンバイ装置の場合、コンフィギュレーションは実行メモリにだけ存在します。フラッシュ メモリにコンフィギュレーションを保存する必要があります。


) 複製の間は、アクティブ装置で入力したコマンドはスタンバイ装置に正しく複製ない可能性があり、スタンバイ装置で入力されたコマンドはアクティブ装置から複製されるコンフィギュレーションに上書きされる可能性があります。コンフィギュレーションの複製処理中に、いずれかの装置にコマンドを入力することは避けてください。



crypto ca server コマンドおよび関連するサブコマンドは、フェールオーバー ピアに同期化されません。



) コンフィギュレーションの同期は次のファイルと構成コンポーネントを複製しません。したがって、照合のためにはこれらのファイルを手動でコピーする必要があります。

AnyConnect イメージ

CSD イメージ

AnyConnect プロファイル

ローカル認証局(CA)

ASA イメージ

ASDM イメージ


 

コマンドの複製

スタートアップ後、アクティブ装置に入力したコマンドはただちにスタンバイ装置に複製されます。 コマンドを複製するために、アクティブ コンフィギュレーションをフラッシュ メモリに保存する必要はありません。

アクティブ/アクティブ フェールオーバーでは、システム実行スペースに入力した変更は、フェールオーバー グループ 1 がアクティブ状態である装置から複製されます。

コマンドの複製を行うのに適切な装置上で変更を入力しなかった場合は、コンフィギュレーションは非同期になります。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。

スタンバイ ASA に複製されるコマンドは、次のとおりです。

mode firewall 、および failover lan unit を除く、すべてのコンフィギュレーション コマンド

copy running-config startup-config

delete

mkdir

rename

rmdir

write memory

スタンバイASA に複製 されない コマンドは、次のとおりです。

copy running-config startup-config を除く、すべての形式の copy コマンド

write memory を除く、すべての形式の write コマンド

debug

failover lan unit

firewall

show

terminal pager および pager

アクティブ/スタンバイ フェールオーバーに関する情報

アクティブ/スタンバイ フェールオーバーでは、障害が発生した装置の機能を、スタンバイ ASA に引き継ぐことができます。アクティブ装置が故障すると、スタンバイ状態に変わり、そしてスタンバイ装置がアクティブ状態に変わります。


) マルチ コンテキスト モードの場合、ASAは装置全体(すべてのコンテキストを含む)をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーすることはできません。


「プライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス」

「起動時のアクティブ装置の判別」

「フェールオーバー イベント」

プライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス

フェールオーバー ペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がスタンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリである装置(コンフィギュレーションで指定)とセカンダリである装置との間で、いくつかの相違点があります。

両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。

プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。このルールの例外は、セカンダリ装置がアクティブであり、フェールオーバー リンク経由でプライマリ装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アドレスが使用されます。

起動時のアクティブ装置の判別

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。

装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。

両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。

フェールオーバー イベント

アクティブ/スタンバイ フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチ コンテキスト モードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

表 9-2 に、各障害イベントに対するフェールオーバー アクションを示します。この表には、各フェールオーバー イベントに対して、フェールオーバー ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

 

表 9-2 フェールオーバー動作

障害の状況
ポリシー(Policy)
アクティブ アクション
スタンバイ アクション
コメント

アクティブ装置が故障(電源またはハードウェア)

フェールオーバー

n/a

アクティブになる

アクティブに故障とマークする

モニタ対象インターフェイスまたはフェールオーバー リンクで hello メッセージは受信されません。

以前にアクティブであった装置の復旧

フェールオーバーなし

スタンバイになる

動作なし

なし。

スタンバイ装置が故障(電源またはハードウェア)

フェールオーバーなし

スタンバイに故障とマークする

n/a

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー リンクに故障とマークする

フェールオーバー リンクに故障とマークする

フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

フェールオーバー リンクに故障とマークする

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置がアクティブになります。

ステート リンクの障害

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

アクティブ装置におけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブに故障とマークする

アクティブになる

なし。

スタンバイ装置におけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイに故障とマークする

スタンバイ装置が故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブ装置はフェールオーバーを行いません。

アクティブ/アクティブ フェールオーバーに関する情報

この項では、アクティブ/アクティブ フェールオーバーについて説明します。この項では、次のトピックについて取り上げます。

「アクティブ/アクティブ フェールオーバーの概要」

「フェールオーバー グループのプライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス」

「フェールオーバーイベント」

アクティブ/アクティブ フェールオーバーの概要

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードのASAでのみ使用できます。アクティブ/アクティブ フェールオーバーでは、ASAのセキュリティ コンテキストを 2 つまでのフェールオーバー グループに分割します。

フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。フェールオーバー グループをプライマリASAでアクティブに割り当て、フェールオーバー グループ 2 をセカンダリASAでアクティブに割り当てることができます。フェールオーバーが行われる場合は、フェールオーバー グループ レベルで行われます。たとえば、インターフェイス障害パターンに応じて、フェールオーバー グループ 1 をセカンダリASAにフェールオーバーし、続いてフェールオーバー グループ 2 をプライマリASAにフェールオーバーすることができます。このイベントは、プライマリASAでフェールオーバー グループ 1 のインターフェイスがダウンしたがセカンダリASAではアップしており、セカンダリASAでフェールオーバー グループ 2 のインターフェイスがダウンしたがプライマリASAではアップしている場合に発生する可能性があります。

管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバです。アクティブ/アクティブ フェールオーバーが必要であるが複数のコンテキストでは必要でない場合、最もシンプルな設定は追加コンテキストを 1 つ追加し、それをフェールオーバー グループ 2 に割り当てることです。


) アクティブ/アクティブ フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。



) 必要に応じて両方のフェールオーバー グループを 1 つの ASA に割り当てることもできますが、この場合、アクティブな ASA を 2 つ持つというメリットはありません。


フェールオーバー グループのプライマリ/セカンダリ ロールとアクティブ/スタンバイ ステータス

アクティブ/スタンバイ フェールオーバーの場合のように、アクティブ/アクティブ フェールオーバー ペアの一方の装置がプライマリ装置に指定され、もう一方の装置がセカンダリ装置に指定されます。アクティブ/スタンバイ フェールオーバーの場合とは異なり、両方の装置が同時に起動された場合、この指定ではどちらの装置がアクティブになるか指示しません。代わりに、プライマリまたはセカンダリの指定時に、次の 2 つの点を判定します。

プライマリ装置はペアで同時に起動すると実行コンフィギュレーションを提供します。

コンフィギュレーションの各フェールオーバー グループは、プライマリまたはセカンダリ装置プリファレンスが設定されます。

起動時のフェールオーバー グループのアクティブ装置の決定

フェールオーバー グループがアクティブになる装置は、次のように決定されます。

ピア装置が使用できないときに装置がブートされると、両方のフェールオーバー グループがピア装置でアクティブになります。

ピア装置がアクティブ(両方のフェールオーバー グループがアクティブ状態)の場合に装置がブートされると、フェールオーバー グループは、アクティブ装置でアクティブ状態のままになります。これは、次のいずれかの状態になるまで、フェールオーバー グループのプライマリ プリファレンスまたはセカンダリ プリファレンスには関係ありません。

フェールオーバーが発生した。

手動でフェールオーバーを強制実行した。

フェールオーバー グループにプリエンプションを設定した。この設定により、優先する装置が使用可能になると、フェールオーバー グループはその装置上で自動的にアクティブになります。

同時に両方の装置がブートされると、コンフィギュレーションが同期化された後、各フェールオーバー グループは優先する装置上でアクティブになります。

フェールオーバーイベント

アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバー グループごとに行われます。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定し、フェールオーバー グループ 1 が故障すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。

フェールオーバー グループには複数のコンテキストを含めることができ、また各コンテキストには複数のインターフェイスを含めることができるので、1 つのコンテキストのインターフェイスがすべて故障しても、そのコンテキストに関連するフェールオーバー グループが故障と判断されない可能性があります。

表 9-3 に、各障害イベントに対するフェールオーバー アクションを示します。各障害イベントに対して、ポリシー(フェールオーバーまたはフェールオーバーなし)、アクティブ フェールオーバー グループのアクション、およびスタンバイ フェールオーバー グループのアクションを示します。

 

表 9-3 アクティブ/アクティブ フェールオーバーのフェールオーバー動作

障害の状況
ポリシー(Policy)
アクティブ グループのアクション
スタンバイ グループのアクション
コメント

装置で電源断またはソフトウェア障害が発生した

フェールオーバー

スタンバイになり、故障とマークする

アクティブになる

アクティブに故障とマークする

フェールオーバー ペアの装置が故障すると、その装置のアクティブ フェールオーバー グループはすべて故障とマークされ、ピア装置のフェールオーバー グループがアクティブになります。

アクティブ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバー

アクティブ グループに故障とマークする

アクティブになる

なし。

スタンバイ フェールオーバー グループにおけるしきい値を超えたインターフェイス障害

フェールオーバーなし

動作なし

スタンバイ グループに故障とマークする

スタンバイ フェールオーバー グループが故障とマークされている場合、インターフェイス フェールオーバー障害しきい値を超えても、アクティブ フェールオーバー グループはフェールオーバーを行いません。

以前にアクティブであったフェールオーバー グループの復旧

フェールオーバーなし

動作なし

動作なし

フェールオーバー グループのプリエンプションが設定されている場合を除き、フェールオーバー グループは現在の装置でアクティブのままです。

スタートアップ時にフェールオーバー リンクに障害が発生した

フェールオーバーなし

アクティブになる

アクティブになる

スタートアップ時にフェールオーバー リンクがダウンしていると、両方の装置の両方のフェールオーバー グループがアクティブになります。

ステート リンクの障害

フェールオーバーなし

動作なし

動作なし

ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。

動作中にフェールオーバー リンクに障害が発生した

フェールオーバーなし

n/a

n/a

各装置で、フェールオーバー リンクが故障とマークされます。フェールオーバー リンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバー リンクを復元する必要があります。

フェールオーバーのライセンス要件

Active/Standby フェールオーバー

 

モデル
ライセンス要件

ASA 5505

Security Plus ライセンス (ステートフル フェールオーバーはサポートされません)。

ASA 5510、ASA 5512-X

Security Plus ライセンス

他のすべてのモデル

基本ライセンス

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。このルールの例外は次のとおりです。

ASA 5505、5510、および 5512-X の Security Plus ライセンスの場合:基本ライセンスはフェールオーバーをサポートしないため、基本ライセンスのみを保持するスタンバイ ユニットではフェールオーバーをイネーブルにできません。

ASA 5500-X の IPS モジュール ライセンスの場合:他のモデルで各装置のハードウェア モジュールを購入する必要があるのと同様、各装置用の IPS モジュール ライセンスを購入する必要があります。

暗号化ライセンス:両方のユニットに同じ暗号化ライセンスが必要です。

アクティブ/アクティブ フェールオーバー

 

モデル
ライセンス要件

ASA 5505

サポートしない

ASA 5510、ASA 5512-X

Security Plus ライセンス

他のすべてのモデル

基本ライセンス

フェールオーバー ユニットは、各ユニット上で同一のライセンスを必要としません。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバー クラスタ ライセンスに結合されます。このルールの例外は次のとおりです。

ASA 5510 および 5512-X の Security Plus ライセンスの場合:基本ライセンスはフェールオーバーをサポートしないため、基本ライセンスのみを保持するスタンバイ ユニットではフェールオーバーをイネーブルにできません。

ASA 5500-X の IPS モジュール ライセンスの場合:他のモデルで各装置のハードウェア モジュールを購入する必要があるのと同様、各装置用の IPS モジュール ライセンスを購入する必要があります。

暗号化ライセンス:両方のユニットに同じ暗号化ライセンスが必要です。

フェールオーバーの前提条件

「フェールオーバーのシステム要件」を参照してください。

注意事項と制約事項

フェールオーバーの自動更新のガイドラインについては、を参照してください。

コンテキスト モードのガイドライン

アクティブ/スタンバイ モードは、シングル コンテキスト モードとマルチ コンテキスト モードでサポートされています。

アクティブ/アクティブ モードは、マルチ コンテキスト モードでのみサポートされます。

マルチ コンテキスト モードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

ASA フェールオーバー複製は、複数のコンテキストで設定を同時に変更しようとすると、失敗します。回避策は、各コンテキストで順番に設定変更を行うことです。

ファイアウォール モードのガイドライン

トランスペアレント ファイアウォール モードおよびルーテッド ファイアウォール モードでサポートされます。

IPv6 のガイドライン

IPv6 がサポートされます。

モデルのガイドライン

ステートフル フェールオーバーは、ASA 5505 ではサポートされていません。その他のガイドラインについては、「フェールオーバーのライセンス要件」を参照してください。

その他のガイドラインと制限事項

ASA フェールオーバー ペアに接続されたスイッチ上でポート セキュリティを設定すると、フェールオーバー イベントが発生したときに通信の問題が起きることがあります。この問題は、あるセキュア ポートで設定または学習されたセキュア MAC アドレスが別のセキュア ポートに移動し、スイッチのポート セキュリティ機能によって違反フラグが付けられた場合に発生します。

すべてのコンテキストにわたり、1 台の装置で最大 250 のインターフェイスをモニタできます。

アクティブ/アクティブ フェールオーバーでは、同じコンテキスト内の 2 個のインターフェイスを同じ ASR グループ内で設定する必要はありません。

アクティブ/アクティブ フェールオーバーでは、最大 2 個のフェールオーバー グループを定義できます。

アクティブ/アクティブ フェールオーバーでは、フェールオーバー グループを削除する場合は、フェールオーバー グループ 1 を最後に削除します。フェールオーバー グループ 1 には常に管理コンテキストが含まれます。フェールオーバー グループに割り当てられていないコンテキストはすべて、デフォルトでフェールオーバー グループ 1 になります。コンテキストが明示的に割り当てられているフェールオーバー グループは削除できません。

アクティブ/スタンバイ フェールオーバーの設定

「アクティブ/スタンバイ フェールオーバー ペアの設定」

アクティブ/スタンバイ フェールオーバー ペアの設定

High Availability and Scalability Wizard を使用して、手順を踏んでアクティブ/スタンバイ フェールオーバー コンフィギュレーションを作成することができます。

「詳細手順 1:ウィザードの開始」

「詳細手順 2:フェールオーバー ピアの接続および互換性のチェック」

「詳細手順 3:LAN リンクの設定」

「詳細手順 4:ステート リンクの設定」

「詳細手順 5:スタンバイ アドレスの設定」

「詳細手順 6:概要」

詳細手順 1:ウィザードの開始


ステップ 1 [Wizards] > [High Availability and Scalability] の順に選択します。

 

ステップ 2 [Configuration Type] 画面で [Configure Active/Standby failover] を選択し、[Next] をクリックします。

[Failover Peer Connection and Compatibility] 画面が表示されます。「詳細手順 2:フェールオーバー ピアの接続および互換性のチェック」を参照してください。


 

詳細手順 2:フェールオーバー ピアの接続および互換性のチェック


ステップ 1 [Peer IP Address] フィールドに、ピア装置の IP アドレスを入力します。このアドレスは、ASDM アクセスがイネーブルになっているインターフェイスである必要があります。

デフォルトでは、ピア アドレスは ASDM 管理インターフェイスのスタンバイ アドレスに割り当てられます。

 

ステップ 2 [Next] をクリックして、接続テストおよび互換性テストを実行します。ピア装置にログインするように促されます。

テストが成功すると、[LAN Link Configuration] 画面が表示されます。「詳細手順 3:LAN リンクの設定」を参照してください。

テストが 1 つでも失敗すると、エラー ダイアログボックスが表示されます。

 

[OK] をクリックすると、どのテストが失敗したかが表示されている互換性チェック画面に戻ります。[Cancel] をクリックしてウィザードを終了し、問題を解決して再試行します。

 


 

詳細手順 3:LAN リンクの設定


ステップ 1 フェールオーバー リンク パラメータを設定します。

 

a. [Interface]:フェールオーバー通信に使用するインターフェイスを選択します。

b. [Logical Name]:インターフェイスの名前を入力します。

c. [Active IP Address]:プライマリ装置のフェールオーバー リンクに使用する IP アドレスを入力します。

d. [Standby IP Address]:アクティブ IP アドレスと同じネットワーク上のセカンダリ装置のフェールオーバー リンクに使用する IP アドレスを入力します。

e. [Subnet Mask]:アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力または選択します。

f. (ASA 5505 のみ)[Switch Port]:スイッチ ポートをドロップダウン リストから選択します。このドロップダウン リストには、各スイッチ ポートに割り当てられている現在の VLAN とその VLAN に関連付けられたすべての名前が含まれています。デフォルトでは VLAN 1 は内部インターフェイスであるため、別の VLAN を選択する必要があります。


) フェールオーバーに十分な帯域幅を確保するためにも、フェールオーバーにトランクまたは PoE は使用しないでください。


g. (任意)通信の暗号化:フェールオーバー リンクの通信を暗号化します。次のいずれかのオプションを使用します。

IPsec 事前共有キー(優先):フェールオーバー装置間のフェールオーバー リンクで IPSec LAN-to-LAN トンネルを確立するために IKEv2 によって使用される事前共有キーです。注:フェールオーバー LAN-to-LAN トンネルは、IPSec(他の VPN)ライセンスには適用されません。

[Secret Key]:フェールオーバー通信の暗号化に使用される秘密キーを入力します。このフィールドを空白のままにした場合は、コマンド複製中に送信されるコンフィギュレーション内のパスワードまたはキーを含め、フェールオーバー通信がクリア テキストになります。

32 文字の 16 進文字キーを使用します。秘密キーに 32 文字の 16 進キーを使用するには、このチェックボックスをチェックします。

ステップ 2 [Next] をクリックします。

[State Link Configuration] 画面が表示されます。「詳細手順 4:ステート リンクの設定」を参照してください。


 

詳細手順 4:ステート リンクの設定


ステップ 1 ステート リンク用の次のオプションの 1 つを選択します。

 

[Disable Stateful Failover]:ステートフル フェールオーバーをディセーブルにします。

[Use the LAN link as the State Link]:フェールオーバー リンク間で状態情報を渡します。

[Configure another interface for Stateful failover]:未使用インターフェイスをステート リンクとして設定します。

ステップ 2 ステートフル フェールオーバーに別のインターフェイスを選択する場合、次のパラメータを設定します。

a. [State interface]:未使用のインターフェイスを選択します。

b. [Logical Name]:ステート リンクの名前を入力します。

c. [Active IP Address]:プライマリ装置のステート リンク用の IP アドレスを入力します。このアドレスはフェールオーバー リンクとは別のネットワーク上にある必要があります。

d. [Standby IP Address]:アクティブ IP アドレスと同じネットワーク上のセカンダリ装置のステート リンクの IP アドレスを入力します。

e. [Subnet Mask]:アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力または選択します。

ステップ 3 [Next] をクリックします。

[Standby Address Configuration] 画面が表示されます。「詳細手順 5:スタンバイ アドレスの設定」を参照してください。


 

詳細手順 5:スタンバイ アドレスの設定


ステップ 1 ASAのデータ インターフェイスにスタンバイ IP アドレスを割り当てます。現在設定されているインターフェイスが表示されます。

デフォルトでは、[Failover Peer Connectivity and Compatibility] 画面で指定したピア アドレスが、ASDM 管理インターフェイスのスタンバイ アドレスに割り当てられます。

データ インターフェイスの設定を後でする場合は、スタンバイ IP アドレスをその時点で割り当てるか、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブを指定します(「インターフェイスのスタンバイ アドレスの設定」を参照)。

 

a. アクティブ IP アドレスを編集または追加するには、[Active IP Address] フィールドを選択します。

b. スタンバイ IP アドレスを編集または追加するには、[Standby IP Address] フィールドを選択します。

c. サブネット マスクまたはプレフィックス長を編集するには、[Subnet Mask/Prefix Length] フィールドを選択します。

d. [Monitored] チェックボックスをオンにすると、このインターフェイスのヘルス モニタリングがイネーブルになります。チェックボックスをオフにすると、ヘルス モニタリングがディセーブルになります。デフォルトでは、物理インターフェイスのヘルス モニタリングはイネーブルに、サブインターフェイスのヘルス モニタリングはディセーブルになっています。

ステップ 2 [Next] をクリックします。

[Summary] 画面が表示されます。「詳細手順 6:概要」を参照してください。


 

詳細手順 6:概要


ステップ 1 設定を確認して [Finish] をクリックすると、設定内容がプライマリ装置に送信されます。

 

ウィザードが [Waiting for Config Sync] 画面を示します。

 

指定された期間終了後に、ウィザードはセカンダリ装置にフェールオーバー設定を送信し、フェールオーバー設定が完了したことを示す情報画面が表示されます。

フェールオーバーがセカンダリ装置でイネーブルになっているかどうかわからない場合は、指定した時間だけ待ちます。

フェールオーバーがすでにイネーブルなことがわかっている場合は、[Skip configuring peer] をクリックします。

セカンダリ装置でフェールオーバーがイネーブルでないことがわかっている場合は、[Stop waiting xx more seconds] をクリックすると、フェールオーバーのブートストラップ設定はすぐにセカンダリ装置に送信されます。

ステップ 2 [OK] をクリックします。


 

アクティブ/アクティブ フェールオーバーの設定

ここでは、アクティブ/アクティブ フェールオーバーの設定方法について説明します。この項では、次のトピックについて取り上げます。

「アクティブ/アクティブ フェールオーバー ペアの設定」

アクティブ/アクティブ フェールオーバー ペアの設定

High Availability and Scalability Wizard を使用して、手順を踏んでアクティブ/アクティブ フェールオーバー コンフィギュレーションを作成することができます。

「詳細手順 1:ウィザードの開始」

「詳細手順 2:フェールオーバー ピアの接続および互換性のチェック」

「詳細手順 3:セキュリティ コンテキストの設定」

「詳細手順 4:LAN リンクの設定」

「詳細手順 5:ステート リンクの設定」

「詳細手順 6:スタンバイ アドレスの設定」

「詳細手順 7:概要」

詳細手順 1:ウィザードの開始


ステップ 1 [Wizards] > [High Availability and Scalability] の順に選択します。

 

ステップ 2 [Configuration Type] 画面で、[Configure Active/Active failover] を選択し、[Next] をクリックします。

デバイスがすでにマルチ コンテキスト モードになっている場合は、[Failover Peer Connectivity and Compatibility] 画面が表示されます。

デバイスがまだマルチ コンテキスト モードになっていないは、[Wrong Firewall Mode] ダイアログボックスが表示されます。ウィザード内でモードを変更する場合は [Yes] をクリックし、ウィザードを終了するには [No] をクリックします。[Yes] をクリックすると、[Configuration Type] 画面に戻ります。[Next] をクリックします。[Failover Peer Connection and Compatibility] 画面が表示されます。マルチ コンテキスト モードの詳細については、を参照してください。

 

「詳細手順 2:フェールオーバー ピアの接続および互換性のチェック」を参照してください。


 

詳細手順 2:フェールオーバー ピアの接続および互換性のチェック


ステップ 1 [Peer IP Address] フィールドに、ピア装置の IP アドレスを入力します。このアドレスは、ASDM アクセスがイネーブルになっているインターフェイスである必要があります。

デフォルトでは、ピア アドレスは、ASDM の接続先インターフェイスのスタンバイ アドレスに割り当てられます。

 

ステップ 2 [Next] をクリックして、次の接続テストおよび互換性テストを実行します。

ASDM からピア装置への接続テスト

ファイアウォール デバイスからピア ファイアウォール デバイスへの接続テスト

プラットフォームのハードウェア互換性テスト

ソフトウェア バージョンの互換性

フェールオーバー ライセンスの互換性

ファイアウォール モードの互換性(ルーテッドまたはトランスペアレント)

コンテキスト モードの互換性(シングルまたはマルチ)

ステップ 3 ピア装置にログインするように促されます。

マルチ コンテキスト モードに変更する必要がある場合は、[Wrong Firewall Mode] ダイアログボックスが表示されます。

 

モードを変更して両方の装置をリロードする場合は、[Yes] をクリックします。ASDM が装置のリロードを待つ間、[Status] ダイアログボックスにカウント ダウンが表示されます。

 

カウント ダウンが終了すると、ASDM はプライマリ装置に再接続し、[Faileover Peer Connectivity and Compatibility] 画面に戻ります。[Next] をクリックして、互換性を再確認します。

テストが成功すると、[Security Context Configuration] 画面が表示されます。「詳細手順 3:セキュリティ コンテキストの設定」を参照してください。

テストが 1 つでも失敗すると、エラー ダイアログボックスが表示されます。

 

[OK] をクリックすると、テストが失敗したことが表示されている互換性チェック画面に戻ります。[Cancel] をクリックしてウィザードを終了し、問題を解決して再試行します。

 


 

詳細手順 3:セキュリティ コンテキストの設定


ステップ 1 既存のコンテキストに対して、フェールオーバー グループ(1 または 2)を設定することもできます。ウィザード内でマルチ コンテキスト モードに変換した場合、管理コンテキストだけが表示されます。ウィザードを終了してからも、他のコンテキストを追加できます。

 

ステップ 2 [Next] をクリックします。

[LAN Link Configuration] 画面が表示されます。「詳細手順 4:LAN リンクの設定」を参照してください。


 

詳細手順 4:LAN リンクの設定


ステップ 1 フェールオーバー リンク パラメータを設定します。

 

a. [Interface]:フェールオーバー通信に使用するインターフェイスを選択します。

b. [Logical Name]:インターフェイスの名前を入力します。

c. [Active IP Address]:プライマリ装置のフェールオーバー リンクに使用する IP アドレスを入力します。

d. [Standby IP Address]:セカンダリ装置のフェールオーバー リンクに使用する IP アドレスを入力します。

e. [Subnet Mask]:アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力または選択します。

f. (任意)通信の暗号化:フェールオーバー リンクの通信を暗号化します。次のいずれかのオプションを使用します。

IPsec 事前共有キー(優先):フェールオーバー装置間のフェールオーバー リンクで IPSec LAN-to-LAN トンネルを確立するために IKEv2 によって使用される事前共有キーです。注:フェールオーバー LAN-to-LAN トンネルは、IPSec(他の VPN)ライセンスには適用されません。

[Secret Key]:フェールオーバー通信の暗号化に使用される秘密キーを入力します。このフィールドを空白のままにした場合は、コマンド複製中に送信されるコンフィギュレーション内のパスワードまたはキーを含め、フェールオーバー通信がクリア テキストになります。

32 文字の 16 進文字キーを使用します。秘密キーに 32 文字の 16 進キーを使用するには、このチェックボックスをチェックします。

ステップ 2 [Next] をクリックします。

[State Link Configuration] 画面が表示されます。「詳細手順 5:ステート リンクの設定」を参照してください。


 

詳細手順 5:ステート リンクの設定


ステップ 1 ステート リンク用の次のオプションの 1 つを選択します。

 

[Disable Stateful Failover]:ステートフル フェールオーバーをディセーブルにします。

[Use the LAN link as the State Link]:フェールオーバー リンク間で状態情報を渡します。

[Configure another interface for Stateful failover]:未使用インターフェイスをステート リンクとして設定します。

ステップ 2 ステートフル フェールオーバーに別のインターフェイスを選択する場合、次のパラメータを設定します。

a. [State interface]:未使用のインターフェイスを選択します。

b. [Logical Name]:ステート リンクの名前を入力します。

c. [Active IP Address]:プライマリ装置のステート リンク用の IP アドレスを入力します。

d. [Standby IP Address]:セカンダリ装置のステート リンク用の IP アドレスを入力します。

e. [Subnet Mask]:アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力または選択します。

ステップ 3 [Next] をクリックします。

[Standby Address Configuration] 画面が表示されます。「詳細手順 6:スタンバイ アドレスの設定」を参照してください。


 

詳細手順 6:スタンバイ アドレスの設定


ステップ 1 ASAのインターフェイスにスタンバイ IP アドレスを割り当てます。フェールオーバー装置上に現在設定されているインターフェイスが表示されます。

デフォルトでは、[Failover Peer Connectivity and Compatibility] 画面で指定したピア アドレスが、ASDM が接続されるインターフェイスのスタンバイ アドレスに割り当てられます。

 

a. アクティブ IP アドレスを編集または追加するには、[Active IP Address] フィールドを選択します。また、このフィールドに移動すると、フェールオーバー ピア装置上の対応するインターフェイスが [Standby IP] フィールドに表示されます。

b. スタンバイ IP アドレスを編集または追加するには、[Standby IP Address] フィールドを選択します。また、このフィールドに移動すると、フェールオーバー ピア装置上の対応するインターフェイスが [Active IP] フィールドに表示されます。

c. サブネット マスクまたはプレフィックス長を編集するには、[Subnet Mask/Prefix Length] フィールドを選択します。

d. [Monitored] チェックボックスをオンにすると、このインターフェイスのヘルス モニタリングがイネーブルになります。チェックボックスをオフにすると、ヘルス モニタリングがディセーブルになります。デフォルトでは、物理インターフェイスのヘルス モニタリングはイネーブルに、サブインターフェイスのヘルス モニタリングはディセーブルになっています。

ステップ 2 [Next] をクリックします。

[Summary] 画面が表示されます。「詳細手順 7:概要」を参照してください。


 

詳細手順 7:概要


ステップ 1 設定を確認して [Finish] をクリックすると、設定内容がプライマリ デバイスに送信されます。

 

ウィザードが [Waiting for Config Sync] 画面を示します。指定された期間終了後に、ウィザードはセカンダリ装置にフェールオーバー設定を送信し、フェールオーバー設定が完了したことを示す情報画面が表示されます。

フェールオーバーがセカンダリ装置でイネーブルになっているかどうかわからない場合は、指定した時間だけ待ちます。

フェールオーバーがすでにイネーブルなことがわかっている場合は、[Skip configuring peer] をクリックします。

セカンダリ装置でフェールオーバーがイネーブルでないことがわかっている場合は、[Stop waiting xx more seconds] をクリックすると、フェールオーバーのブートストラップ設定はすぐにセカンダリ装置に送信されます。

 

ステップ 2 [OK] をクリックします。


 

任意選択フェールオーバー パラメータの設定

「任意選択アクティブ/スタンバイ フェールオーバー パラメータの設定」

「オプションのアクティブ/アクティブ フェールオーバー設定値の設定」

任意選択アクティブ/スタンバイ フェールオーバー パラメータの設定

デフォルトでは、フェイルオーバー ポリシーは次のコンポーネントで構成されています。

ステートフル フェールオーバーでの HTTP 複製はありません。

すべての物理インターフェイス、また ASA 5505 およびASASMではすべての VLAN インターフェイスをモニタリング。

単一のインターフェイス障害でフェールオーバーが行われます。

インターフェイスのポーリング時間は 5 秒です。

インターフェイスのホールド時間は 25 秒です。

装置のポーリング時間は 1 秒です。

装置のホールド時間は 15 秒です。

仮想 MAC アドレスは、マルチ コンテキスト モードでイネーブルです。シングル コンテキスト モードでは、ディセーブルです。

必要に応じて、これらの設定をカスタマイズできます。

「インターフェイス モニタリングのディセーブル化とイネーブル化」

「フェールオーバー基準の設定」

「装置およびインターフェイスのヘルス ポーリング時間の設定」

「仮想 MAC アドレスの設定」

インターフェイス モニタリングのディセーブル化とイネーブル化

シングル コンフィギュレーション モードの装置の特定のインターフェイスについて、ヘルス モニタリングをイネーブルまたはディセーブルにするには、次のコマンドのいずれかを入力します。または、マルチ コンフィギュレーション モードの装置の場合は、各セキュリティ コンテキストでコマンドを入力する必要があります。

インターフェイスのモニタリングをディセーブルまたはイネーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブを選択します。

設定済みのインターフェイスのリストが表示されます。[Monitored] カラムに、フェールオーバー基準の一部としてインターフェイスがモニタされているかどうかが表示されます。モニタされている場合は、[Monitored] チェックボックスがオンになっています。

ステップ 2 表示されているインターフェイスのモニタリングをディセーブルにするには、インターフェイスの [Monitored] チェックボックスをオフにします。

ステップ 3 表示されているインターフェイスのモニタリングをイネーブルにするには、インターフェイスの [Monitored] チェックボックスをオンにします。


 

フェールオーバー基準の設定

インターフェイス数またはモニタされているインターフェイスの割合を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。

[Configuration] > [Device Management] > [High Availability] > [Criteria] タブを使用して、障害が発生するときのインターフェイスの数、ポーリング間に待機する時間など、フェールオーバーの基準を定義します。保持時間では、装置がフェールオーバーする前にポーリングへの応答を受信しないまま待機する間隔が指定されます。

保持時間とポーリング時間を設定する方法の詳細については、「装置およびインターフェイスのヘルス ポーリング時間の設定」を参照してください。

インターフェイス ポリシーを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Critical] タブを選択します。

ステップ 2 [Interface Policy] 領域で、次のいずれかの操作を実行します。

フェールオーバーをトリガーする基準となる、障害が発生したインターフェイスの数を定義するには、[Number of failed interfaces] フィールドに 1 ~ 250 の数を入力します。障害が発生したモニタ対象インターフェイスの数が指定した値を超えると、ASA はフェールオーバーします。

フェールオーバーをトリガーする基準となる、障害が発生した設定済みインターフェイスの割合を定義するには、[Percentage of failed interfaces] フィールドに割合を入力します。障害が発生したモニタ対象インターフェイスの数が設定した割合を超えると、ASA はフェールオーバーします。

ステップ 3 [Apply] をクリックします。


 

装置およびインターフェイスのヘルス ポーリング時間の設定

ASAは、各データ インターフェイスから hello パケットを送信して、インターフェイス ヘルスをモニタします。アプライアンスは、フェールオーバー リンクを通して hello メッセージを送信し、装置ヘルスをモニタします。保持時間の半分以上が経過してもASAがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のインターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイスの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。

ポーリング時間および保持時間を短縮すると、ASA はインターフェイスの障害に対してより迅速な検出と応答を実行できますが、多くのシステム リソースを消費することがあります。ポーリング時間と保持時間を延長すると、ASAがネットワーク上でフェールオーバーし、長時間の遅延が発生するのを防止できます。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Critical] タブを選択します。

ステップ 2 インターフェイスのポーリング時間と保持時間を設定するには、[Failover Poll Times] 領域で次の値を変更します。

[Monitored Interfaces]:インターフェイス間でのポーリングの間の時間。範囲は 1 ~ 15 秒または 500 ~ 999 ミリ秒です。

[Interface Hold Time]:データ インターフェイスがそのデータ インターフェイス上で Hello メッセージを受信し、その後ピアの障害発生が宣言される時間を設定します。有効な値は 5 ~ 75 秒です。

ステップ 3 装置のポーリング時間と保持時間を設定するには、[Failover Poll Times] 領域で次の値を変更します。

[Unit Failover]:装置間の Hello メッセージの間の時間。範囲は 1 ~ 15 秒または 200 ~ 999 ミリ秒です。

[Unit Hold Time]:装置がフェールオーバー リンク上で Hello メッセージを受信する必要がある時間(それ以外の場合は、装置がピアの障害のテスト プロセスを開始する)を設定します。範囲は 1 ~ 45 秒または 800 ~ 999 ミリ秒です。ポーリング時間の 3 倍より少ない値は入力できません。

ステップ 4 [Apply] をクリックします。


 

仮想 MAC アドレスの設定

[Configuration] > [Device Management] > [High Availability] > [MAC Addresses] タブには、アクティブ/スタンバイ フェールオーバー ペアのインターフェイスの仮想 MAC アドレスが表示されます。


) このタブは、ASA 5505 プラットフォームでは使用できません。


アクティブ/スタンバイ フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを使用しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステート リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


インターフェイスの仮想 MAC アドレスを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [MAC Addresses] タブを開きます。

ステップ 2 既存の仮想 MAC アドレス エントリを編集するには、MAC アドレスを変更するインターフェイスの行をダブルクリックします。新しい仮想 MAC アドレス エントリを追加するには、[Add] をクリックします。

[Add/Edit Interface MAC Address] ダイアログボックスが表示されます。

ステップ 3 アクティブ インターフェイスの新しい MAC アドレスを [Active MAC Address] フィールドに入力します。

ステップ 4 スタンバイ インターフェイスの新しい MAC アドレスを [Standby MAC Address] フィールドに入力します。

ステップ 5 [OK] をクリックします。

ステップ 6 仮想 MAC アドレス エントリを削除するには、次の手順を実行します。

a. インターフェイスをクリックして、テーブル行を選択します。

b. [Delete] をクリックします。

c. [OK] をクリックします。


 

オプションのアクティブ/アクティブ フェールオーバー設定値の設定

次のオプションのアクティブ/アクティブ フェールオーバー設定値は、最初にフェールオーバーを設定するときでも、フェールオーバーがすでに設定された後でも設定できます。特に指定のない限り、コマンドは、フェールオーバー グループ 1 がアクティブ状態の装置で入力する必要があります。

この項では、次のトピックについて取り上げます。

「アクティブ/アクティブ フェールオーバー パラメータの設定」

「非対称ルーティング パケットのサポートの設定」

[Failover](マルチ モード、セキュリティ コンテキスト)

マルチ コンテキスト モードの [Failover] ペインに表示されるフィールドは、コンテキストがトランスペアレント ファイアウォール モードであるか、ルーテッド ファイアウォール モードであるかによって変わります。

この項では、次のトピックについて取り上げます。

[Failover]:[Routed]

[Failover]:[Transparent]

[Failover]:[Routed]

このペインを使用して、セキュリティ コンテキストの各インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスを監視するかどうかを指定します。

フィールド

[Interface table]:ASAのインターフェイスを一覧表示し、そのアクティブ IP アドレス、スタンバイ IP アドレス、モニタリング ステータスを示します。

[Interface Name column]:インターフェイス名を示します。

[Active IP column]:このインターフェイスのアクティブ IP アドレスを示します。

[Standby IP Address]:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。

[Is Monitored column]:このインターフェイスの障害を監視するかどうかを指定します。

[Edit]:選択したインターフェイスの Edit Failover Interface Configuration ダイアログボックスを表示します。

Edit Failover Interface Configuration

[Edit Failover Interface Configuration] ダイアログボックスは、インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスをモニタするかどうかを指定する場合に使用します。

フィールド

[Interface Name]:インターフェイス名を示します。

[Active IP Address]:このインターフェイスの IP アドレスを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Subnet Mask]/[Prefix Length]:このインターフェイスのマスク(IPv4 アドレスの場合)またはプレフィックス(IPv6 アドレスの場合)を示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Standby IP Address]:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Monitor interface for failure]:このインターフェイスの障害を監視するかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。モニタ対象のインターフェイスには、次のステータスがあります。

[Unknown]:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

[Link Down]:インターフェイスは管理上ダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

[Failover]:[Transparent]

このペインを使用して、セキュリティ コンテキストの管理インターフェイスのスタンバイ IP アドレスを定義し、セキュリティ コンテキストのインターフェイスのステータスを監視するかどうかを指定します。

フィールド

[Interface]:セキュリティ コンテキストのインターフェイスを一覧表示し、そのモニタリング ステータスを示します。

[Interface Name]:インターフェイス名を示します。

[Is Monitored]:このインターフェイスの障害を監視するかどうかを指定します。

[Edit]:選択したインターフェイスの Edit Failover Interface Configuration ダイアログボックスを表示します。

[Management IP Address]:セキュリティ コンテキストのアクティブおよびスタンバイ管理 IP アドレスを示します。

[Active]:アクティブ フェールオーバー装置の管理 IP アドレスを示します。

[Standby]:スタンバイ フェールオーバー装置の管理 IP アドレスを指定します。

[Management Netmask]:管理アドレスに関連付けられたマスクを示します。

Edit Failover Interface Configuration

[Edit Failover Interface Configuration] ダイアログボックスを使用して、インターフェイスのステータスを監視するかどうかを指定します。

フィールド

[Interface Name]:インターフェイス名を示します。

[Monitor interface for failure]:このインターフェイスの障害を監視するかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。モニタ対象のインターフェイスには、次のステータスがあります。

[Unknown]:初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。

[Link Down]:インターフェイスは管理上ダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスではトラフィックを受信していませんが、ピア インターフェイスではトラフィックを検出しています。

[Failover](マルチ モード、システム)

このペインには、マルチ コンテキスト モードの ASA の、システム コンテキストでのシステムレベル フェールオーバー設定を行うためのタブが含まれます。マルチ モードでは、Active/Standby フェールオーバーまたは Active/Active フェールオーバーを設定できます。アクティブ/アクティブ フェールオーバーは、デバイス マネージャでフェールオーバー グループを作成するときに、自動的にイネーブルになります。どちらのタイプのフェールオーバーの場合も、システム コンテキストでのシステムレベル フェールオーバー設定、および個々のセキュリティ コンテキストでのコンテキストレベル フェールオーバー設定を入力する必要があります。

詳細については、次の項目も参照してください。

[Failover] > [Setup] タブ

[Failover] > [Criteria] タブ

[Failover] > [Active/Active] タブ

[Failover] > [MAC Addresses] タブ

[Failover] > [Setup] タブ

このタブを使用して、マルチ コンテキスト モードのASAでフェールオーバーをイネーブルにします。また、ステートフル フェールオーバーを使用している場合、このタブではフェールオーバー リンクおよびステート リンクも指定できます。


) ASAでの正常なフェールオーバー イベントでは、インターフェイスがダウンして、ロールが切り替えられ(IP アドレスおよび MAC アドレスが切り替えられます)、次にインターフェイスが再びアップします。ただし、このプロセスはユーザには意識されません。ASAは、フェールオーバー中にインターフェイスがダウンしたことをユーザに通知するためにリンクダウン メッセージやシステム ログ メッセージを送信する(またはフェールオーバー プロセスによってインターフェイスがアップしたことを通知するためにリンクアップ メッセージを送信する)ことはありません。


フィールド

[Enable Failover]:このチェックボックスをオンにすると、フェールオーバーがイネーブルになり、スタンバイ ASAを設定できます。


) インターフェイスの速度と二重通信の設定は、フェールオーバーがイネーブルになっても変更されません。フェールオーバー リンクの速度や二重通信の設定を変更するには、フェールオーバーをイネーブルにする前に [Configuration] > [Interfaces] ペインで設定しておく必要があります。


[Use 32 hexadecimal character key]:[Shared Key] フィールドに 16 進数値の暗号キーを入力するには、このチェックボックスをオンにします。[Shared Key] フィールドに英数字の共有秘密情報を入力する場合は、このチェックボックスをオフにします。

[Shared Key]:フェールオーバー共有秘密情報またはフェールオーバー ペア間での暗号化および認証済み通信のためのキーを指定します。

[Use 32 hexadecimal character key] チェックボックスをオンにした場合、16 進数の暗号キーを入力してください。キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。

[Use 32 hexadecimal character key] チェックボックスをオフにした場合は、英数字の共有秘密情報を入力してください。共有秘密情報は、1 ~ 63 文字で入力できます。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用されます。

[LAN Failover]:LAN フェールオーバーを設定するためのフィールドが含まれます。

[Interface]:フェールオーバー通信に使用するインターフェイスを指定します。フェールオーバーには専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。

このリストには、コンテキストに割り当てられていない未設定のインターフェイスまたはサブインターフェイスだけが表示され、フェールオーバー リンクとして選択できます。インターフェイスをフェールオーバー リンクとして設定すると、[Configuration] > [Interfaces] ペインで編集したり、コンテキストに割り当てたりできません。

[Active IP]:アクティブ装置のフェールオーバー リンクの IP アドレスを指定します。IP アドレスは、IPv4 または IPv6 アドレスにすることができます。

[Subnet Mask]/[Prefix Length]:[Active IP] に対して指定したアドレスのタイプに応じて、プライマリ装置およびセカンダリ装置のフェールオーバー リンクのサブネット マスク(IPv4 アドレス)またはプレフィックスの長さ(IPv6 アドレス)を入力します。

[Logical Name]:フェールオーバー通信に使用するインターフェイスの論理名を指定します。

[Standby IP]:セカンダリ装置がプライマリ装置との通信に使用する IP アドレスを指定します。IP アドレスは、IPv4 または IPv6 アドレスにすることができます。

[Preferred Role]:このASAの優先の役割が、LAN フェールオーバーのプライマリ装置であるか、セカンダリ装置であるかを指定します。

[State Failover]:ステートフル フェールオーバーの設定のためのフィールドが含まれます。

[Interface]:フェールオーバー通信に使用するインターフェイスを指定します。未設定のインターフェイスまたはサブインターフェイス、またはフェールオーバー リンク選択できます。

フェールオーバー リンクを選択した場合、インターフェイスにはフェールオーバーとステートフル フェールオーバーの両方のトラフィックを処理するのに十分な容量が必要になります。また、アクティブ IP、サブネット マスク、論理名、スタンバイ IP の値は指定する必要はありません。フェールオーバー リンクに指定されている値が使用されます。


) フェールオーバー リンク専用インターフェイスとステート リンク専用インターフェイスの 2 つのインターフェイスを別々に使用することを推奨します。


[Active IP]:プライマリ装置のステート リンクの IP アドレスを指定します。[Interface] ドロップダウン リストでフェールオーバー リンクまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

[Subnet Mask]/[Prefix Length]:プライマリ装置およびセカンダリ装置のステート リンクのマスク(IPv4 アドレス)またはプレフィックス(IPv6 アドレス)を指定します。[Interface] ドロップダウン リストでフェールオーバー リンクまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

[Logical Name]:フェールオーバー通信に使用される論理インターフェイスを指定します。[Interface] ドロップダウン リストで [Use Named] オプションを選択した場合、このフィールドには、名前付きインターフェイスのリストが表示されます。[Interface] ドロップダウン リストでフェールオーバー リンクが選択されている場合、このフィールドはグレー表示されます。

[Standby IP]:セカンダリ装置がプライマリ装置との通信に使用する IP アドレスを指定します。[Interface] ドロップダウン リストでフェールオーバー リンクまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

[Enable HTTP replication]:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。

[Failover] > [Criteria] タブ

このタブを使用して、障害が発生するときのインターフェイスの数、ポーリング間に待機する時間など、フェールオーバーの基準を定義します。保持時間では、装置がフェールオーバーする前にポーリングへの応答を受信しないまま待機する間隔が指定されます。


) Active/Active フェールオーバーを設定している場合、インターフェイス ポリシーの定義にこのタブを使用しないでください。各フェールオーバー グループのインターフェイス ポリシーを定義するには、 [Failover] > [Active/Active] タブを使用します。Active/Active フェールオーバーでは、各フェールオーバー グループに定義されたインターフェイス ポリシー設定がこのタブでの設定を上書きします。Active/Active フェールオーバーをディセーブルにした場合は、このタブの設定が使用されます。


フィールド

[Interface Policy]:モニタリングでインターフェイスの障害が検出されたときのフェールオーバーのポリシーを定義するためのフィールドが含まれます。

[Number of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、ASAはフェールオーバーを行います。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、ASAはフェールオーバーを行います。

[Failover Poll Times]:フェールオーバー リンクで Hello メッセージが送信される頻度、およびオプションで、Hello メッセージが受信されない場合にピアの障害をテストする前に待機する時間を定義するためのフィールドが含まれます。

[Unit Failover]:装置間の Hello メッセージの間の時間。範囲は 1 ~ 15 秒または 200 ~ 999 ミリ秒です。

[Unit Hold Time]:装置がフェールオーバー リンク上で Hello メッセージを受信する必要がある時間(それ以外の場合は、装置がピアの障害のテスト プロセスを開始する)を設定します。範囲は 1 ~ 45 秒または 800 ~ 999 ミリ秒です。ポーリング時間の 3 倍より少ない値は入力できません。

[Monitored Interfaces]:インターフェイス間でのポーリングの間の時間。範囲は 1 ~ 15 秒または 500 ~ 999 ミリ秒です。

[Interface Hold Time]:データ インターフェイスがそのデータ インターフェイス上で Hello メッセージを受信し、その後ピアの障害発生が宣言される時間を設定します。有効な値は 5 ~ 75 秒です。

[Failover] > [Active/Active] タブ

このタブを使用して、フェールオーバー グループを定義し、ASAで Active/Active フェールオーバーをイネーブルにします。Active/Active フェールオーバー コンフィギュレーションでは、両方のASAがネットワーク トラフィックを渡すことができます。Active/Active フェールオーバーは、マルチ モードのASAでだけ使用できます。

フェールオーバー グループは、1 つのセキュリティ コンテキストの論理グループにすぎません。ASAには、2 つのフェールオーバー グループを作成できます。フェールオーバー ペアのアクティブ装置にフェールオーバー グループを作成する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバです。


) ASAでの正常なフェールオーバー イベントでは、インターフェイスがダウンして、ロールが切り替えられ(IP アドレスおよび MAC アドレスが切り替えられます)、次にインターフェイスが再びアップします。ただし、このプロセスはユーザには意識されません。ASAは、フェールオーバー中にインターフェイスがダウンしたことをユーザに通知するためにリンクダウン メッセージやシステム ログ メッセージを送信する(またはフェールオーバー プロセスによってインターフェイスがアップしたことを通知するためにリンクアップ メッセージを送信する)ことはありません。



) アクティブ/アクティブ フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


フィールド

[Failover Groups]:現在ASAに定義されているフェールオーバー グループを一覧表示します。

[Group Number]:フェールオーバー グループ番号を指定します。この番号は、コンテキストをフェールオーバー グループに割り当てるときに使用されます。

[Preferred Role]:同時に起動したり、preempt オプションが指定されたりしたときに、フェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアのプライマリ装置またはセカンダリ装置を指定します。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。

[Preempt Enabled]:このフェールオーバー グループの優先フェールオーバー デバイスである装置がリブート後にアクティブ装置になるかどうかを指定します。

[Preempt Delay]:優先フェールオーバー デバイスが、このフェールオーバー グループのアクティブ装置として引き継ぐ前に、リブート後に待機する秒数を指定します。値の範囲は 0 ~ 1200 秒です。

[Interface Policy]:グループがフェールオーバーする前に許可される監視対象インターフェイス障害の数または障害のパーセンテージのいずれかを指定します。範囲は 1 ~ 250 回の障害、または 1 ~ 100% です。

[Interface Poll Time]:インターフェイス間のポーリング間隔の時間を指定します。1 ~ 15 秒の範囲で指定できます。

[Replicate HTTP]:ステートフル フェールオーバーがアクティブ HTTP セッションをこのフェールオーバー グループのスタンバイ ファイアウォールにコピーするかどうかを示します。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Setup] タブの HTTP レプリケーションの設定を上書きします。

[Add]:[Add Failover Group] ダイアログボックスを表示します。存在するフェールオーバー グループが 2 つに満たない場合にだけ、このボタンがイネーブルになります。詳細については、「 Add/Edit Failover Group」を参照してください。

[Edit]:選択したフェールオーバー グループに対して [Edit Failover Group] ダイアログボックスを表示します。詳細については、「 Add/Edit Failover Group」を参照してください。

[Delete]:現在選択されているフェールオーバー グループをフェールオーバー グループ テーブルから削除します。このボタンは、リストの最終フェールオーバー グループが選択されている場合にだけイネーブルになります。

Add/Edit Failover Group

 

[Add/Edit Failover Group] ダイアログボックスを使用して、Active/Active フェールオーバー コンフィギュレーションにフェールオーバー グループを定義します。

フィールド

[Preferred Role]:フェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアのプライマリ装置またはセカンダリ装置を指定します。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。

[Preempt after booting with optional delay of]:このチェックボックスをオンにすると、フェールオーバー グループの優先フェールオーバー デバイスである装置が、リブート後にアクティブ装置になります。また、このチェックボックスをオンにすると、デバイスがアクティブ装置になる前に待機しなければならない時間を指定できる [Preempt after booting with optional delay of] フィールドとともに、リブート後に Preempt もイネーブルになります。

[Preempt after booting with optional delay of]:優先フェールオーバー デバイスである装置が、いずれかのフェールオーバー グループのアクティブ装置として引き継ぐ前に、リブート後に待機する秒数を指定します。値の範囲は 0 ~ 1200 秒です。

[Interface Policy]:モニタリングでインターフェイスの障害が検出されたときのフェールオーバーのポリシーを定義するためのフィールドが含まれます。これらの設定は、[Criteria] タブのインターフェイス ポリシー設定を上書きします。

[Number of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、ASAはフェールオーバーを行います。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces that triggers failover]:障害の発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、ASAはフェールオーバーを行います。

[Poll time interval for monitored interfaces]:インターフェイス間でのポーリングの間の時間。1 ~ 15 秒の範囲で指定できます。

[Enable HTTP replication]:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Setup] タブの HTTP レプリケーションの設定を上書きします。

[MAC Addresses]:アクティブおよびスタンバイ仮想 MAC アドレスが設定されているASA上の物理インターフェイスを一覧表示します。

[Physical Interface]:フェールオーバー仮想 MAC アドレスが設定されている物理インターフェイスを示します。

[Active MAC Address]:フェールオーバー グループがアクティブになっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを表示します。

[Standby MAC Address]:フェールオーバー グループがスタンバイ状態になっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを表示します。

[Add]:[Add Interface MAC Address] ダイアログボックスを表示します。仮想 MAC アドレスは、LAN フェールオーバーおよびステート リンクには割り当てることができません。詳細については、「 Add/Edit Interface MAC Address」を参照してください。

[Edit]:選択したインターフェイスに対して [Edit Interface MAC Address] ダイアログボックスを表示します。詳細については、「 Add/Edit Interface MAC Address」を参照してください。

[Delete]:現在選択されているインターフェイスを MAC アドレス テーブルから削除します。確認されず、やり直しもできません。

Add/Edit Interface MAC Address

[Add/Edit Interface MAC Address] ダイアログボックスを使用して、フェールオーバー グループのインターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを定義します。インターフェイスに仮想 MAC アドレスを指定しない場合、次のようにデフォルトの仮想 MAC アドレスが指定されます。

アクティブ ユニットのデフォルトの MAC アドレス:00a0.c9 physical_port_number . failover_group_id 01

スタンバイ装置のデフォルト MAC アドレス:00a0.c9: physical_port_number . failover_group_id 02


) 同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上で MAC アドレスが重複することを回避するには、必ず各物理インターフェイスに仮想のアクティブおよびスタンバイ MAC アドレスを割り当てます。


これらの MAC アドレスは、インターフェイスの物理 MAC アドレスを上書きします。

フィールド

[Physical Interface]:フェールオーバー仮想 MAC アドレスを定義する物理インターフェイスを指定します。フェールオーバー中は、LAN フェールオーバーおよびステート リンクに対して MAC アドレスは変更されないので、これらのインターフェイスは選択できません。

[MAC Addresses]:インターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを指定するためのフィールドが含まれます。

[Active Interface]:フェールオーバー グループがアクティブになっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを指定します。各インターフェイスには、MAC アドレスを 2 つまで指定できます。それぞれ各フェールオーバー グループのための MAC アドレスで、物理 MAC アドレスを上書きします。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

[Standby Interface]:フェールオーバー グループがスタンバイ状態になっている装置上のインターフェイスおよびフェールオーバー グループの MAC アドレスを指定します。各インターフェイスには、MAC アドレスを 2 つまで指定できます。それぞれ各フェールオーバー グループのための MAC アドレスで、物理 MAC アドレスを上書きします。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

[Failover] > [MAC Addresses] タブ

[MAC Addresses] タブでは、Active/Standby フェールオーバー ペアのインターフェイスの仮想 MAC アドレスを設定できます。

アクティブ/スタンバイ フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク トラフィックが中断することがあります。

各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。仮想 MAC アドレスを指定しない場合、フェールオーバー ペアは焼き付け済み NIC アドレスを MAC アドレスとして使用します。


) フェールオーバーまたはステート リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


Active/Active フェールオーバーでは、このタブで設定された MAC アドレスは無効になります。代わりに、フェールオーバー グループで定義された MAC アドレスが使用されます。

フィールド

[MAC Addresses]:アクティブおよびスタンバイ仮想 MAC アドレスが設定されているASA上の物理インターフェイスを一覧表示します。

[Physical Interface]:フェールオーバー仮想 MAC アドレスが設定されている物理インターフェイスを示します。

[Active MAC Address]:アクティブ ASA(通常プライマリ)の MAC アドレスを示します。

[Stanby MAC Address]:スタンバイ ASA(通常セカンダリ)の MAC アドレスを示します。

[Add]: Add/Edit Interface MAC Address ダイアログボックスを表示します。

[Edit]:選択したインターフェイスの Add/Edit Interface MAC Address ダイアログボックスを表示します。

[Delete]:現在選択されているインターフェイスを MAC アドレス テーブルから削除します。確認されず、やり直しもできません。

Add/Edit Interface MAC Address

[Add/Edit Interface MAC Address] ダイアログボックスを使用して、インターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを定義します。

フィールド

[Physical Interface]:フェールオーバー仮想 MAC アドレスを定義する物理インターフェイスを指定します。フェールオーバー中は、LAN フェールオーバーおよびステート リンクに対して MAC アドレスは変更されないので、これらのインターフェイスは選択できません。

[MAC Addresses]:インターフェイスのアクティブおよびスタンバイ仮想 MAC アドレスを指定するためのフィールドが含まれます。

[Active Interface]:アクティブ ASA(通常プライマリ)上のインターフェイスの MAC アドレスを指定します。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

[Standby Interface]:スタンバイ ASA(通常セカンダリ)上のインターフェイスの MAC アドレスを指定します。MAC アドレスは、16 進数形式(0123.4567.89AB など)で入力します。

非対称ルーティング パケットのサポートの設定


) 非対称ルーティング(ASR)グループを設定するには、管理コンテキストである必要があり、管理コンテキストがアクティブである必要があります。


ASR グループを設定するには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [Routing] > [ASR Groups] を選択します。

ステップ 2 設定されたインターフェイスの ASR グループ ID を [ASR Group ID] ドロップダウン リストから指定します。1 つのインターフェイスに割り当てることができるグループの最大数は 8 個です。他のコンテキストによってグループにインターフェイスが割り当てられている場合、このコンテキストに割り当てることができるグループは少なくなります。

ステップ 3 [Apply] をクリックし、変更内容を実行コンフィギュレーションに保存します。


 

フェイルオーバーの管理

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項では、次のトピックについて取り上げます。

「アクティブ/スタンバイ フェールオーバーの管理」

「アクティブ/アクティブ フェールオーバーの管理」

アクティブ/スタンバイ フェールオーバーの管理

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項では、次のトピックについて取り上げます。

「フェールオーバー パラメータの設定」

「インターフェイスのスタンバイ アドレスの設定」

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「障害が発生した装置の復元」

「設定の再同期」

フェールオーバー パラメータの設定

両方の装置でアクティブ/スタンバイ フェールオーバーを設定するには、次の手順を実行します。

フェールオーバー リンクの速度と二重通信の設定は、フェールオーバーがイネーブルになっても変わりません。フェールオーバー リンクの速度や二重通信の設定を変更するには、フェールオーバーをイネーブルにする前に [Configuration] > [Interfaces] ペインで設定しておく必要があります。


ステップ 1 [Configuration] > [Device Management] > [Failover] > [Setup] タブを選択します。

ステップ 2 [Enable Failover] チェックボックスをオンにします。


) デバイスに変更を適用するまで、フェールオーバーは実際にはイネーブルになりません。


ステップ 3 フェールオーバー リンクを暗号化するには、次の手順を実行します。

a. (任意)[Use 32 hexadecimal character key] チェックボックスをオンにして、[Shared Key] フィールドに 16 進数値の暗号キーを入力します。

b. [Shared Key] フィールドに暗号キーを入力します。

[Use 32 hexadecimal character key] チェックボックスをオンにした場合、16 進数の暗号キーを入力してください。キーは、32 文字の 16 進数文字(0 ~ 9、a ~ f)である必要があります。

[Use 32 hexadecimal character key] チェックボックスがオフの場合は、英数字の共有秘密を入力してください。共有秘密情報は、1 ~ 63 文字で入力できます。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用されます。

ステップ 4 フェールオーバー リンクに使用するインターフェイスを [Interface] リストから選択します。フェールオーバーには専用インターフェイスが必要ですが、ステートフル フェールオーバーとインターフェイスを共有できます。

このリストには、未設定のインターフェイスまたはサブインターフェイスだけが表示され、フェールオーバー リンクとして選択できます。インターフェイスをフェールオーバー リンクに指定すると、そのインターフェイスは [Configuration] > [Interfaces] ペインでは編集できません。

ステップ 5 フェールオーバー通信に使用するインターフェイスの論理名を [Logical Name] フィールドで指定します。

ステップ 6 インターフェイスのアクティブ IP アドレスを [Active IP] フィールドで指定します。IP アドレスは、IPv4 または IPv6 アドレスのどちらにすることもできます。両方のタイプのアドレスをフェールオーバー リンクのインターフェイスに設定することはできません。

ステップ 7 [Active IP] に対して指定したアドレスのタイプに応じて、フェールオーバー リンクのサブネット マスク(IPv4 アドレス)またはプレフィックスの長さ(IPv6 アドレス)を [Subnet Mask]/[Prefix Length] フィールドに入力します。フィールドの名前は [Active IP] フィールドで指定したアドレスのタイプによって変わります。

ステップ 8 [Standby IP] フィールドでプライマリ装置との通信にとの通信に使用するセカンダリ装置の IP アドレスを指定します。IP アドレスは、IPv4 または IPv6 アドレスにすることができます。

ステップ 9 [Preferred Role] フィールドで [Primary] または [Secondary] を選択し、この ASA の優先の役割をプライマリ装置またはセカンダリ装置として指定します。

ステップ 10 (任意)次の手順でステート リンクを設定します。


) ステートフル フェールオーバーは、ASA 5505 プラットフォームでは使用できません。この領域は、ASA 5505 ASAで実行している ASDM には表示されません。


a. ステート通信に使用するインターフェイスを指定します。選択できるのは、未設定のインターフェイスまたはサブインターフェイス、フェールオーバー リンク、または [Use Named] オプションです。


) フェールオーバー リンク専用インターフェイスとステート リンク専用インターフェイスの 2 つのインターフェイスを別々に使用することを推奨します。


未設定のインターフェイスまたはサブインターフェイスを選択した場合、そのインターフェイスのアクティブ IP、サブネット マスク、スタンバイ IP、および論理名を入力する必要があります。

フェールオーバー リンクを選択した場合は、アクティブ IP、サブネット マスク、論理名、およびスタンバイ IP の値を指定する必要はありません。フェールオーバー リンクに指定されている値が使用されます。

[Use Named] オプションを選択した場合、[Logical Name] フィールドは、名前のついたインターフェイスのドロップダウン リストになります。このリストからインターフェイスを選択します。アクティブ IP、サブネット マスク/プレフィックスの長さ、スタンバイ IP の値を指定する必要はありません。そのインターフェイスに指定された値が使用されます。[Interfaces] タブで選択したインターフェイスにスタンバイ IP アドレスを指定してください。


) ステートフル フェールオーバーでは、大量のトラフィックが生成されることがあるため、ステートフル フェールオーバーと通常トラフィックの両方のパフォーマンスが、名前付きインターフェイスを使用することで影響を受けることがあります。


b. ステート リンクの IP アドレスを [Active IP] フィールドで指定します。IP アドレスは、IPv4 または IPv6 アドレスのどちらにすることもできます。両方のタイプのアドレスをフェールオーバー リンクのインターフェイスに設定することはできません。[Interface] ドロップダウン リストでフェールオーバー リンクまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

c. ステート リンクのマスク(IPv4 アドレス)またはプレフィックス(IPv6 アドレス)を [Subnet Mask]/[Prefix Length] で指定します。[Interface] ドロップダウン リストでフェールオーバー リンクまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

d. フェールオーバー通信に使用するインターフェイス名を [Logical Name] フィールドで指定します。[Interface] ドロップダウン リストで [Use Named] オプションを選択した場合、このフィールドには、名前付きインターフェイスのリストが表示されます。[Interface] ドロップダウン リストでフェールオーバー リンクが選択されている場合、このフィールドはグレー表示されます。

e. [Standby IP] フィールドでプライマリ装置との通信にとの通信に使用するセカンダリ装置の IP アドレスを指定します。IP アドレスは、IPv4 または IPv6 アドレスにすることができます。[Interface] ドロップダウン リストでフェールオーバー リンクまたは [Use Named] オプションが選択されている場合、このフィールドはグレー表示されます。

f. (任意)[Enable HTTP Replication] チェックボックスをオンにして、HTTP 複製をイネーブルにします。これにより、ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ ファイアウォールにコピーできるようになります。HTTP 複製を許可しない場合、HTTP 接続はフェールオーバーの発生時に切断されます。

ステップ 11 [Apply] をクリックします。

コンフィギュレーションはフェールオーバー ペアのデバイスに保存されます。


 

インターフェイスのスタンバイ アドレスの設定

ウィザードで IP アドレスを設定しなかった場合は、手動で設定できます。また、インターフェイスをモニタするかどうかをこのタブから指定できます。インターフェイス モニタリングの設定に関する詳細情報については、「インターフェイス モニタリングのディセーブル化とイネーブル化」を参照してください。

手順の詳細


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] タブを選択します。

設定済みのインターフェイスのリストが表示されます。各インターフェイスの IP アドレスが [Active IP Address] カラムに表示されます。インターフェイスのスタンバイ IP アドレスが設定されている場合は、[Standby IP address] カラムに表示されます。フェールオーバー リンクおよびステート リンクについては IP アドレスは表示されません。これらのアドレスはこのタブから変更できません。

ステップ 2 スタンバイ IP アドレスが設定されていない各インターフェイスについて、[Standby IP Address] フィールドをダブルクリックし、次のいずれかを実行します。

[...] ボタンをクリックして、リストから IP アドレスを選択します。

フィールドに IP アドレスを入力します。address は IPv4 アドレスまたは IPv6 アドレスにできます。


 

フェールオーバーの強制実行

 

スタンバイ装置を強制的にアクティブにするには、次の手順を実行します。


ステップ 1 [Monitoring] > [Properties] > [Failover] > [Status] の順に選択します。

ステップ 2 次のいずれかのボタンをクリックします。

[Make Active] をクリックして、装置をアクティブにします。

[Make Standby] をクリックすると、ペアの相手装置がアクティブ装置になります。


 

フェールオーバーのディセーブル化

フェールオーバーをディセーブルにするには、次の手順を実行します。


ステップ 1 [Configuration] > [Device Management] > [High Availability] > [Failover] を選択します。

ステップ 2 [Enable Failover] チェックボックスをオフにします。


 

障害が発生した装置の復元

障害が発生した装置を障害のない状態に復元するには、次の手順を実行します。


ステップ 1 [Monitoring] > [Properties] > [Failover] > [Status] の順に選択します。

ステップ 2 [Reset Failover] をクリックします。


 

設定の再同期

複製されたコマンドは、実行コンフィギュレーションに保存されます。複製されたコマンドをスタンバイ装置のフラッシュ メモリに保存するには、[File] > [Save Running Configuration to Flash] の順に選択します。

アクティブ/アクティブ フェールオーバーの管理

ここでは、フェールオーバーの制御およびモニタ方法について説明します。この項では、次のトピックについて取り上げます。

「フェールオーバーの強制実行」

「フェールオーバーのディセーブル化」

「障害が発生した装置の復元」

フェールオーバーの強制実行

装置レベルでフェールオーバーを強制実行するには、次の手順を実行します。


ステップ 1 [Open System] > [Monitoring] > [Failover] > [System]。

ステップ 2 次のいずれかのボタンをクリックします。

[Make Active] をクリックして、装置をアクティブにします。

[Make Standby] をクリックすると、相手装置がアクティブ装置になります。


 

フェールオーバー グループ レベルでフェールオーバーを強制実行するには、次の手順を実行します。


ステップ 1 [System] > [Monitoring] > [Failover] > [Failover Group # ] を開きます。 # は、制御するフェールオーバー グループの番号です。

ステップ 2 次のいずれかのボタンをクリックします。

[Make Active] をクリックすると、セキュリティ アプライアンスでフェールオーバー グループがアクティブになります。

[Make Standby] をクリックすると、他のセキュリティ アプライアンスでフェールオーバー グループがアクティブになります。


 

フェールオーバーのディセーブル化

アクティブ/アクティブ フェールオーバー ペアでフェールオーバーをディセーブル化すると、どの装置を優先するように設定されていようと、フェールオーバー グループはアクティブであるすべての装置でアクティブ状態のまま維持されます。システム実行スペースで no failover コマンドを実行します。

フェールオーバーをディセーブルにするには、次の手順を実行します。


ステップ 1 [System] > [Configuration]> [Device Setup] > [High Availability] > [Failover] > [Setup] タブを開きます。

ステップ 2 [Enable Failover] チェックボックスをオフにします。


 

障害が発生した装置またはフェールオーバー グループの復元

障害が発生した装置またはフェールオーバー グループを復元すると、その装置またはフェールオーバー グループは故障状態からスタンバイ状態になります。フェールオーバー グループまたは装置は、自動的にはアクティブ状態になりません。復元された装置またはグループは、フェールオーバー(強制または性質)によってアクティブになるまではスタンバイ状態のままです。ただし、フェールオーバー プリエンプションが設定されているフェールオーバー グループは例外です。以前アクティブであったフェールオーバー グループにプリエンプションが設定されており、障害が発生した装置が優先装置の場合、そのフェールオーバー グループはアクティブになります。

障害が発生した装置を障害のない状態に復元するには、次の手順を実行します。


ステップ 1 [Open System] > [Monitoring] > [Failover] > [System]。

ステップ 2 [Reset Failover] をクリックします。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。


 

障害が発生したフェールオーバー グループを障害のない状態に復元するには、次の手順を実行します。


ステップ 1 [System] > [Monitoring] > [Failover] > [Failover Group # ] を開きます。 # は、復元するフェールオーバー グループの番号です。

ステップ 2 [Reset Failover] をクリックします。


 

フェールオーバー動作のモニタ

「フェールオーバー メッセージ」

「フェールオーバー動作のモニタ」

フェールオーバー メッセージ

フェールオーバーが発生すると、両方のASAがシステム メッセージを送信します。この項では、次のトピックについて取り上げます。

「フェールオーバーの Syslog メッセージ」

「フェールオーバー デバッグ メッセージ」

「SNMP のフェールオーバー トラップ」

フェールオーバーの Syslog メッセージ

ASAは、深刻な状況を表すプライオリティ レベル 2 のフェールオーバーについて、複数の syslog メッセージを発行します。これらのメッセージを表示するには、syslog メッセージ ガイドを参照してください。ロギングをイネーブルにするには、を参照してください。


) フェールオーバー中、フェールオーバーは論理的にシャットダウンした後、インターフェイスを起動し、syslog メッセージ 411001 および 411002 を生成します。これは通常のアクティビティです。


フェールオーバー デバッグ メッセージ

デバッグ メッセージを表示するには、 debug fover コマンドを入力します。詳細については、コマンド リファレンスを参照してください。


) CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステム パフォーマンスに大きく影響することがあります。このため、debug fover コマンドは、特定の問題に対するトラブルシューティングや、Cisco TAC とのトラブルシューティング セッションに限定して使用してください。


SNMP のフェールオーバー トラップ

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、お使いの SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。詳細については、を参照してください。

フェールオーバー動作のモニタ


) フェールオーバー イベントが発生した後、デバイスのモニタリングを継続するには、ASDM を再起動するか、または [Devices] ペインに表示される別のデバイスに切り替えて、元の ASA に戻る手順を実行する必要があります。この操作が必要なのは、ASDM がデバイスから切断されて再接続された場合、接続のモニタリングが再確立されないためです。


[Monitoring] > [Properties] > [Failover] を選択して、アクティブ/スタンバイ フェールオーバーをモニタします。

[Monitoring] > [Properties] > [Failover] 領域で次の画面を使用して、アクティブ/アクティブ フェールオーバーをモニタします。

「System」

「[Failover Group 1] と [Failover Group 2]」

System

[System] ペインには、システムのフェールオーバー状態が表示されます。また、システムのフェールオーバー状態を次の方法で制御できます。

デバイスのアクティブ/スタンバイ状態を切り替える。

障害が発生したデバイスをリセットする。

スタンバイ装置をリロードする。

フィールド

[Failover state of the system]: 表示専用 。ASAのフェールオーバー状態を表示します。表示される情報は、 show failover コマンドで受け取る出力と同じです。表示される出力の詳細については、『 Cisco ASA 5500 Series Command Reference 』を参照してください。

[System] ペインでは、次のアクションを使用できます。

[Make Active]:このボタンをクリックして、アクティブ/スタンバイ コンフィギュレーションでASAをアクティブ装置にします。アクティブ/アクティブ コンフィギュレーションで、このボタンをクリックすると、ASAで両方のフェールオーバー グループがアクティブになります。

[Make Standby]:このボタンをクリックして、アクティブ/スタンバイ ペアでASAをスタンバイ装置にします。アクティブ/アクティブ コンフィギュレーションで、このボタンをクリックすると、ASAで両方のフェールオーバー グループがスタンバイ状態になります。

[Reset Failover]:このボタンをクリックして、システムを障害状態からスタンバイ状態にリセットします。システムをアクティブ状態にはリセットできません。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。

[Reload Standby]:このボタンをクリックして、スタンバイ装置を強制的にリロードします。

[Refresh]:このボタンをクリックして、[system] フィールドのフェールオーバー状態にあるステータス情報をリフレッシュします。

[Failover Group 1] と [Failover Group 2]

[Failover Group 1] ペインおよび [Failover Group 2] ペインには、選択したグループのフェールオーバー状態が表示されます。また、グループのアクティブ/スタンバイ状態を切り替えるか、または障害が発生したグループをリセットして、グループのフェールオーバー状態を制御することもできます。

フィールド

[Failover state of Group[ x ]]: 表示専用 。選択したフェールオーバー グループのフェールオーバー状態を表示します。表示される情報は、 show failover group コマンドで受け取る出力と同じです。

このペインで次のアクションを実行できます。

[Make Active]:このボタンをクリックして、ASAでフェールオーバー グループをアクティブ装置にします。

[Make Standby]:このボタンをクリックして、ASAでフェールオーバー グループを強制的にスタンバイ状態にします。

[Reset Failover]:このボタンをクリックして、システムを障害状態からスタンバイ状態にリセットします。システムをアクティブ状態にはリセットできません。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。

[Refresh]:このボタンをクリックして、[system] フィールドのフェールオーバー状態にあるステータス情報をリフレッシュします。

フェールオーバーの機能履歴

表 9-4 に、この機能のリリース履歴を示します。

 

表 9-4 オプションのアクティブ/スタンバイ フェールオーバー設定の機能履歴

機能名
リリース
機能情報

アクティブ/スタンバイ フェールオーバー

7.0(1)

この機能が導入されました。

アクティブ/アクティブ フェールオーバー

7.0(1)

この機能が導入されました。

フェールオーバー キーの 16 進数値サポート

7.0(4)

フェールオーバー リンクの暗号化用に 16 進数値が指定できるようになりました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。

フェールオーバー キーのマスター パスフレーズのサポート

8.3(1)

フェールオーバー キーが、実行コンフィギュレーションとスタートアップ コンフィギュレーションの共有キーを暗号化するマスター パスフレーズをサポートするようになりました。一方のASAから他方に共有秘密をコピーすると、たとえば、 more system:running-config コマンドを使用して、正常に暗号化共有キーをコピーして貼り付けることができます。

の出力に ***** と表示されます。これはマスクされたキーはコピーできません。

ASDM の変更はありませんでした。

フェールオーバーに IPv6 のサポートが追加されました。

8.2(2)

次の画面が変更されました。

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。
[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces]。

フェールオーバー リンクおよびステート リンクの通信を暗号化する IPSec LAN-to-LAN トンネルのサポート

9.1(2)

フェールオーバー キー に独自の暗号化を使用する代わりに、フェールオーバー リンクおよびステート リンクの暗号化に IPSec LAN-to-LAN トンネルを使用できるようになりました。

(注) フェールオーバー LAN-to-LAN トンネルは、IPSec(他の VPN)ライセンスには適用されません。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。