Cisco Security Manager 4.0 ユーザ ガイド
フェールオーバーの設定
フェールオーバーの設定
発行日;2012/02/02 | 英語版ドキュメント(2010/07/28 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 15MB) | フィードバック

目次

フェールオーバーの設定

フェールオーバーについて

アクティブ/アクティブ フェールオーバー

ステートフル フェールオーバー

基本的なフェールオーバー設定

アクティブ/スタンバイ フェールオーバー設定の追加手順

ファイルまたは PKCS12 データへの証明書のエクスポート

スタンバイ デバイスへの証明書のインポート

フェールオーバー ポリシー

[Failover] ページ(PIX 6.x)

[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.x)

[Failover] ページ(FWSM)

[Advanced Settings] ダイアログボックス

[Edit Failover Interface Configuration] ダイアログボックス(FWSM)

[Failover] ページ(ASA/PIX 7.x)

[Settings] ダイアログボックス

[Add Failover Group] ダイアログボックス

[Edit Failover Interface Configuration] ダイアログボックス(ASA/PIX 7.x)

[Add Interface MAC Address] ダイアログボックス

[Bootstrap Configuration for LAN Failover] ダイアログボックス

フェールオーバーの設定

[Failover] ページで、選択したセキュリティ アプライアンスのフェールオーバーを設定できます。[Failover] ページで設定できる内容およびページ全体の外観は、選択したデバイスのタイプ、動作モード(ルーテッドまたはトランスペアレント)、およびコンテキスト モード(シングルまたはマルチ)によって若干異なる場合があります。

つまり、フェールオーバーの設定方法は、セキュリティ アプライアンスの動作モードとセキュリティ コンテキストの両方に応じて異なります。

インターフェイスをフェールオーバー リンクとして割り当てる場合は、次の警告に注意してください。

「[Add/Edit Interface] ダイアログボックスの使用方法」でインターフェイスを定義できますが、設定しないでください。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。

ASA 5505 では、別のインターフェイスのバックアップとして割り当てられたインターフェイスは、フェールオーバー リンクとして使用できません(ただし、これを防ぐためのチェックは実行されません)。

PPPoE 対応のインターフェイスをフェールオーバー リンクとして割り当てないでください。PPPoE とフェールオーバーを同じデバイス インターフェイスに設定しないでください(ただし、これを防ぐためのチェックは実行されません)。

フェールオーバー インターフェイスでは、別のインターフェイスと同じ IP アドレス(特に、管理 IP アドレス)は使用できません(ただし、これを防ぐためのチェックは実行されません)。

また、インターフェイスをフェールオーバー リンクとして割り当てると、そのインターフェイスは [Interfaces] ページに表示されますが、[Interfaces] ページでそのインターフェイスを編集および削除することはできません。ただし、唯一の例外として、物理インターフェイスをステートフル フェールオーバー リンクとして設定している場合は、その速度とデュプレックスを設定できます。

この章は、次の内容で構成されています。

「フェールオーバーについて」

「基本的なフェールオーバー設定」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「フェールオーバー ポリシー」

フェールオーバーについて

フェールオーバーを使用すると、同一の 2 つのセキュリティ アプライアンスを、一方に障害が発生した場合にもう一方がファイアウォール動作を引き継げるように設定できます。セキュリティ アプライアンスのペアを使用すると、オペレータの介入なしに、システムの高可用性が実現されます。

リンクされたこれらのセキュリティ アプライアンスは、専用リンクを介してフェールオーバー情報をやり取りします。このフェールオーバー リンクは、LAN ベースの接続であるか、または PIX セキュリティ アプライアンスの場合は専用シリアル フェールオーバー ケーブルです。このフェールオーバー リンクを介して次の情報が伝達されます。

現在のフェールオーバー状態(アクティブまたはスタンバイ)

「hello」メッセージ(キープアライブ)

ネットワーク リンク ステータス

MAC アドレス交換

設定の複製


注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しないかぎり、クリア テキストで送信されます。VPN トンネルの終端にセキュリティ アプライアンスを使用している場合、この情報には、トンネルの確立に使用されたユーザ名、パスワード、および事前共有キーが含まれます。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクが生じる可能性があります。特に、VPN トンネルの終端にセキュリティ アプライアンスを使用している場合は、フェールオーバー キーを使用してフェールオーバー通信を保護することを推奨します。

Cisco セキュリティ アプライアンスは、次の 2 つのタイプのフェールオーバーをサポートします。

アクティブ/スタンバイ アクティブ セキュリティ アプライアンスが、すべてのネットワーク トラフィックを検査し、 スタンバイ セキュリティ アプライアンスは、アクティブ アプライアンスでフェールオーバーが発生するまでアイドル状態のままとなります。アクティブ セキュリティ アプライアンスの設定に加えた変更は、フェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。

フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になり、前にアクティブであった装置の IP アドレスと MAC アドレスを引き継ぎます。IP アドレスまたは MAC アドレスのこの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリがネットワーク上で変更されたりタイムアウトしたりすることはありません。

アクティブ/スタンバイ フェールオーバーを使用できるのは、シングル コンテキスト モードまたはマルチ コンテキスト モードで動作しているセキュリティ アプライアンスです。シングル コンテキスト モードでは、アクティブ/スタンバイ フェールオーバーだけを使用でき、すべてのフェールオーバー設定が [Failover] ページを使用して行われます。


) アクティブ/スタンバイ フェールオーバーを使用する場合、設定の変更はすべてアクティブ装置に対して行う必要があります。アクティブ装置は、これらの変更内容をスタンバイ装置に自動的に複製します。スタンバイ装置は、Security Manager デバイス リストにインポートまたは追加されません。

また、認証証明書をアクティブ デバイスからスタンバイ デバイスに手動でコピーする必要があります。詳細については、「アクティブ/スタンバイ フェールオーバー設定の追加手順」を参照してください。


アクティブ/アクティブ :両方のセキュリティ アプライアンスが、一方がアクティブで、もう一方がスタンバイになるようにそれぞれのロールを切り替えて、ネットワーク トラフィックをコンテキストごとに検査します。これは、アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作するセキュリティ アプライアンスだけで使用できることを意味します。

ただし、アクティブ/アクティブ フェールオーバーが、マルチ コンテキスト モードでの必須のフェールオーバーというわけではありません。つまり、マルチ コンテキスト モードで動作しているデバイスでは、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーを設定できます。いずれの場合も、システム コンテキストでシステムレベルのフェールオーバー設定を指定し、個々のセキュリティ コンテキストでコンテキストレベルのフェールオーバー設定を指定します。

この項目の詳細については、「アクティブ/アクティブ フェールオーバー」を参照してください。

さらに、フェールオーバーは、ステートレスまたはステートフルにすることができます。

ステートレス 標準 フェールオーバーとも呼ばれます。ステートレス フェールオーバーでは、フェールオーバーが発生すると、アクティブな接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。

ステートフル :フェールオーバー ペアのアクティブ装置は、接続ごとの状態情報をスタンバイ装置に常に渡します。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報を使用できます。サポートされるエンドユーザ アプリケーションは、現在の通信セッションを保持するために再接続する必要はありません。

詳細については、「ステートフル フェールオーバー」を参照してください。

アクティブ/アクティブ フェールオーバー

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作するセキュリティ アプライアンスだけで使用できます。アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがコンテキストごとにネットワーク トラフィックを検査します。つまり、各コンテキストで、一方のアプライアンスがアクティブ デバイスで、もう一方のアプライアンスがスタンバイ デバイスとなります。

アクティブ ロールとスタンバイ ロールは、セキュリティ コンテキストのセット全体でほぼ任意で割り当てられます。

セキュリティ アプライアンスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、2 つのフェールオーバー グループのいずれかにセキュリティ コンテキストを割り当てる必要があります。フェールオーバー グループは、単に 1 つ以上のセキュリティ コンテキストの論理グループです。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループ割り当てを指定する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーになります。割り当てられていないセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーになります。

アクティブ/スタンバイ フェールオーバーと同様、アクティブ/アクティブ フェールオーバー ペアの各装置には、プライマリまたはセカンダリのどちらかが指定されます。アクティブ/スタンバイ フェールオーバーとは異なり、両方の装置が同時に起動した場合にどちらの装置がアクティブになるかは指示されていません。設定の各フェールオーバー グループには、プライマリまたはセカンダリ ロール プリファレンスが設定されます。このプリファレンスにより、両方の装置が同時に起動したときに、フェールオーバー グループのコンテキストがアクティブ状態で表示される装置が決まります。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。


) Cisco Security Manager は、アクティブ/アクティブ フェールオーバー モードのセキュリティ コンテキストを確実に管理するために、各コンテキストの管理インターフェイス用の IP アドレスを要求して、フェールオーバー ペアのアクティブなセキュリティ コンテキストと直接通信できるようにします。


初期設定同期は、一方または両方の装置が起動すると実行されます。この同期は、次のように実行されます。

両方の装置が同時に起動した場合、設定はプライマリ装置からセカンダリ装置に同期されます。

一方の装置がすでにアクティブであるときに、もう一方の装置が起動した場合は、起動した装置が、すでにアクティブな装置から設定を受信します。

両方の装置が稼動したあと、次のように、コマンドが一方の装置からもう一方の装置に複製されます。

セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。


) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。


システム実行スペースに入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

コマンドの複製の実行に適切な装置上でコマンドを入力しなかった場合は、設定が非同期になります。これらの変更内容は、初期設定同期が次回行われるときに失われる可能性があります。


) アクティブ/アクティブ フェールオーバー設定のピア デバイスをブートストラップすると、そのブートストラップ設定は、それぞれのフェールオーバー ピア デバイスのシステム コンテキストにだけ適用されます。


アクティブ/アクティブ フェールオーバー設定では、フェールオーバーは、システムごとに発生するのではなく、フェールオーバー グループごとに発生します。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定した場合にフェールオーバー グループ 1 で障害が発生すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。


) アクティブ/アクティブ フェールオーバーを設定する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


ステートフル フェールオーバー


) ステートフル フェールオーバーは、ASA 5505 アプライアンスではサポートされていません。


ステートフル フェールオーバーがイネーブルになっている場合、フェールオーバー ペアのアクティブ装置は、引き続きスタンバイ装置上の現在の接続状態情報を更新します。フェールオーバーの発生時、サポートされるエンドユーザ アプリケーションは、現在の通信セッションを保持するために再接続する必要がありません。


) ステート リンクおよび LAN フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。


ステートフル フェールオーバーを使用するには、すべての状態情報をスタンバイ装置に渡すようにリンクを設定する必要があります。シリアル フェールオーバー インターフェイス(PIX プラットフォームでだけ使用可能)ではなく、LAN フェールオーバー接続を使用している場合、ステート リンクおよびフェールオーバー リンクに同じインターフェイスを使用できます。ただし、スタンバイ装置に状態情報を渡すときは、専用のインターフェイスを使用することを推奨します。

ステートフル フェールオーバーがイネーブルになっている場合、次の情報がスタンバイ装置に渡されます。

NAT 変換テーブル

タイムアウト接続を含む、TCP 接続テーブル(HTTP を除く)

HTTP 接続状態(HTTP レプリケーションがイネーブルの場合)

H.323、SIP、および MGCP UDP メディア接続

システム クロック

ISAKMP および IPSec SA テーブル

ステートフル フェールオーバーがイネーブルになっている場合、次の情報はスタンバイ装置にコピーされません。

HTTP 接続テーブル(HTTP レプリケーションがイネーブルでない場合)

ユーザ認証(uauth)テーブル

ARP テーブル

ルーティング テーブル

基本的なフェールオーバー設定

次の手順では、基本的なフェールオーバー設定について説明します。インターフェイスをフェールオーバー リンクとして割り当てる場合は、次の警告に注意してください。

「[Add/Edit Interface] ダイアログボックスの使用方法」でインターフェイスを定義できますが、設定しないでください。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。

ASA 5505 では、別のインターフェイスのバックアップとして割り当てられたインターフェイスは、フェールオーバー リンクとして使用できません(ただし、これを防ぐためのチェックは実行されません)。

PPPoE 対応のインターフェイスをフェールオーバー リンクとして割り当てないでください。PPPoE とフェールオーバーを同じデバイス インターフェイスに設定しないでください(ただし、これを防ぐためのチェックは実行されません)。

フェールオーバー インターフェイスでは、別のインターフェイスと同じ IP アドレス(特に、管理 IP アドレス)は使用できません(ただし、これを防ぐためのチェックは実行されません)。


) フェールオーバー設定を保存すると、その設定はセキュリティ アプライアンスとフェールオーバー ピアの両方に適用されます。


関連項目

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「フェールオーバー ポリシー」


ステップ 1 デバイス ビューが現在のアプリケーション ビューであることを確認します。必要に応じて、ツールバーの [Device View] ボタンをクリックします。


) デバイス ビューを使用したデバイス ポリシーの設定の詳細については、「デバイス ビューおよび Site-to-Site VPN Manager におけるポリシーの管理」を参照してください。


ステップ 2 設定するアプライアンスを選択します。

ステップ 3 デバイス ポリシー セレクタで [Platform] エントリを展開し、次に [Device Admin] を展開して、[Failover] を選択します。

[Failover] ページが表示されます。

ステップ 4 (PIX だけ)フェールオーバー方式([Serial Cable] または [LAN Based])を選択します。

ステップ 5 [Enable Failover] を選択して、このアプライアンス上でのフェールオーバーをイネーブルにします。

ステップ 6 [Bootstrap] ボタンをクリックして、[Bootstrap configuration for LAN failover] ダイアログボックスを開きます。このダイアログボックスでは、LAN フェールオーバー設定内のプライマリ デバイスとセカンダリ デバイスに適用できるブートストラップ設定が示されます。詳細については、「[Bootstrap Configuration for LAN Failover] ダイアログボックス」を参照してください。

ステップ 7 (マルチ コンテキスト デバイスだけ)[Configuration] セクションで、フェールオーバー モード([Active/Active] または [Active/Standby])を選択します。

ステップ 8 (任意)[Settings] ボタンをクリックして、選択したデバイスの [Settings] ダイアログボックスを開きます。[Settings] ダイアログボックスの内容は、デバイスのタイプ、およびデバイスがシングル モードまたはマルチ モードのどちらで動作しているかによって異なります。一部のオプションが使用できない場合があります。次の項を参照してください。

「[Settings] ダイアログボックス」(ASA/PIX 7+)

「[Advanced Settings] ダイアログボックス」(FWSM)

ステップ 9 (任意)次の手順を実行して、2 台のデバイス間の LAN フェールオーバー通信用のインターフェイスを設定します。

a. LAN ベースの通信用のデバイス インターフェイスを割り当て、次にキーボードの Tab キーを押してページを更新します。

PIX デバイスおよび ASA デバイスでは、このドロップダウン リストに、デバイスで定義されているインターフェイスが表示されます。ポート ID( gigabitethernet1 など)を入力するか、またはインターフェイスをすでに定義している場合(「[Add/Edit Interface] ダイアログボックスの使用方法」を参照)はポートを選択できます。

FWSM では、このインターフェイス リストには VLAN ID は読み込まれません。ユーザは、使用する必要がある VLAN の数値 ID を入力する必要があります。


) いずれの場合も、名前付きインターフェイスは指定できず、PPPoE にはインターフェイスを設定できません。


b. [Logical Name] にこのフェールオーバー インターフェイスの論理名を指定します。

c. [Active IP] にフェールオーバー通信用のアクティブ IP アドレスを入力します。

d. [Standby IP] にフェールオーバー通信用のスタンバイ IP アドレスを入力します。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されます。

e. [Subnet Mask] に両方の IP アドレスのサブネット マスクを入力します。両方が同じサブネット上にある必要があります。

ステップ 10 (任意)次の手順を実行して、2 台のデバイス間のステートフル フェールオーバー通信用のインターフェイスをイネーブルにし、設定します。

a. 更新通信用のデバイス インターフェイスを割り当て、次にキーボード上の Tab キーを押してページを更新します。

ポート ID( gigabitethernet1 など)を入力するか、またはインターフェイスをすでに定義している場合は(「[Add/Edit Interface] ダイアログボックスの使用方法」を参照。名前付きインターフェイスは除く)ポートを選択できます。


) FWSM では、これは VLAN インターフェイスです。


b. [Logical Name] にこのインターフェイスの論理名を指定します。

c. [Active IP] に接続更新用のアクティブ IP アドレスを入力します。

d. [Standby IP] に更新通信用のスタンバイ IP アドレスを入力します。

e. [Subnet Mask] に両方の IP アドレスのサブネット マスクを入力します。両方が同じサブネット上にある必要があります。

f. HTTP 接続情報を保持するには、[Enable HTTP Replication] を選択します。

HTTP を除くすべての TCP プロトコルに関する接続情報が、スタンバイ装置に伝達されます。HTTP 接続は一般に存続期間が短いため除かれます。フェールオーバー中に HTTP 接続を保持するには、このオプションを選択します。

ステップ 11 通信の暗号化キーを指定します。共有キーを入力し、次に [Confirm] フィールドに再度入力します。両方のデバイスで同じキーを必ず入力してください(3.1 よりも前のバージョンの FWSM では使用できません)。

共有キーには、最大 63 の英数字の任意の文字列を使用できます。[HEX] オプションが選択されている場合、共有キーは、厳密に 32 の 16 進数文字からなる任意の文字列となります([HEX] オプションは、PIX/ASA バージョン 7.0.5 以降、および FWSM バージョン 3.1.3 以降でだけ使用できます)。


) この手順の実行は任意ですが、フェールオーバー通信を暗号化することを強く推奨します。


ステップ 12 非対称ルーテッド セッションのフェールオーバーの再接続タイムアウト値を指定するには、時間を hh:mm:ss(分と秒の値は省略可能)形式で [Timeout] フィールドに入力します。このフィールドが空白(デフォルト)または 0 の場合、再接続は行われません。この値を -1 に設定すると、タイムアウトがディセーブルになり、任意の時間が経過したあとでも接続を再開できます。

ステップ 13 (FWSM だけ)設定されているインターフェイスが、[Interface Configuration] テーブルにリストされます。リストされているインターフェイスのフェールオーバー設定を編集するには、そのフェールオーバー設定を選択し、[Edit Row] ボタンをクリックして「[Edit Failover Interface Configuration] ダイアログボックス(FWSM)」を開きます。


 

アクティブ/スタンバイ フェールオーバー設定の追加手順

Cisco Security Manager を使用すると、PIX/ASA/FWSM デバイスにインストールされている証明書を検証して、そのデバイスを認証できます。アクティブ/スタンバイ フェールオーバー設定でファイアウォールを設定する場合は、証明書をアクティブ デバイスからスタンバイ デバイスに手動でコピーして、フェールオーバーの発生後に Security Manager がスタンバイ デバイスと通信できるようにする必要があります。

次の手順では、ASDM を使用して、ネットワーク内のセキュリティ アプライアンスのアイデンティティ証明書、CA 証明書、およびキーをエクスポートまたは表示し、次に ASDM を使用してその情報をスタンバイ デバイスにインポートする方法について説明します。

「ファイルまたは PKCS12 データへの証明書のエクスポート」

「スタンバイ デバイスへの証明書のインポート」

ファイルまたは PKCS12 データへの証明書のエクスポート

トラストポイント設定をエクスポートするには、ASDM を使用して次の手順を実行します。


ステップ 1 [Configuration] > [Features] > [Device Administration] > [Certificate] > [Trustpoint] > [Export] に移動します。

ステップ 2 [Trustpoint Name]、[Encryption Passphrase]、および [Confirm Passphrase] の各フィールドに入力します。これらのフィールドの詳細については、[Help] をクリックしてください。

ステップ 3 トラストポイント設定をエクスポートするための方法を選択します。

[Export to a File]:ファイル名を入力するか、またはファイルを参照します。

[Display the trustpoint configuration in PKCS12 format]:トラストポイント設定全体をテキスト ボックスに表示してから、インポートするためにコピーします。詳細については、[Help] をクリックしてください。

ステップ 4 [Export] をクリックします。


 

スタンバイ デバイスへの証明書のインポート

トラストポイント設定をインポートするには、ASDM を使用して次の手順を実行します。


ステップ 1 [Configuration] > [Features] > [Device Administration] > [Certificate] > [Trustpoint] > [Import] に移動します。

ステップ 2 [Trustpoint Name]、[Decryption Passphrase]、および [Confirm Passphrase] の各フィールドに入力します。これらのフィールドの詳細については、[Help] をクリックしてください。この復号化パスフレーズは、このトラストポイントがエクスポートされたときに使用された暗号化パスフレーズと同じです。

ステップ 3 トラストポイント設定をインポートするための方法を選択します。

[Import from a File]:ファイル名を入力するか、またはファイルを参照します。

[Enter the trustpoint configuration in PKCS12 format]:エクスポート元からのトラストポイント設定全体をテキスト ボックスに貼り付けます。詳細については、[Help] をクリックしてください。


 

フェールオーバー ポリシー

この項では、さまざまなタイプのセキュリティ アプライアンスにおけるフェールオーバー設定を説明しているページを示します。ページは、デバイス タイプ別に整理されています。

PIX 6.x ファイアウォール

「[Failover] ページ(PIX 6.x)」

「[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.x)」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

ファイアウォール サービス モジュール

「[Failover] ページ(FWSM)」

「[Advanced Settings] ダイアログボックス」

「[Add Interface MAC Address] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス(FWSM)」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

適応型セキュリティ アプライアンスおよび PIX 7.0 ファイアウォール

「[Failover] ページ(ASA/PIX 7.x)」

「[Settings] ダイアログボックス」

「[Add Failover Group] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス(ASA/PIX 7.x)」

「[Add Interface MAC Address] ダイアログボックス」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

[Failover] ページ(PIX 6.x)

[Failover] ページは、PIX 6.x ファイアウォールのフェールオーバー値を設定する場合に使用します。

ナビゲーション パス

この機能にアクセスするには、デバイス ビューでファイアウォール デバイスを選択し、次に、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.x)」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

フィールド リファレンス

 

表 37-1 [Failover] ページ(PIX 6.x)

要素
説明
[Failover]

[Failover Method]

フェールオーバー リンクのタイプ(シリアル ケーブルまたは LAN ベース)を選択します。

[Enable Failover]

このデバイスでフェールオーバーをイネーブルにするには、このチェックボックスをオンにします。

(注) フェールオーバーをイネーブルにするには、両方のデバイスのソフトウェア バージョン、アクティベーション キー タイプ、フラッシュ メモリ、および RAM が同じであることを確認する必要があります。

[Failover Poll Time]

すべてのネットワーク インターフェイスおよびフェールオーバー ケーブル上のプライマリ デバイスとスタンバイ デバイス間で他のデバイスがまだ使用可能であるかどうかを判断するまでフェールオーバーを待機する時間を指定します。値の範囲は 3 ~ 15 秒です。デフォルトは 15 です。

[LAN-Based Failover]

[Interface]

LAN ベースのフェールオーバーに使用するインターフェイスを選択します。[Not Selected] を選択すると、LAN ベースのフェールオーバーがディセーブルになります。

[Shared Key]

プライマリ デバイスとスタンバイ デバイス間の通信を暗号化する場合に使用します。値には任意の文字列を指定できます。

[Confirm]

共有キーを再入力します。

[Stateful Failover]

[Interface]

ステートフル フェールオーバーに使用するインターフェイスを選択します。[Not Selected] を選択すると、ステートフル フェールオーバーがディセーブルになります。

(注) リストから高速 LAN リンクを選択する必要があります(100full、1000full、1000sxfull など)。

[Enable HTTP Replication]

ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ PIX ファイアウォールにコピーできるようにします。

[Failover Interface Table]

[Interface]

アクティブなファイアウォール デバイス上のインターフェイスの名前を表示します。このインターフェイスは、フェールオーバーのためにスタンバイ デバイスとの通信に使用されます。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを表示します。このアドレスは、アクティブ デバイスと通信するためにスタンバイ デバイスによって使用されます。アドレスは、システムの IP アドレスと同じネットワーク上にある必要があります。

ヒント この IP アドレスを ping ツールで使用して、アクティブ デバイスのステータスを確認できます。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを表示します。このアドレスは、スタンバイ デバイスと通信するためにアクティブ デバイスによって使用されます。このアドレスは、システムの IP アドレスと同じネットワーク上にある必要があります。

ヒント この IP アドレスを ping ツールで使用して、スタンバイ デバイスのステータスを確認できます。

[Active MAC Address]

アクティブ インターフェイスの MAC アドレスを 16 進数形式で表示します(たとえば、0123.4567.89ab)。

[Standby MAC Address]

スタンバイ インターフェイスの MAC アドレスを 16 進数形式で表示します(たとえば、0123.4567.89ab)。

[Edit Row] ボタン

クリックすると、[Edit Failover Interface Configuration] ダイアログボックスが表示されます。

[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.x)

[Edit Failover Interface Configuration] ダイアログボックスは、PIX 6.x デバイス用のフェールオーバー インターフェイスを設定する場合に使用します。


) PPPoE にはフェールオーバー インターフェイスを設定できません。


ナビゲーション パス

[Edit Failover Interface Configuration] ダイアログボックスには [Failover] ページからアクセスできます。[Failover] ページの詳細については、「[Failover] ページ(PIX 6.x)」を参照してください。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(PIX 6.x)」

フィールド リファレンス

 

表 37-2 [Edit Failover Interface Configuration] ダイアログボックス(PIX 6.x)

要素
説明

[Interface]

アクティブなファイアウォール デバイス上のインターフェイスの名前を表示します。このインターフェイスは、フェールオーバーのためにスタンバイ デバイスとの通信に使用されます。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを表示します。このアドレスは、アクティブ デバイスと通信するためにスタンバイ デバイスによって使用されます。アドレスは、システムの IP アドレスと同じネットワーク上にある必要があります。

ヒント この IP アドレスを ping ツールで使用して、アクティブ デバイスのステータスを確認できます。

[Netmask]

アクティブ デバイスのネットマスクを表示します。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを指定します。このアドレスは、スタンバイ デバイスと通信するためにアクティブ デバイスによって使用されます。アドレスは、システムの IP アドレスと同じネットワーク上にある必要があります。

ヒント この IP アドレスを ping ツールで使用して、スタンバイ デバイスのステータスを確認できます。
[Failover MAC Addresses]

[Active MAC Address]

アクティブ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Standby MAC Address]

スタンバイ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Failover] ページ(FWSM)

[Failover] ページは、FWSM の基本的なフェールオーバー値を設定する場合に使用します。

ナビゲーション パス

この機能にアクセスするには、デバイス ビューで FWSM を選択し、次に、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「[Advanced Settings] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス(FWSM)」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

フィールド リファレンス

 

表 37-3 [Failover] ページ(FWSM)

要素
説明

[Enable Failover]

フェールオーバーをこのデバイスでイネーブルにするかどうかを指定します。

論理 LAN フェールオーバー インターフェイスを設定する必要があり、任意でステートフル フェールオーバー インターフェイスを設定します。

(注) フェールオーバーをイネーブルにするには、両方のデバイスのソフトウェア バージョン、アクティベーション キー タイプ、フラッシュ メモリ、および RAM が同じであることを確認する必要があります。

[Configuration](FWSM 3.x だけ)

[Active/Active] オプション(FWSM 3.x だけ)

アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがネットワーク トラフィックを送信します。アクティブ/アクティブ フェールオーバーを使用できるのは、マルチ コンテキスト モードのセキュリティ アプライアンスだけです。

セキュリティ アプライアンスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、フェールオーバー グループを作成する必要があります。フェールオーバー グループを作成しないでフェールオーバーをイネーブルにすると、アクティブ/スタンバイ フェールオーバーがイネーブルになります。フェールオーバー グループは、1 つ以上のセキュリティ コンテキストの論理グループです。2 つのフェールオーバー グループをセキュリティ アプライアンス上に作成できます。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループを作成する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーになります。割り当てられていないセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーになります。

[Active/Standby] オプション(FWSM 3.x だけ)

アクティブ/スタンバイ設定では、アクティブ セキュリティ アプライアンスがフェールオーバー ペアを通過するすべてのネットワーク トラフィックを処理します。スタンバイ セキュリティ アプライアンスは、アクティブ セキュリティ アプライアンスで障害が発生するまではネットワーク トラフィックを処理しません。アクティブ セキュリティ アプライアンスの設定が変更されるたびに、設定情報がフェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。

フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になります。前のアクティブ装置の IP アドレスと MAC アドレスが使用されます。IP アドレスまたは MAC アドレスの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリがネットワーク上で変更されたりタイムアウトしたりすることはありません。

アクティブ/スタンバイ フェールオーバーを使用できるのは、シングル モードまたはマルチ モードのセキュリティ アプライアンスです。

[Settings] ボタン

クリックすると、[Advance Settings] ダイアログボックスが表示されます。詳細については、「[Advanced Settings] ダイアログボックス」を参照してください。

[LAN Failover]

[VLAN]

フェールオーバー リンクに使用している VLAN インターフェイスの数値 ID(11 など)を入力します。このリストには、VLAN ID は自動的に読み込まれません。

[Logical Name]

フェールオーバーのためにスタンバイ デバイスと通信するアクティブ ファイアウォール デバイス上の VLAN インターフェイスの論理名。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを指定します。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを指定します。

[Subnet Mask]

アクティブおよびスタンバイ IP アドレスに対応するマスク。

[State Failover]

[VLAN]

フェールオーバー リンクに使用している VLAN インターフェイスの数値 ID(12 など)を入力します。このリストには、VLAN ID は自動的に読み込まれません。

[Logical Name]

フェールオーバーのためにスタンバイ デバイスと通信するアクティブ ファイアウォール デバイス上のインターフェイスの論理名。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを指定します。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを指定します。

[Subnet Mask]

アクティブおよびスタンバイ IP アドレスに対応するマスク。

[Enable HTTP Replication] チェックボックス

ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ ファイアウォールにコピーできるようにします。

[Suspend Configuration Synchronization]

(FWSM 2.3 だけ)

選択すると、アクティブ デバイスとスタンバイ デバイス間で設定が同期されなくなります。

コマンドを発行します。FlexConfig の詳細については、「FlexConfig ポリシーとポリシー オブジェクトについて」を参照してください。

[Shared Key]
(FWSM 3.x だけ)

フェールオーバー ピア間の通信を暗号化および認証するには、アクティブ/スタンバイ フェールオーバー ペアのアクティブ装置、またはフェールオーバー グループ 1 がアクティブ状態で表示されるアクティブ/スタンバイ フェールオーバー ペアの装置の [Shared Key] フィールドで、共有秘密キーを指定します。共有秘密キーには、数字、文字、または句読点を任意に組み合わせて 1 ~ 63 文字を指定できます。


注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しないかぎり、クリア テキストで送信されます。FWSM を使用して VPN トンネルを終端している場合、この情報には、トンネルの確立に使用されたユーザ名、パスワード、および事前共有キーが含まれます。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクが生じる可能性があります。VPN トンネルの終端に FWSM を使用している場合は、フェールオーバー キーを使用してフェールオーバー通信を保護することを推奨します。

[Advanced Settings] ダイアログボックス

[Advanced Settings] ダイアログボックスは、FWSM 用のフェールオーバー値を追加で設定する場合に使用します。


) 次のリファレンス テーブルは、[Advanced Settings] ダイアログボックスに表示される可能性があるすべてのフィールドを示しています。実際に表示されるフィールドは、動作モード(ルーテッドまたはトランスペアレント)とデバイスがシングル コンテキストとマルチ コンテキストのどちらをホストしているかによって異なります。


ナビゲーション パス

[Failover] ページの [Settings] ボタンをクリックして、[Advance] ダイアログボックスにアクセスできます。詳細については、「[Failover] ページ(FWSM)」を参照してください。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(FWSM)」

「[Add Interface MAC Address] ダイアログボックス」

フィールド リファレンス

 

表 37-4 [Advance] ダイアログボックス

要素
説明
[Interface Policy]

[Number of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこの値を超えると、セキュリティ アプライアンスはフェールオーバーします。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこのパーセンテージを超えると、セキュリティ アプライアンスはフェールオーバーします。

[Failover Poll Time]

[Unit Failover]

装置間での hello メッセージの間隔。値の範囲は 1 ~ 15 秒、またはミリ秒のオプションが選択されている場合は 500 ~ 999 ミリ秒です。

[Unit Hold Time]

装置がフェールオーバー リンク上で hello メッセージを受信する必要がある時間を設定します。設定した時間内に受信しない場合、装置はピアの障害のテスト プロセスを開始します。値の範囲は 3 ~ 45 秒です。[Unit Failover] の値の 3 倍より少ない値は入力できません。

[Monitored Interface]

インターフェイス間でのポーリングの間隔。値の範囲は 3 ~ 15 秒です。

[Management IP Address]

[Active]

管理インターフェイスの IP アドレス。

[Netmask]

アクティブおよびスタンバイ アドレスのサブネット マスク。

[Standby]

スタンバイ装置上の管理 IP アドレス。アクティブ IP アドレスと同じサブネット上に存在する必要があります。スタンバイ アドレスのサブネット マスクは、指定する必要がありません。

[Failover Groups]

[Group] テーブル

このテーブルには、次の情報とともに、デバイス上のフェールオーバー グループが示されます。

[Group Number]:グループの数値 ID。

[Preferred Role]:プライマリまたはセカンダリ。

[Preempt Enabled]:true または false。

[Edit Row] ボタン

このボタンをクリックして、[Failover Groups] テーブルで選択したエントリを編集します。[Edit Failover Group] ダイアログボックスが開きます。

[Edit Failover Interface Configuration] ダイアログボックス(FWSM)

[Edit Failover Interface Configuration] ダイアログボックスは、FWSM 用のフェールオーバー インターフェイスを設定する場合に使用します。


) PPPoE にはフェールオーバー インターフェイスを設定できません。


ナビゲーション パス

[Edit Failover Interface Configuration] ダイアログボックスには [Failover] ページからアクセスできます。[Failover] ページの詳細については、「[Failover] ページ(FWSM)」を参照してください。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(FWSM)」

フィールド リファレンス

 

表 37-5 [Edit Failover Interface Configuration] ダイアログボックス(FWSM)

要素
説明

[Interface Name]

インターフェイス名を示します。編集はできません。

[Active IP Address]

このインターフェイスの IP アドレスを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Standby IP Address]

スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Monitor this interface for failure]

このインターフェイスの障害をモニタするかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、そのインターフェイスで連続する 5 つの hello を受信しなかった場合(25 秒間)、インターフェイスに対してテストが開始されます。モニタ対象フェールオーバー インターフェイスのステータスは次のとおりです。

[Unknown]:初期ステータス。ステータスを特定できなかった場合も、このステータスになることがあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:5 回のポーリング時間にインターフェイスで Hello メッセージを受信していません。

[Link Down]:インターフェイスは管理上ダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスでトラフィックを受信していませんが、ピア インターフェイスではトラフィックを受信しています。

[Failover] ページ(ASA/PIX 7.x)

[Failover] ページは、ASA および PIX 7.x ファイアウォールの基本的なフェールオーバー値を設定する場合に使用します。

ナビゲーション パス

この機能にアクセスするには、デバイス ビューで ASA または PIX 7.x ファイアウォール デバイスを選択し、次に、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「[Settings] ダイアログボックス」

「[Add Failover Group] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス(ASA/PIX 7.x)」

「[Add Interface MAC Address] ダイアログボックス」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

フィールド リファレンス

 

表 37-6 [Failover] ページ(ASA/PIX 7.x)

要素
説明

[Enable Failover]

フェールオーバーをこのデバイスでイネーブルにするかどうかを指定します。

論理 LAN フェールオーバー インターフェイスを設定する必要があり、任意でステートフル フェールオーバー インターフェイスを設定します。

(注) フェールオーバーをイネーブルにするには、両方のデバイスのソフトウェア バージョン、アクティベーション キー タイプ、フラッシュ メモリ、および RAM が同じであることを確認する必要があります。

[Configuration]

[Active/Active] オプション

アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがネットワーク トラフィックを送信します。アクティブ/アクティブ フェールオーバーを使用できるのは、マルチ コンテキスト モードのセキュリティ アプライアンスだけです。

セキュリティ アプライアンスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、フェールオーバー グループを作成する必要があります。フェールオーバー グループを作成しないでフェールオーバーをイネーブルにすると、アクティブ/スタンバイ フェールオーバーがイネーブルになります。フェールオーバー グループは、1 つ以上のセキュリティ コンテキストの論理グループです。2 つのフェールオーバー グループをセキュリティ アプライアンス上に作成できます。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループを作成する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーになります。割り当てられていないセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーになります。

[Active/Standby] オプション

アクティブ/スタンバイ設定では、アクティブ セキュリティ アプライアンスがフェールオーバー ペアを通過するすべてのネットワーク トラフィックを処理します。スタンバイ セキュリティ アプライアンスは、アクティブ セキュリティ アプライアンスで障害が発生するまではネットワーク トラフィックを処理しません。アクティブ セキュリティ アプライアンスの設定が変更されるたびに、設定情報がフェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。

フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になります。前のアクティブ装置の IP アドレスと MAC アドレスが使用されます。IP アドレスまたは MAC アドレスの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリがネットワーク上で変更されたりタイムアウトしたりすることはありません。

アクティブ/スタンバイ フェールオーバーを使用できるのは、シングル モードまたはマルチ モードのセキュリティ アプライアンスです。

[Settings] ボタン

クリックすると、[Settings] ダイアログボックスが表示されます。詳細については、「[Settings] ダイアログボックス」を参照してください。

[LAN Failover]

[Interface]

フェールオーバー リンクに使用するインターフェイス。

[Logical Name]

アクティブ ファイアウォール デバイス上のインターフェイスの論理名。このインターフェイスは、フェールオーバーのためにスタンバイ デバイスと通信します。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを指定します。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを指定します。

[Subnet Mask]

アクティブおよびスタンバイ IP アドレスに対応するネットマスク。

[Bootstrap] ボタン

クリックすると、[Bootstrap Configuration for LAN Failover] ダイアログボックスが表示されます。詳細については、「[Bootstrap Configuration for LAN Failover] ダイアログボックス」を参照してください。

[State Failover]

[Interface]

ステートフル フェールオーバー リンクに使用するインターフェイス。

[Logical Name]

アクティブ ファイアウォール デバイス上のインターフェイスの論理名。このインターフェイスは、フェールオーバーのためにスタンバイ デバイスと通信します。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを指定します。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを指定します。

[Subnet Mask]

アクティブおよびスタンバイ IP アドレスに対応するネットマスク。

[Enable HTTP Replication]

選択すると、ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ ファイアウォールにコピーできるようになります。

[Shared Key]

プライマリ デバイスとスタンバイ デバイス間の通信を暗号化する場合に使用します。値には任意の文字列を指定できます。

[Settings] ダイアログボックス

[Settings] ダイアログボックスは、ASA または PIX 7.x アプライアンスでフェールオーバーが発生する条件を定義する場合に使用します。

ナビゲーション パス

[Failover] ページの [Settings] ボタンをクリックして、[Settings] ダイアログボックスにアクセスできます。詳細については、「[Failover] ページ(ASA/PIX 7.x)」を参照してください。


) 次のリファレンス テーブルは、[Settings] ダイアログボックスに表示される可能性があるすべてのフィールドを示しています。実際に表示されるフィールドは、動作モード(ルーテッドまたはトランスペアレント)とデバイスがシングル コンテキストとマルチ コンテキストのどちらをホストしているかによって異なります。


関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.x)」

「[Add Failover Group] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス(ASA/PIX 7.x)」

「[Add Interface MAC Address] ダイアログボックス」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

フィールド リファレンス

 

表 37-7 [Settings] ダイアログボックス

要素
説明
[Interface Policy]

[Number of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこの値を超えると、セキュリティ アプライアンスはフェールオーバーします。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこのパーセンテージを超えると、セキュリティ アプライアンスはフェールオーバーします。

[Failover Poll Time]

[Unit Failover]

装置間での hello メッセージの間隔。値の範囲は 1 ~ 15 秒、またはミリ秒のオプションが選択されている場合は 200 ~ 999 ミリ秒です。

[Unit Hold Time]

装置がフェールオーバー リンク上で hello メッセージを受信する必要がある時間を設定します。設定した時間内に受信しない場合、装置はピアの障害のテスト プロセスを開始します。値の範囲は 3 ~ 45 秒、またはミリ秒のオプションが選択されている場合は 800 ~ 999 ミリ秒です。[Unit Failover] の値の 3 倍より少ない値は入力できません。

[Monitored Interface]

インターフェイス間でのポーリングの間隔。値の範囲は 3 ~ 15 秒、またはミリ秒のオプションが選択されている場合は 500 ~ 999 ミリ秒です。

[Interface Hold Time]

データ インターフェイスが hello メッセージを受信する必要がある時間を設定します。この時間が過ぎると、ピアの障害が宣言されます。有効な値は 5 ~ 75 秒です。

[Failover Groups]

[Group Number]

フェールオーバー グループの番号を指定します。この番号は、コンテキストをフェールオーバー グループに割り当てるときに使用されます。

[Preferred Role]

両方の装置が同時に起動した場合、またはプリエンプト オプションが選択されている場合に、フェールオーバー グループがアクティブ状態で表示されるフェールオーバー ペアの装置(プライマリまたはセカンダリ)を指定します。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。

[Preempt Enabled]

このフェールオーバー グループの優先フェールオーバー デバイスである装置が、リブート後にアクティブ装置になるかどうかを指定します。

[Preempt Delay]

優先フェールオーバー デバイスがリブート後にこのフェールオーバー グループのアクティブ装置として処理を引き継ぐまで待機する秒数を指定します。値の範囲は 0 ~ 1200 秒です。

[Interface Policy]

グループがフェールオーバーするまでに許可される、モニタ対象のインターフェイスの障害の回数またはパーセンテージを指定します。範囲は 1 ~ 250 回の障害、または 1 ~ 100% です。

[Interface Poll Time]

インターフェイス間でのポーリングの時間間隔を指定します。値の範囲は 3 ~ 15 秒です。

[Replicate HTTP]

ステートフル フェールオーバーがアクティブ HTTP セッションをこのフェールオーバー グループのスタンバイ ファイアウォールにコピーするかどうかを示します。HTTP レプリケーションを許可しない場合、HTTP 接続はフェールオーバー時に切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Setup] タブの HTTP レプリケーションの設定を上書きします。

[MAC Address]

アクティブ インターフェイスの MAC アドレスを指定します。

[MAC Address Mapping]

[Physical Interface]

フェールオーバー仮想 MAC アドレスを設定する物理インターフェイスを指定します。

[Active MAC Address]

アクティブ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Standby MAC Address]

スタンバイ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Monitor Interface Configuration]

[Interface Name]

インターフェイスの名前を表示します。

[Is Monitored]

このインターフェイスの障害をモニタするかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、そのインターフェイスで連続する 5 つの hello を受信しなかった場合(25 秒間)、インターフェイスに対してテストが開始されます。モニタ対象フェールオーバー インターフェイスのステータスは次のとおりです。

[Unknown]:初期ステータス。ステータスを特定できなかった場合も、このステータスになることがあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:5 回のポーリング時間にインターフェイスで Hello メッセージを受信していません。

[Link Down]:インターフェイスは管理上ダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスでトラフィックを受信していませんが、ピア インターフェイスではトラフィックを受信しています。

[Edit Row] ボタン

クリックすると、フェールオーバー インターフェイス設定を編集するための [Edit Failover Interface Configuration] ダイアログボックスが表示されます。

[Management IP Address]

[Active]

アクティブ デバイスの管理 IP アドレスを指定します。

[Netmask]

アクティブおよびスタンバイ IP アドレスに対応するネットマスクを指定します。

[Standby]

スタンバイ デバイスの管理 IP アドレスを指定します。

[Add Failover Group] ダイアログボックス

[Add Failover Group] ダイアログボックスは、アクティブ/アクティブ フェールオーバー設定のフェールオーバー グループを定義する場合に使用します。

ナビゲーション パス

[Add Failover Group] ダイアログボックスには [Failover] ページからアクセスできます。詳細については、「[Failover] ページ(ASA/PIX 7.x)」を参照してください。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.x)」

フィールド リファレンス

 

表 37-8 [Add Failover Group] ダイアログボックス

要素
説明

[Preferred Role]

両方の装置が同時に起動した場合、またはプリエンプト オプションが選択されている場合に、フェールオーバー グループがアクティブ状態で表示されるフェールオーバー ペアの装置(プライマリまたはセカンダリ)を指定します。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。

[Preempt after booting with optional delay of]

優先フェールオーバー デバイスがリブート後にこのフェールオーバー グループのアクティブ装置として処理を引き継ぐまで待機する秒数を指定します。値の範囲は 0 ~ 1200 秒です。

[Interface Policy]

インターフェイスのフェールオーバー ポリシーを選択します。

フェールオーバーをトリガーする、障害が発生したインターフェイスの数

フェールオーバーをトリガーする、障害が発生したインターフェイスのパーセンテージ

システムのフェールオーバー インターフェイス ポリシーの使用

[Poll time interval for monitored interfaces]

インターフェイス間でのポーリングの時間間隔を指定します。値の範囲は 3 ~ 15 秒です。

[Enable HTTP Replication]

ステートフル フェールオーバーがアクティブ HTTP セッションをこのフェールオーバー グループのスタンバイ ファイアウォールにコピーするかどうかを示します。HTTP レプリケーションを許可しない場合、HTTP 接続はフェールオーバー時に切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Setup] タブの HTTP レプリケーションの設定を上書きします。

[Interface Table]

[Physical Interface]

フェールオーバー仮想 MAC アドレスを設定する物理インターフェイスを指定します。

[Active MAC Address]

アクティブ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Standby MAC Address]

スタンバイ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Add]

クリックすると、フェールオーバー インターフェイス アソシエーションを定義するためのダイアログボックスが表示されます。

[Edit]

クリックすると、フェールオーバー インターフェイス アソシエーションを編集するためのダイアログボックスが表示されます。

[Delete]

選択したフェールオーバー インターフェイス アソシエーションを削除する場合にクリックします。

[Edit Failover Interface Configuration] ダイアログボックス(ASA/PIX 7.x)

[Edit Failover Interface Configuration] ダイアログボックスは、インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスをモニタするかどうかを指定する場合に使用します。


) PPPoE にはフェールオーバー インターフェイスを設定できません。


ナビゲーション パス

[Edit Failover Interface Configuration] ダイアログボックスには [Failover] ページからアクセスできます。詳細については、「[Failover] ページ(ASA/PIX 7.x)」を参照してください。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.x)」

「[Add Failover Group] ダイアログボックス」

フィールド リファレンス

 

表 37-9 [Edit Failover Interface Configuration] ダイアログボックス(ASA/PIX 7.x)

要素
説明

[Interface Name]

インターフェイス名を指定します。

[Active IP Address]

このインターフェイスの IP アドレスを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Standby IP Address]

スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Monitor this interface for failure]

このインターフェイスの障害をモニタするかどうかを指定します。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、そのインターフェイスで連続する 5 つの hello を受信しなかった場合(25 秒間)、インターフェイスに対してテストが開始されます。モニタ対象フェールオーバー インターフェイスのステータスは次のとおりです。

[Unknown]:初期ステータス。ステータスを特定できなかった場合も、このステータスになることがあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:5 回のポーリング時間にインターフェイスで Hello メッセージを受信していません。

[Link Down]:インターフェイスは管理上ダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスでトラフィックを受信していませんが、ピア インターフェイスではトラフィックを受信しています。

[Add Interface MAC Address] ダイアログボックス

[Add Interface MAC Address] ダイアログボックスを使用すると、フェールオーバー用に設定されている ASA、FWSM 3.x、および PIX 7.x セキュリティ アプライアンスの MAC アドレスを定義できます。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.x)」

「[Settings] ダイアログボックス」

フィールド リファレンス

 

表 37-10 [Add Interface MAC Address] ダイアログボックス

要素
説明

[Physical Interface]

フェールオーバー仮想 MAC アドレスを設定する物理インターフェイスを指定します。

[MAC Address]

[Active Interface]

アクティブ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Standby Interface]

スタンバイ インターフェイスの MAC アドレスを 16 進数形式で指定します(たとえば、0123.4567.89ab)。

[Bootstrap Configuration for LAN Failover] ダイアログボックス

[Bootstrap Configuration for LAN Failover] ダイアログボックスでは、LAN フェールオーバー設定のプライマリおよびセカンダリ デバイスに適用できるブートストラップ設定が表示されます。

ナビゲーション パス

[Bootstrap Configuration for LAN Failover] ダイアログボックスには、[Failover] ページからアクセスできます。[Failover] ページの詳細については、次の項を参照してください。

「[Failover] ページ(PIX 6.x)」

「[Failover] ページ(FWSM)」

「[Failover] ページ(ASA/PIX 7.x)」

関連項目

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

フィールド リファレンス

 

表 37-11 [Bootstrap Configuration for LAN Failover] ダイアログボックス

要素
説明

[Primary]

プライマリ デバイスのブートストラップ設定が含まれています。プライマリ デバイスへのコンソール接続を開き、この設定を貼り付けて、プライマリ デバイスでフェールオーバーをアクティブにします。

[Secondary]

セカンダリ デバイスのブートストラップ設定が含まれています。プライマリ デバイスがアクティブになったあとに、セカンダリ デバイスへのコンソール接続を開き、次に、この設定を貼り付けて、セカンダリ デバイスでフェールオーバーをアクティブにします。


) アクティブ/アクティブ フェールオーバーの場合、ブートストラップ設定は、各フェールオーバー ピア デバイスのシステム コンテキストにだけ適用されます。