Cisco Security Manager 4.1 ユーザ ガイド
フェールオーバーの設定
フェールオーバーの設定
発行日;2012/05/10 | 英語版ドキュメント(2011/03/15 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf , ドキュメント全体pdf (PDF - 17MB) | フィードバック

目次

フェールオーバーの設定

フェールオーバーについて

アクティブ/アクティブ フェールオーバー

ステートフル フェールオーバー

基本的なフェールオーバー設定

アクティブ/スタンバイ フェールオーバー設定の追加手順

ファイルまたは PKCS12 データへの証明書のエクスポート

スタンバイ デバイスへの証明書のインポート

フェールオーバー ポリシー

[Failover] ページ(PIX 6.3)

[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.3)

[Failover] ページ(FWSM)

[Advanced Settings] ダイアログボックス

[Failover] ページ(ASA/PIX 7.0 以降)

[Settings] ダイアログボックス

[Failover] ページ(セキュリティ コンテキスト)

[Bootstrap Configuration for LAN Failover] ダイアログボックス

フェールオーバーの設定

[Failover] ページで、選択したセキュリティ アプライアンスのフェールオーバーを設定できます。[Failover] ページで設定できる内容およびページ全体の外観は、選択したデバイスのタイプ、動作モード(ルーテッドまたはトランスペアレント)、およびコンテキスト モード(シングルまたはマルチ)によって若干異なる場合があります。

つまり、フェールオーバーの設定方法は、セキュリティ アプライアンスの動作モードとセキュリティ コンテキストの両方に応じて異なります。

インターフェイスをフェールオーバー リンクとして割り当てる場合は、次の警告に注意してください。

[AddInterface] と [Edit Interface] ダイアログボックスでインターフェイスを定義できますが、設定しないでください。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。詳細については、「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照してください。

IPv6 アドレスはフェールオーバー リンクではサポートされていません。

ASA 5505 では、別のインターフェイスのバックアップとして割り当てられたインターフェイスは、フェールオーバー リンクとして使用できません(ただし、これを防ぐためのチェックは実行されません)。

PPPoE 対応のインターフェイスをフェールオーバー リンクとして割り当てないでください。PPPoE とフェールオーバーを同じデバイス インターフェイスに設定しないでください(ただし、これを防ぐためのチェックは実行されません)。

フェールオーバー インターフェイスでは、別のインターフェイスと同じ IP アドレス(特に、管理 IP アドレス)は使用できません(ただし、これを防ぐためのチェックは実行されません)。

また、インターフェイスをフェールオーバー リンクとして割り当てると、そのインターフェイスは [Interfaces] ページに表示されますが、[Interfaces] ページでそのインターフェイスを編集および削除することはできません。ただし、唯一の例外として、物理インターフェイスをステートフル フェールオーバー リンクとして設定している場合は、その速度とデュプレックスを設定できます。

この章は、次の内容で構成されています。

「フェールオーバーについて」

「基本的なフェールオーバー設定」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「フェールオーバー ポリシー」

フェールオーバーについて

フェールオーバーを使用すると、同一の 2 台のセキュリティ アプライアンスで、一方に障害が発生した場合にもう一方がファイアウォール動作を引き継げるように設定できます。セキュリティ アプライアンスのペアを使用すると、オペレータの介入なしに、システムのハイ アベイラビリティが実現されます。

リンクされたこれらのセキュリティ アプライアンスは、専用リンクを介してフェールオーバー情報をやり取りします。このフェールオーバー リンクは、LAN ベースの接続であるか、または PIX セキュリティ アプライアンスの場合は専用シリアル フェールオーバー ケーブルです。このフェールオーバー リンクを介して次の情報が伝達されます。

現在のフェールオーバー状態(アクティブまたはスタンバイ)

「hello」メッセージ(別名「キープアライブ」)

ネットワーク リンク ステータス

MAC アドレス交換

設定の複製

接続ごとの状態情報(ステートフル フェールオーバーの場合)


注意 フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しないかぎり、クリア テキストで送信されます。VPN トンネルの終端にセキュリティ アプライアンスを使用している場合、この情報には、トンネルの確立に使用されたユーザ名、パスワード、および事前共有キーが含まれます。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクが生じる可能性があります。特に、VPN トンネルの終端にセキュリティ アプライアンスを使用している場合は、フェールオーバー キーを使用してフェールオーバー通信を保護することを推奨します。

Cisco セキュリティ アプライアンスは、次の 2 つのタイプのフェールオーバーをサポートします。

アクティブ/スタンバイ アクティブ セキュリティ アプライアンスが、すべてのネットワーク トラフィックを検査し、 スタンバイ セキュリティ アプライアンスは、アクティブ アプライアンスでフェールオーバーが発生するまでアイドル状態のままとなります。アクティブ セキュリティ アプライアンスの設定に加えた変更は、フェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。

フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になり、前にアクティブであった装置の IP アドレスと MAC アドレスを引き継ぎます。IP アドレスまたは MAC アドレスのこの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリがネットワーク上で変更されたりタイムアウトしたりすることはありません。

アクティブ/スタンバイ フェールオーバーを使用できるのは、シングル コンテキスト モードまたはマルチ コンテキスト モードで動作しているセキュリティ アプライアンスです。シングル コンテキスト モードでは、アクティブ/スタンバイ フェールオーバーだけを使用でき、すべてのフェールオーバー設定が [Failover] ページを使用して行われます。


) アクティブ/スタンバイ フェールオーバーを使用する場合、設定の変更はすべてアクティブ装置に対して行う必要があります。アクティブ装置は、これらの変更内容をスタンバイ装置に自動的に複製します。スタンバイ装置は、Security Manager デバイス リストにインポートまたは追加されません。

また、認証証明書をアクティブ デバイスからスタンバイ デバイスに手動でコピーする必要があります。詳細については、「アクティブ/スタンバイ フェールオーバー設定の追加手順」を参照してください。


アクティブ/アクティブ :両方のセキュリティ アプライアンスが、一方がアクティブで、もう一方がスタンバイになるようにそれぞれのロールを切り替えて、ネットワーク トラフィックをコンテキストごとに検査します。これは、アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作するセキュリティ アプライアンスだけで使用できることを意味します。

ただし、アクティブ/アクティブ フェールオーバーが、マルチ コンテキスト モードでの必須のフェールオーバーというわけではありません。つまり、マルチ コンテキスト モードで動作しているデバイスでは、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーを設定できます。いずれの場合も、システム コンテキストでシステムレベルのフェールオーバー設定を指定し、個々のセキュリティ コンテキストでコンテキストレベルのフェールオーバー設定を指定します。

この項目の詳細については、「アクティブ/アクティブ フェールオーバー」を参照してください。

さらに、フェールオーバーは、ステートレスまたはステートフルにすることができます。

ステートレス :「標準」フェールオーバーとも呼ばれます。ステートレス フェールオーバーでは、フェールオーバーが発生すると、アクティブな接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。

ステートフル :フェールオーバー ペアのアクティブ装置は、接続ごとの状態情報をスタンバイ装置に常に渡します。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報を使用できます。サポートされるエンドユーザ アプリケーションは、現在の通信セッションを保持するために再接続する必要はありません。

詳細については、「ステートフル フェールオーバー」を参照してください。

関連項目

「フェールオーバーの設定」

「基本的なフェールオーバー設定」

「フェールオーバー ポリシー」

アクティブ/アクティブ フェールオーバー

アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作するセキュリティ アプライアンスだけで使用できます。アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがコンテキストごとにネットワーク トラフィックを検査します。つまり、各コンテキストで、一方のアプライアンスがアクティブ デバイスで、もう一方のアプライアンスがスタンバイ デバイスとなります。

アクティブ ロールとスタンバイ ロールは、セキュリティ コンテキストのセット全体でほぼ任意で割り当てられます。

セキュリティ アプライアンスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、2 つのフェールオーバー グループのいずれかにセキュリティ コンテキストを割り当てる必要があります。フェールオーバー グループは、単に 1 つ以上のセキュリティ コンテキストの論理グループです。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループ割り当てを指定する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーになります。割り当てられていないセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーになります。

アクティブ/スタンバイ フェールオーバーと同様、アクティブ/アクティブ フェールオーバー ペアの各装置には、プライマリまたはセカンダリのどちらかが指定されます。アクティブ/スタンバイ フェールオーバーとは異なり、両方の装置が同時に起動した場合にどちらの装置がアクティブになるかは指示されていません。設定の各フェールオーバー グループには、プライマリまたはセカンダリ ロール プリファレンスが設定されます。このプリファレンスにより、両方の装置が同時に起動したときに、フェールオーバー グループのコンテキストがアクティブ状態で表示される装置が決まります。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。


) Cisco Security Manager は、アクティブ/アクティブ フェールオーバー モードのセキュリティ コンテキストを確実に管理するために、各コンテキストの管理インターフェイス用の IP アドレスを要求して、フェールオーバー ペアのアクティブなセキュリティ コンテキストと直接通信できるようにします。


初期設定同期は、一方または両方の装置が起動すると実行されます。この同期は、次のように実行されます。

両方の装置が同時に起動した場合、設定はプライマリ装置からセカンダリ装置に同期されます。

一方の装置がすでにアクティブであるときに、もう一方の装置が起動した場合は、起動した装置が、すでにアクティブな装置から設定を受信します。

両方の装置が稼動したあと、次のように、コマンドが一方の装置からもう一方の装置に複製されます。

セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。


) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。


システム実行スペースに入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。

コマンドの複製の実行に適切な装置上でコマンドを入力しなかった場合は、設定が非同期になります。これらの変更内容は、初期設定同期が次回行われるときに失われる可能性があります。


) アクティブ/アクティブ フェールオーバー設定のピア デバイスをブートストラップすると、そのブートストラップ設定は、それぞれのフェールオーバー ピア デバイスのシステム コンテキストにだけ適用されます。


アクティブ/アクティブ フェールオーバー設定では、フェールオーバーは、システムごとに発生するのではなく、フェールオーバー グループごとに発生します。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定した場合にフェールオーバー グループ 1 で障害が発生すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。


) アクティブ/アクティブ フェールオーバーを設定する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。


ステートフル フェールオーバー


) ステートフル フェールオーバーは、ASA 5505 アプライアンスではサポートされていません。


ステートフル フェールオーバーがイネーブルになっている場合、フェールオーバー ペアのアクティブ装置は、引き続きスタンバイ装置上の現在の接続状態情報を更新します。フェールオーバーの発生時、サポートされるエンドユーザ アプリケーションは、現在の通信セッションを保持するために再接続する必要がありません。


) ステート リンクおよび LAN フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。


ステートフル フェールオーバーを使用するには、すべての状態情報をスタンバイ装置に渡すようにリンクを設定する必要があります。シリアル フェールオーバー インターフェイス(PIX プラットフォームでだけ使用可能)ではなく、LAN フェールオーバー接続を使用している場合、ステート リンクおよびフェールオーバー リンクに同じインターフェイスを使用できます。ただし、スタンバイ装置に状態情報を渡すときは、専用のインターフェイスを使用することを推奨します。

ステートフル フェールオーバーがイネーブルになっている場合、次の情報がスタンバイ装置に渡されます。

NAT 変換テーブル

タイムアウト接続を含む、TCP 接続テーブル(HTTP を除く)

HTTP 接続状態(HTTP レプリケーションがイネーブルの場合)

H.323、SIP、および MGCP UDP メディア接続

システム クロック

ISAKMP および IPSec SA テーブル

ステートフル フェールオーバーがイネーブルになっている場合、次の情報はスタンバイ装置にコピーされません。

HTTP 接続テーブル(HTTP レプリケーションがイネーブルでない場合)

ユーザ認証(UAUTH)テーブル

ARP テーブル

ルーティング テーブル

基本的なフェールオーバー設定

次の手順では、基本的なフェールオーバー設定について説明します。インターフェイスをフェールオーバー リンクとして割り当てる場合は、次の警告に注意してください。

[AddInterface] と [Edit Interface] ダイアログボックスでインターフェイスを定義できますが、設定しないでください。特に、インターフェイス名は指定しないでください。このパラメータを指定すると、インターフェイスをフェールオーバー リンクとして使用できなくなります。

ASA 5505 では、別のインターフェイスのバックアップとして割り当てられたインターフェイスは、フェールオーバー リンクとして使用できません(ただし、これを防ぐためのチェックは実行されません)。

PPPoE 対応のインターフェイスをフェールオーバー リンクとして割り当てないでください。PPPoE とフェールオーバーを同じデバイス インターフェイスに設定しないでください(ただし、これを防ぐためのチェックは実行されません)。

フェールオーバー インターフェイスでは、別のインターフェイスと同じ IP アドレス(特に、管理 IP アドレス)は使用できません(ただし、これを防ぐためのチェックは実行されません)。


) フェールオーバー設定を保存すると、その設定はセキュリティ アプライアンスとフェールオーバー ピアの両方に適用されます。


はじめる前に

フェールオーバー設定が許可されたライセンスがデバイスにインストールされている必要があります。ASA 5505 と 5510 デバイスでは、このフェールオーバー ライセンスはオプションのライセンスです。フェールオーバー ライセンスは、ASDM またはデバイスの CLI を使用して、Security Manager の外部にインストールする必要があります。また、デバイス プロパティの(デバイスを右クリックして [Device Properties] を選択)の [General] ページで [License Supports Failover] オプションを必ず選択します。デバイスをインベントリに追加するときにライセンスをインストールする場合や、ライセンスをインストールしてからデバイス ポリシーを再検出する場合、Security Manager はライセンスを識別して、このオプションを適切に設定します。

このオプションを選択しても、ライセンスがインストールされていない場合、展開は失敗します。このオプションを選択しないと、ポリシーを設定しても、Security Manager によってデバイスにフェールオーバー ポリシーが展開されません。

関連項目

「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」

「フェールオーバーについて」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「フェールオーバー ポリシー」


ステップ 1 デバイス ビューが現在のアプリケーション ビューであることを確認します。必要に応じて、ツールバーの [Device View] ボタンをクリックします。


) デバイス ビューを使用したデバイス ポリシーの設定の詳細については、「デバイス ビューおよび Site-to-Site VPN Manager におけるポリシーの管理」を参照してください。


ステップ 2 設定するアプライアンスを選択します。

ステップ 3 デバイス ポリシー セレクタで [Platform] エントリを展開し、次に [Device Admin] を展開して、[Failover] を選択します。

[Failover] ページが表示されます。

ステップ 4 (PIX のみ)[Failover Method]([Serial Cable] または [LAN Based])を選択します。[Serial Cable] を選択する場合、[LAN Failover] 設定はディセーブルになります。2 台のデバイスを接続するケーブルが正しく接続されていることを確認します。

ステップ 5 [Enable Failover] を選択して、このアプライアンス上でのフェールオーバーをイネーブルにします。

ステップ 6 (任意)[Settings] ボタンをクリックして、選択したデバイスの [Settings] ダイアログボックスを開きます。[Settings] ダイアログボックスの内容は、デバイスのタイプ、およびデバイスがシングル モードまたはマルチ モードのどちらで動作しているかによって異なります。一部のオプションが使用できない場合があります。次の項を参照してください。

「[Settings] ダイアログボックス」(ASA/PIX 7+)

「[Advanced Settings] ダイアログボックス」(FWSM)

ステップ 7 [Bootstrap] ボタンをクリックして、[Bootstrap configuration for LAN failover] ダイアログボックスを開きます。このダイアログボックスでは、LAN フェールオーバー設定内のプライマリ デバイスとセカンダリ デバイスに適用できるブートストラップ設定が示されます。詳細については、「[Bootstrap Configuration for LAN Failover] ダイアログボックス」を参照してください。

ステップ 8 (マルチコンテキスト デバイスのみ)[Configuration] セクションで、フェールオーバー モード([Active/Active] または [Active/Standby])を選択します。

ステップ 9 (任意)次の手順を実行して、2 台のデバイス間の LAN フェールオーバー通信用のインターフェイスを設定します。

a. LAN ベースの通信用のデバイス インターフェイスを割り当て、次にキーボードの Tab キーを押してページを更新します。

PIX デバイスおよび ASA デバイスでは、このドロップダウン リストに、デバイスで定義されているインターフェイスが表示されます。ポート ID( gigabitethernet1 など)を入力するか、またはインターフェイスをすでに定義している場合はポートを選択できます。

FWSM では、このインターフェイス リストには VLAN ID は読み込まれません。ユーザは、使用する必要がある VLAN の数値 ID を入力する必要があります。


) いずれの場合も、名前付きインターフェイスは指定できず、PPPoE にはインターフェイスを設定できません。


b. [Logical Name] にこのフェールオーバー インターフェイスの論理名を指定します。

c. [Active IP] にフェールオーバー通信用のアクティブ IP アドレスを入力します。

d. [Standby IP] にフェールオーバー通信用のスタンバイ IP アドレスを入力します。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用されます。

e. [Subnet Mask] に両方の IP アドレスのサブネット マスクを入力します。両方が同じサブネット上にある必要があります。

ステップ 10 (任意)次の手順を実行して、2 台のデバイス間のステートフル フェールオーバー通信用のインターフェイスをイネーブルにし、設定します。

a. 更新通信用のデバイス インターフェイスを割り当て、次にキーボード上の Tab キーを押してページを更新します。

ポート ID( gigabitethernet1 など)を入力するか、またはインターフェイスをすでに定義している場合は、ポートを選択できます。ただし、名前付きインターフェイスは指定できません。


) FWSM では、これは VLAN インターフェイスです。


b. [Logical Name] にこのインターフェイスの論理名を指定します。

c. [Active IP] に接続更新用のアクティブ IP アドレスを入力します。

d. [Standby IP] に更新通信用のスタンバイ IP アドレスを入力します。

e. [Subnet Mask] に両方の IP アドレスのサブネット マスクを入力します。両方が同じサブネット上にある必要があります。

f. HTTP 接続情報を保持するには、[Enable HTTP Replication] を選択します。

HTTP を除くすべての TCP プロトコルに関する接続情報が、スタンバイ装置に伝達されます。HTTP 接続は一般に存続期間が短いため除かれます。フェールオーバー中に HTTP 接続を保持するには、このオプションを選択します。

ステップ 11 通信の暗号化キーを指定します。共有キーを入力し、次に [Confirm] フィールドに再度入力します。両方のデバイスで同じキーを必ず入力してください(3.1 よりも前のバージョンの FWSM では使用できません)。

共有キーには、最大 63 の英数字の任意の文字列を使用できます。[HEX] オプションが選択されている場合、共有キーは、厳密に 32 の 16 進数文字からなる任意の文字列となります([HEX] オプションは、PIX/ASA バージョン 7.0.5 以降、および FWSM バージョン 3.1.3 以降でだけ使用できます)。


) この手順の実行は任意ですが、フェールオーバー通信を暗号化することを強く推奨します。


ステップ 12 非対称ルーテッド セッションのフェールオーバーの再接続タイムアウト値を指定するには、時間を hh:mm:ss(分と秒の値は省略可能)形式で [Timeout] フィールドに入力します。このフィールドが空白(デフォルト)または 0 の場合、再接続は行われません。この値を -1 に設定すると、タイムアウトがディセーブルになり、任意の時間が経過したあとでも接続を再開できます。

ステップ 13 (FWSM だけ)設定されているインターフェイスが、[Interface Configuration] テーブルにリストされます。リストされているインターフェイスのフェールオーバー設定を編集するには、そのフェールオーバー設定を選択し、[Edit Row] ボタンをクリックして「[Edit Failover Interface Configuration] ダイアログボックス」を開きます。


 

アクティブ/スタンバイ フェールオーバー設定の追加手順

Cisco Security Manager を使用すると、PIX/ASA/FWSM デバイスにインストールされている証明書を検証して、そのデバイスを認証できます。アクティブ/スタンバイ フェールオーバー設定でファイアウォールを設定する場合は、証明書をアクティブ デバイスからスタンバイ デバイスに手動でコピーして、フェールオーバーの発生後に Security Manager がスタンバイ デバイスと通信できるようにする必要があります。

次の手順では、ASDM を使用して、ネットワーク内のセキュリティ アプライアンスのアイデンティティ証明書、CA 証明書、およびキーをエクスポートまたは表示し、次に ASDM を使用してその情報をスタンバイ デバイスにインポートする方法について説明します。

「ファイルまたは PKCS12 データへの証明書のエクスポート」

「スタンバイ デバイスへの証明書のインポート」

ファイルまたは PKCS12 データへの証明書のエクスポート

トラストポイント設定をエクスポートするには、ASDM を使用して次の手順を実行します。


ステップ 1 [Configuration] > [Features] > [Device Administration] > [Certificate] > [Trustpoint] > [Export] に移動します。

ステップ 2 [Trustpoint Name]、[Encryption Passphrase]、および [Confirm Passphrase] の各フィールドに入力します。これらのフィールドの詳細については、[Help] をクリックしてください。

ステップ 3 トラストポイント設定をエクスポートするための方法を選択します。

[Export to a File]:ファイル名を入力するか、またはファイルを参照します。

[Display the trustpoint configuration in PKCS12 format]:トラストポイント設定全体をテキスト ボックスに表示してから、インポートするためにコピーします。詳細については、[Help] をクリックしてください。

ステップ 4 [Export] をクリックします。


 

スタンバイ デバイスへの証明書のインポート

トラストポイント設定をインポートするには、ASDM を使用して次の手順を実行します。


ステップ 1 [Configuration] > [Features] > [Device Administration] > [Certificate] > [Trustpoint] > [Import] に移動します。

ステップ 2 [Trustpoint Name]、[Decryption Passphrase]、および [Confirm Passphrase] の各フィールドに入力します。これらのフィールドの詳細については、[Help] をクリックしてください。この復号化パスフレーズは、このトラストポイントがエクスポートされたときに使用された暗号化パスフレーズと同じです。

ステップ 3 トラストポイント設定をインポートするための方法を選択します。

[Import from a File]:ファイル名を入力するか、またはファイルを参照します。

[Enter the trustpoint configuration in PKCS12 format]:エクスポート元からのトラストポイント設定全体をテキスト ボックスに貼り付けます。詳細については、[Help] をクリックしてください。


 

フェールオーバー ポリシー

この項では、さまざまなタイプのセキュリティ アプライアンスにおけるフェールオーバー設定を説明しているページを示します。ページは、デバイス タイプ別に整理されています。

PIX 6.x ファイアウォール

「[Failover] ページ(PIX 6.3)」

「[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.3)」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

ファイアウォール サービス モジュール

「[Failover] ページ(FWSM)」

「[Advanced Settings] ダイアログボックス」

「[Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

適応型セキュリティ アプライアンスおよび PIX 7.0 ファイアウォール

「[Failover] ページ(ASA/PIX 7.0 以降)」

「[Settings] ダイアログボックス」

「[Edit Failover Group] ダイアログボックス」

「[Edit Failover Interface Configuration] ダイアログボックス」

「[Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

[Failover] ページ(PIX 6.3)

[Failover] ページは、PIX 6.3.x ファイアウォールのフェールオーバー値を設定するために使用します。

ナビゲーション パス

[Device View] で PIX 6.3.x デバイスを選択してから、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバーについて」

「フェールオーバー ポリシー」

フィールド リファレンス

 

表 46-1 [Failover] ページ(PIX 6.3)

要素
説明
[Failover]

[Failover Method]

フェールオーバー リンクのタイプを [Serial Cable] または [LAN Based] から選択します。[Serial Cable] を選択する場合、物理ケーブルが両方のデバイスに接続されていることを確認します。

[Enable Failover]

このデバイスでフェールオーバーをイネーブルにするには、このチェックボックスをオンにします。両方のデバイスのソフトウェア バージョン、アクティベーション キー タイプ、フラッシュ メモリ、およびメモリが同じであることを確認します。

PIX デバイスで [Failover Method] に [LAN Based] を選択している場合、次に論理 LAN フェールオーバー インターフェイスを設定する必要があります。また、任意でステートフル フェールオーバー インターフェイスを設定します。

[Bootstrap] ボタン

クリックすると、[Bootstrap Configuration for LAN Failover] ダイアログボックスが表示されます。詳細については、「[Bootstrap Configuration for LAN Failover] ダイアログボックス」を参照してください。

[Failover Poll Time]

装置間での hello メッセージの間隔を指定します。値の範囲は 3 ~ 15 秒です。デフォルトは 15 です。

[LAN-Based Failover]

これらのフィールドは [Failover Method] に [LAN Based] が選択されているときに使用できます。

[Interface]

LAN ベースのフェールオーバーに使用するインターフェイスを選択します。[Not Selected] を選択すると、LAN ベースのフェールオーバーがディセーブルになります。

[Shared Key]

[Confirm]

プライマリ デバイスとスタンバイ デバイス間の通信を暗号化するために使用します。値には任意の英数文字列を指定できます。

[Confirm] フィールドに [Shared Key] をもう一度入力します。

[Stateful Failover]

(任意)「ステートフル フェールオーバー」を設定するには、次のパラメータを指定します。

[Interface]

ステートフル フェールオーバーに使用するインターフェイスを選択します。[Not Selected] を選択すると、ステートフル フェールオーバーがディセーブルになります。

(注) リストから高速 LAN リンクを選択する必要があります(100full、1000full、1000sxfull など)。

[Enable HTTP Replication]

選択すると、アクティブな HTTP セッションがスタンバイ ファイアウォールにコピーされます。選択しないと、HTTP 接続はフェールオーバー時に切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。

[Interface Configuration]

このテーブルには、使用可能なすべての名前付きインターフェイスが一覧表示されます。インターフェイスの [Standby IP Address] および [Active MAC Address] と [Standby MAC Address] を定義するには、リストからそれらを選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.3)」を開きます。

[Edit Failover Interface Configuration] ダイアログボックス(PIX 6.3)

[Edit Failover Interface Configuration] ダイアログボックスを使用して、選択した PIX 6.3.x デバイスのフェールオーバー インターフェイスを設定します。


) PPPoE にはフェールオーバー インターフェイスを設定できません。


ナビゲーション パス

[Edit Failover Interface Configuration] ダイアログボックスには、「[Failover] ページ(PIX 6.3)」の [Interface Configuration] テーブルからアクセスできます。

関連項目

「フェールオーバー ポリシー」

フィールド リファレンス

 

表 46-2 [Edit Failover Interface Configuration] ダイアログボックス(PIX 6.3)

要素
説明

[Interface]

インターフェイスの名前。読み取り専用です。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを表示します。このアドレスは、アクティブ デバイスと通信するためにスタンバイ デバイスによって使用されます。アドレスは、システムの IP アドレスと同じネットワーク上にある必要があります。

このインターフェイスのアクティブ IP アドレス。読み取り専用です。このアドレスは、アクティブ デバイスと通信するためにスタンバイ デバイスによって使用されます。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドはブランクです。

ヒント この IP アドレスを ping ツールで使用して、アクティブ デバイスのステータスを確認できます。

[Netmask]

アクティブ IP アドレスのサブネット マスク。読み取り専用です。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドはブランクです。

[Standby IP Address]

スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。このアドレスは、スタンバイ デバイスと通信するためにアクティブ デバイスによって使用されます。アドレスは、システムの IP アドレスと同じネットワーク上にある必要があります。

インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

ヒント この IP アドレスを ping ツールで使用して、スタンバイ デバイスのステータスを確認できます。

[Failover MAC Addresses]

これらのパラメータでは、フェールオーバー用に設定する物理インターフェイスの仮想 MAC アドレスを定義できます。これらのアドレスはオプションです。

[Active MAC Address]

アクティブ インターフェイスの MAC アドレスを 16 進数形式で指定します(0123.4567.89ab など)。

[Standby MAC Address]

スタンバイ インターフェイスの MAC アドレスを 16 進数形式で指定します(0123.4567.89ab など)。

[Failover] ページ(FWSM)

[Failover] ページを使用して、選択した Firewall Services Module(FWSM; ファイアウォール サービス モジュール)の基本的なフェールオーバー値を設定します。

ナビゲーション パス

この機能にアクセスするには、デバイス ビューで FWSM を選択し、次に、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

フィールド リファレンス

 

表 46-3 [Failover] ページ(FWSM)

要素
説明

[Enable Failover]

このデバイスでフェールオーバーをイネーブルにするには、このチェックボックスをオンにします。両方のデバイスのソフトウェア バージョン、アクティベーション キー、フラッシュ メモリ、およびメモリが同じであることを確認します。

次に論理 LAN フェールオーバー インターフェイスを設定する必要があります。また、任意でステートフル フェールオーバー インターフェイスを設定します。

[Settings] ボタン

クリックすると、「[Advanced Settings] ダイアログボックス」が表示されます。これは、フェールオーバーを実行するタイミングを定義します。

[Configuration]

このセクションは、マルチコンテキスト モードで動作している FWSM 3.1.1 以降のデバイスでのみ表示されます。

[Active/Active]

アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがコンテキストごとにネットワーク トラフィックを検査します。つまり、各コンテキストで、一方のアプライアンスがアクティブ デバイスで、もう一方のアプライアンスがスタンバイ デバイスとなります。

デバイスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、2 つのフェールオーバー グループのいずれかにセキュリティ コンテキストを割り当てる必要があります。フェールオーバー グループは、単に 1 つ以上のセキュリティ コンテキストの論理グループです。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループ割り当てを指定する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーになります。割り当てられていないセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーになります。フェールオーバー グループへのコンテキストの割り当てについては、「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」を参照してください。

[Active/Standby]

アクティブ/スタンバイ設定では、アクティブ セキュリティ アプライアンスがフェールオーバー ペアを通過するすべてのネットワーク トラフィックを処理します。スタンバイ セキュリティ アプライアンスは、アクティブ セキュリティ アプライアンスで障害が発生するまではネットワーク トラフィックを処理しません。アクティブ セキュリティ アプライアンスの設定が変更されるたびに、設定情報がフェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。

フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になります。前のアクティブ装置の IP アドレスと MAC アドレスが使用されます。IP アドレスまたは MAC アドレスの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリが変更されたりタイムアウトしたりすることはありません。

[LAN Failover]

[VLAN]

フェールオーバー リンクに使用している VLAN インターフェイスの数値 ID(11 など)を入力します。このリストには、VLAN ID は自動的に読み込まれません。[Not Selected] を強調表示して、目的の VLAN ID 番号を入力し、キーボードの Tab キーを押して関連フィールドをアクティブ化する必要があります。

フェールオーバー用に設定する場合、インターフェイスはスタンバイ デバイスに直接接続されます。

[Logical Name]

フェールオーバー VLAN インターフェイスの論理名を入力します。

[Active IP Address]

このインターフェイスのアクティブ IP アドレスを指定します。

[Standby IP Address]

このインターフェイスのスタンバイ IP アドレスを指定します。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用され、アクティブ IP アドレスと同じサブネットに存在する必要があります。

[Subnet Mask]

アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力します。

[Bootstrap] ボタン

クリックすると、[Bootstrap Configuration for LAN Failover] ダイアログボックスが表示されます。詳細については、「[Bootstrap Configuration for LAN Failover] ダイアログボックス」を参照してください。

[Stateful Failover]

(任意)「ステートフル フェールオーバー」を設定するには、次のパラメータを指定します。

[VLAN]

フェールオーバー リンクに使用している VLAN インターフェイスの数値 ID(12 など)を入力します。このリストには、VLAN ID は自動的に読み込まれません。[Not Selected] を強調表示して、目的の VLAN ID 番号を入力し、キーボードの Tab キーを押して関連フィールドをアクティブ化する必要があります。

フェールオーバー用に設定する場合、インターフェイスはスタンバイ デバイスに直接接続されます。

[Logical Name]

ステートフル フェールオーバー VLAN インターフェイスの論理名を入力します。

[Active IP Address]

このインターフェイスのアクティブ IP アドレスを指定します。

[Standby IP Address]

このインターフェイスのスタンバイ IP アドレスを指定します。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用され、アクティブ IP アドレスと同じサブネットに存在する必要があります。

[Subnet Mask]

アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力します。

[Enable HTTP Replication]

選択すると、ステートフル フェールオーバーで、アクティブ HTTP セッションをスタンバイ ファイアウォールにコピーできるようになります。選択しないと、HTTP 接続はフェールオーバー時に切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。

[Shared Key](FWSM 3.1.1 以降のみ)

このセクションのオプションを使用すると、共有暗号キーを提供して、アクティブ デバイスとスタンバイ デバイス間の通信を暗号化できます。


注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しないかぎり、クリア テキストで送信されます。このデバイスを VPN トンネルの終端に使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクが生じる可能性があります。共有キーを使用して、フェールオーバー通信のセキュリティを確保することを推奨します。

[Shared Key]

[Confirm]

最大 63 文字の数字、文字、句読点の文字列を入力します。この文字列は暗号キーを生成するために使用されます。

[Confirm] フィールドにこの文字列をもう一度入力します。

[HEX] を選択する場合、[Shared Key] と [Confirm] のフィールドには、厳密に 32 文字の 16 進数(0 ~ 9、a ~ f)を入力する必要があります。

[Interface Configuration]

このテーブルは、シングルコンテキスト モードで動作しているデバイスまたは個々のセキュリティ コンテキストだけの [Failover] ページに表示されます。

このテーブルには、使用可能なすべての名前付きインターフェイスが一覧表示されます。インターフェイスのモニタリングをイネーブルまたはディセーブルにするには、インターフェイスをリストから選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Interface Configuration] ダイアログボックス」を開きます。[Monitor this interface for failure] をオンまたはオフにします。

[Advanced Settings] ダイアログボックス

[Advanced Settings] ダイアログボックスでは、選択した FWSM 用に追加のフェールオーバーを設定できます。


) 次のリファレンス テーブルは、[Advanced Settings] ダイアログボックスに表示される可能性があるすべてのフィールドを示しています。実際に表示されるフィールドは、動作モード(ルーテッドまたはトランスペアレント)とデバイスがシングル コンテキストとマルチ コンテキストのどちらをホストしているかによって異なります。


ナビゲーション パス

「[Failover] ページ(FWSM)」の [Settings] ボタンをクリックして、[Advanced Settings] ダイアログボックスにアクセスできます。

関連項目

「フェールオーバー ポリシー」

フィールド リファレンス

 

表 46-4 [Advanced Settings] ダイアログボックス

要素
説明

[Interface Policy]

障害が発生したインターフェイス オプションを選択して、適切な値を指定します。

[Number of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこの値を超えると、セキュリティ アプライアンスはフェールオーバーします。有効な値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこのパーセンテージを超えると、セキュリティ アプライアンスはフェールオーバーします。

[Failover Poll Time]

これらのフィールドは、フェールオーバー リンクに送信される hello メッセージの頻度、および hello メッセージを受信していないときにピアの障害テストを実行するまでに待機する時間を定義します。

[Unit Failover]

フェールオーバー装置間での hello メッセージの間隔。秒単位で 1 ~ 15 の値を入力するか、[msec] をオンにする場合は、ミリ秒単位で 500 ~ 999 の値を入力します。

[Unit Hold Time]

フェールオーバー リンク上で hello メッセージを待機する時間。この時間を過ぎると、装置はピアの障害テストを開始します。秒単位で 3 ~ 45 の値を入力します。この値は少なくとも [Unit Failover] 値の 3 倍である必要があります。

[Monitored Interface]

インターフェイス間でのポーリングの間隔。秒単位で 3 ~ 15 の値を入力します。

[MAC Address Mapping]

アクティブ/スタンバイ モードでは、このテーブルにはインターフェイスと仮想 MAC アドレスのマッピングが一覧表示されます。これは Security Manager の標準のテーブルです。「テーブルの使用」で説明されているとおり、このテーブルには [Add Row]、[Edit Row]、[Delete Row] ボタンがあります。

インターフェイス マッピングを追加または編集するには、[Add Row] または [Edit Row] ボタンをクリックして、「[Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス」を開きます。

[Failover Groups]

アクティブ/アクティブ モードでは、このテーブルには両方のフェールオーバー グループが一覧表示されます。いずれかのグループのフェールオーバー パラメータを編集するには、グループをリストで選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Group] ダイアログボックス」を開きます。

[Bridge Group Configuration]

シングルコンテキスト トランスペアレント モードでは、このテーブルには現在定義されているすべてのブリッジ グループが一覧表示されます(「デバイス インターフェイス、ハードウェア ポート、ブリッジ グループの管理」を参照)。スタンバイ IP アドレスをブリッジ グループに追加するには、グループをリストで選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Bridge Group Configuration] ダイアログボックス」を開きます。

[Edit Failover Bridge Group Configuration] ダイアログボックス

このダイアログボックスを使用して、スタンバイ IP アドレスをフェールオーバー ブリッジ グループに追加します。

ナビゲーション パス

[Edit Failover Bridge Group Configuration] ダイアログボックスには、次の場所からアクセスできます。

ASA 上のトランスペアレント モードの個々のセキュリティ コンテキストに表示される [Failover] ページ。

トランスペアレント モードの FWSM で表示される 「[Advanced Settings] ダイアログボックス」の [Bridge Group Configuration] テーブル。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.0 以降)」

「[Failover] ページ(FWSM)」

フィールド リファレンス

 

表 46-5 [Edit Failover Bridge Group Configuration] ダイアログボックス

要素
説明

[Name]

ブリッジ グループを示します。編集はできません。

[IP Address]

ブリッジ グループに割り当てられている IP アドレスを示します。編集はできません。

[Network Mask]

IP アドレスのサブネット マスクを示します。編集はできません。

[Standby Address]

スタンバイ ブリッジ グループの IP アドレスを入力します。このアドレスはプライマリ アドレスと同じサブネットにある必要があります。

[Failover] ページ(ASA/PIX 7.0 以降)

[Failover] ページを使用して、ASA および PIX 7.0 以降のセキュリティ デバイスの基本的なフェールオーバー値を設定します。


) [Failover] ページに表示される機能とオプションは、選択したデバイスのタイプ、オペレーティング システムのバージョン、ファイアウォール モード(ルーテッドまたはトランスペアレント)、およびセキュリティ コンテキスト(シングルまたはマルチ)によって異なります。したがって、次の表で説明されている要素によっては、現在選択しているデバイスの [Failover] ページに表示されないものもあります。


ナビゲーション パス

[Device View] で ASA または PIX 7.0 以降を選択してから、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバーについて」

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

フィールド リファレンス

 

表 46-6 [Failover] ページ(ASA/PIX 7.0 以降)

要素
説明

[Failover Method]

フェールオーバー リンクのタイプを [Serial Cable] または [LAN Based] から選択します。[Serial Cable] を選択する場合、物理ケーブルが両方のデバイスに接続されていることを確認します。

(注) このオプションは PIX デバイスでのみ使用できます。

[Enable Failover]

このデバイスでフェールオーバーをイネーブルにするには、このチェックボックスをオンにします。両方のデバイスのソフトウェア バージョン、アクティベーション キー タイプ、フラッシュ メモリ、およびメモリが同じであることを確認します。

PIX デバイスで [Failover Method] に [LAN Based] を選択している場合およびすべての ASA では、次に論理 LAN フェールオーバー インターフェイスを設定する必要があります。また、任意でステートフル フェールオーバー インターフェイスを設定します。

[Bootstrap] ボタン

クリックすると、[Bootstrap Configuration for LAN Failover] ダイアログボックスが表示されます。詳細については、「[Bootstrap Configuration for LAN Failover] ダイアログボックス」を参照してください。

[Settings] ボタン

クリックすると、「[Settings] ダイアログボックス」が表示されます。これは、フェールオーバーを実行するタイミングを定義します。

[Timeout]

フェールオーバーの [Timeout] では、システムが起動したときまたはアクティブになったときを起点として、ネイリングされたセッションが受け入れられる期間を指定します。これは、スタティック トランスレーション ルールととともに使用されます(詳細については、「[Static Rules] タブ」を参照してください)。

非対称ルーテッド セッションのフェールオーバーの再接続タイムアウト値を指定するには、このフィールドに値を入力します。値は hh:mm:ss(時間:分:秒)の形式で入力します。分と秒は両方ともオプションです。

時間の有効な値 -1 ~ 1193 です。デフォルト値は 0 です。0 に設定すると、接続は再確立されません。この値を -1 に設定すると、タイムアウトがディセーブルになり、任意の時間が経過したあとでも再接続できます。

[Configuration]

このセクションは、マルチコンテキスト モードで動作しているデバイスでのみ表示されます。

[Active/Active]

アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがコンテキストごとにネットワーク トラフィックを検査します。つまり、各コンテキストで、一方のアプライアンスがアクティブ デバイスで、もう一方のアプライアンスがスタンバイ デバイスとなります。

セキュリティ アプライアンスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、2 つのフェールオーバー グループのいずれかにセキュリティ コンテキストを割り当てる必要があります。フェールオーバー グループは、単に 1 つ以上のセキュリティ コンテキストの論理グループです。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループ割り当てを指定する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバーになります。割り当てられていないセキュリティ コンテキストもデフォルトでフェールオーバー グループ 1 のメンバーになります。フェールオーバー グループへのコンテキストの割り当てについては、「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」を参照してください。

[Active/Standby]

アクティブ/スタンバイ設定では、アクティブ セキュリティ アプライアンスがフェールオーバー ペアを通過するすべてのネットワーク トラフィックを処理します。スタンバイ セキュリティ アプライアンスは、アクティブ セキュリティ アプライアンスで障害が発生するまではネットワーク トラフィックを処理しません。アクティブ セキュリティ アプライアンスの設定が変更されるたびに、設定情報がフェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。

フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になります。前のアクティブ装置の IP アドレスと MAC アドレスが使用されます。IP アドレスまたは MAC アドレスの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリが変更されたりタイムアウトしたりすることはありません。

[LAN Failover]

[Interface]

フェールオーバー リンクとして使用するインターフェイスを選択します。デバイス上の使用可能なすべてのインターフェイスが一覧表示されます。

フェールオーバー用に設定する場合、インターフェイスはスタンバイ デバイスに直接接続されます。

(注) フェールオーバー リンクとして EtherChannel インターフェイスを選択できます。フェールオーバー リンクとして割り当てられた他のタイプのインターフェイスと同様、EtherChannel インターフェイスに名前を付けることはできません。また、EtherChannel のメンバ インターフェイスに名前を付けることもできません。さらに、アクティブ フェールオーバー リンクとして使用されている最中は、インターフェイス設定を変更することはできません。詳細は「EtherChannel の設定」を参照してください。

[Logical Name]

フェールオーバー インターフェイスの論理名を入力します。

[Active IP Address]

このインターフェイスのアクティブ IP アドレスを指定します。

[Standby IP Address]

このインターフェイスのスタンバイ IP アドレスを指定します。

フェールオーバー ペアの両方の装置からパケットを受信するには、すべてのインターフェイスにスタンバイ IP アドレスを設定する必要があります。スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティ アプライアンスで使用され、アクティブ IP アドレスと同じサブネットに存在する必要があります。

[Subnet Mask]

アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力します。

[Stateful Failover]

(任意)「ステートフル フェールオーバー」を設定するには、次のパラメータを指定します。

[Interface]

ステートフル フェールオーバー リンクに使用するインターフェイスを選択します。デバイス上の使用可能なすべてのインターフェイスが一覧表示されます。

(注) ステートフル フェールオーバー リンクとして EtherChannel インターフェイスを選択できます。フェールオーバー リンクとして割り当てられた他のタイプのインターフェイスと同様、EtherChannel インターフェイスに名前を付けることはできません。また、EtherChannel のメンバ インターフェイスに名前を付けることもできません。さらに、アクティブ フェールオーバー リンクとして使用されている最中は、インターフェイス設定を変更することはできません。詳細は「EtherChannel の設定」を参照してください。

[Logical Name]

アクティブ ファイアウォール デバイス上のインターフェイスの論理名を入力します。このインターフェイスは、フェールオーバー時にスタンバイ デバイスと通信します。ステートフル フェールオーバー用に設定されたインターフェイスは、スタンバイ デバイスに直接接続します。

[Active IP Address]

アクティブ インターフェイスの IP アドレスを指定します。

[Standby IP Address]

スタンバイ インターフェイスの IP アドレスを指定します。

[Subnet Mask]

アクティブ IP アドレスおよびスタンバイ IP アドレスのサブネット マスクを入力します。

[Enable HTTP Replication]

選択すると、アクティブな HTTP セッションがスタンバイ ファイアウォールにコピーされます。選択しないと、HTTP 接続はフェールオーバー時に切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。

[Key]

このセクションのオプションを使用すると、アクティブ デバイスとスタンバイ デバイス間の通信を暗号化できます。タイプを選択して、共有暗号キーを生成する文字列を指定します。


注意 フェールオーバー リンクとステートフル フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しないかぎり、クリア テキストで送信されます。このデバイスを VPN トンネルの終端に使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで送信すると、重大なセキュリティ リスクが生じる可能性があります。共有キーを使用して、フェールオーバー通信のセキュリティを確保することを推奨します。

[Any string]

[HEX]

[Any string] を選択すると、[Shared Key] フィールドには、最大 63 文字の数字、文字、句読点の任意の組み合わせを入力できます。この文字列は暗号キーを生成するために使用されます。

[HEX] を選択する場合、[Shared Key] と [Confirm] のフィールドには、厳密に 32 文字の 16 進数(0 ~ 9、a ~ f)を入力する必要があります。この文字列は暗号キーとして使用されます。

[Shared Key]

[Confirm]

キー タイプとして選択した [Any string] または [HEX] のいずれかに適した文字列を入力します。

[Confirm] フィールドに文字列をもう一度入力します。

[Interface Configuration]
(場合によっては [Monitor Interface Configuration] と表示)

このテーブルは、シングルコンテキスト、トランスペアレント モードで動作している ASA 8.4.1 以降のデバイスおよび PIX/ASA デバイスの個々のコンテキストの [Failover] ページに表示されます。これらに表示されない場合は、「[Settings] ダイアログボックス」に表示されます。

このテーブルには、使用可能なすべての名前付きインターフェイスが一覧表示されます。インターフェイスのモニタリングをイネーブルまたはディセーブルにするには、インターフェイスをリストから選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Interface Configuration] ダイアログボックス」を開きます。[Monitor this interface for failure] をオンまたはオフにします。

[Settings] ダイアログボックス

[Settings] ダイアログボックスでは、選択した ASA または PIX 7.x アプライアンスでフェールオーバーが発生するタイミングの基準を定義できます。

ナビゲーション パス

「[Failover] ページ(ASA/PIX 7.0 以降)」の [Settings] ボタンをクリックすると、[Settings] ダイアログボックスにアクセスできます。


) 次のリファレンス テーブルは、[Settings] ダイアログボックスに表示される可能性があるすべてのフィールドを示しています。実際に表示されるフィールドは、動作モード(ルーテッドまたはトランスペアレント)とデバイスがシングル コンテキストとマルチ コンテキストのどちらをホストしているかによって異なります。


関連項目

「フェールオーバー ポリシー」

「[Edit Failover Interface Configuration] ダイアログボックス」

「[Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス」

「[Bootstrap Configuration for LAN Failover] ダイアログボックス」

フィールド リファレンス

 

表 46-7 [Settings] ダイアログボックス

要素
説明
[Interface Policy]

[Number of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこの値を超えると、セキュリティ アプライアンスはフェールオーバーします。値の範囲は 1 ~ 250 です。

[Percentage of failed interfaces]

障害が発生したモニタ対象インターフェイスの数がこのパーセンテージを超えると、セキュリティ アプライアンスはフェールオーバーします。

[Failover Poll Time]

[Unit Failover]

装置間での hello メッセージの間隔。値の範囲は 1 ~ 15 秒です。[Change units to msec] オプションをオンにしている場合は 200 ~ 999 ミリ秒です。

[Unit Hold Time]

装置がフェールオーバー リンク上で hello メッセージを受信する必要がある時間を設定します。設定した時間内に受信しない場合、装置はピアの障害のテスト プロセスを開始します。値の範囲は 3 ~ 45 秒です。[msec] オプションをオンにしている場合は 800 ~ 999 ミリ秒です。[Unit Failover] の値の 3 倍より少ない値は入力できません。

[Monitored Interface]

インターフェイス間でのポーリングの間隔。値の範囲は 3 ~ 15 秒、またはミリ秒のオプションが選択されている場合は 500 ~ 999 ミリ秒です。

[Interface Hold Time]

データ インターフェイスが hello メッセージを受信する必要がある時間を設定します。この時間が過ぎると、ピアの障害が宣言されます。有効な値は 5 ~ 75 秒です。この値は少なくとも [Unit Failover] 値の 5 倍である必要があります。

[Failover Groups]

アクティブ/アクティブ モードでは、このテーブルには両方のフェールオーバー グループが一覧表示されます。いずれかのグループのフェールオーバー パラメータを編集するには、グループをリストで選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Group] ダイアログボックス」を開きます。

[MAC Address Mapping]

アクティブ/スタンバイ モードでは、このテーブルにはインターフェイスと仮想 MAC アドレスのマッピングが一覧表示されます。これは Security Manager の標準のテーブルです。「テーブルの使用」で説明されているとおり、このテーブルには [Add Row]、[Edit Row]、[Delete Row] ボタンがあります。

インターフェイス マッピングを追加または編集するには、[Add Row] または [Edit Row] ボタンをクリックして、「[Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス」を開きます。

[Monitor Interface Configuration]

シングルコンテキスト モードでは、このテーブルには、使用可能なすべての名前付きインターフェイスが一覧表示されます。インターフェイスのモニタリング用のスタンバイ IP アドレスを定義したり、インターフェイスのモニタリングをイネーブルまたはディセーブルにしたりするには、インターフェイスをリストから選択して、[Edit Row] ボタンをクリックして、「[Edit Failover Interface Configuration] ダイアログボックス」を開きます。

[Management IP Address]

シングルコンテキストのトランスペアレント モードでは、このセクションには(「[Management IP] ページ」で)デバイスに定義されている管理 IP アドレスとネットマスクが表示されます。これらの値は変更できません。

[Standby]

スタンバイ装置の管理 IP アドレスを入力します。このアドレスはプライマリ アドレスと同じサブネットにある必要があります。

[Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス

[Add Interface MAC Address] と [Edit Interface MAC Address] ダイアログボックスでは、フェールオーバー用に設定されている ASA、FWSM 3.x、PIX 7.x セキュリティ アプライアンス上の物理インターフェイスの仮想 MAC アドレスを定義できます(ASA 5505 デバイスでは使用できません)。

Active/Standby フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレスに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのインターフェイスのバーンドイン MAC アドレスを使用します。プライマリ装置がオンラインになると、セカンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によりネットワーク トラフィックが中断される可能性があります。セカンダリ装置がプライマリ装置よりも前にオンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するように、各インターフェイスの仮想 MAC アドレスを設定できます。仮想 MAC アドレスを指定しない場合、フェールオーバー ペアはバーンドイン MAC アドレスを使用します。


) フェールオーバーまたはステートフル フェールオーバー リンクには、仮想 MAC アドレスは設定できません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されません。


ナビゲーション パス

[Add Interface MAC Address] と [Edit Interface MAC Address] ダイアログボックスは、「[Settings] ダイアログボックス」から開けます。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.0 以降)」

「[Edit Failover Group] ダイアログボックス」

フィールド リファレンス

 

表 46-8 [Add Interface MAC Address]/[Edit Interface MAC Address] ダイアログボックス

要素
説明

[Physical Interface]

フェールオーバー仮想 MAC アドレスを設定する物理インターフェイスを選択します。

[MAC Address]

[Active Interface]

アクティブ インターフェイスの仮想 MAC アドレスを 16 進数形式で入力します(0023.4567.89ab など)。

[Standby Interface]

スタンバイ インターフェイスの仮想 MAC アドレスを 16 進数形式で入力します(0023.4567.89ab など)。

[Edit Failover Interface Configuration] ダイアログボックス

[Edit Failover Interface Configuration] ダイアログボックスを使用して、インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスをモニタするかどうかを指定します。


) PPPoE にはフェールオーバー インターフェイスを設定できません。


ナビゲーション パス

[Edit Failover Interface Configuration] ダイアログボックスには、(ASA/PIX 7.0 以降では)「[Settings] ダイアログボックス」、(FWSM では)「[Advanced Settings] ダイアログボックス」からアクセスできます。また、シングルコンテキストのトランスペアレント モードで動作している ASA 8.4.1 以降のデバイスおよび個々の ASA/PIX セキュリティ コンテキストの [Failover] ページ自体からもアクセスできます。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.0 以降)」

「[Failover] ページ(FWSM)」

「[Edit Failover Group] ダイアログボックス」

フィールド リファレンス

 

表 46-9 [Edit Failover Interface Configuration] ダイアログボックス

要素
説明

[Interface Name]

インターフェイスの名前。読み取り専用です。

[Active IP Address]

このインターフェイスのアクティブ IP アドレス。読み取り専用です。IP アドレスがインターフェイスで割り当てられていない場合、このフィールドはブランクです。たとえば、DHCP がインターフェイスでイネーブルの場合です。

[Mask]

アクティブ IP アドレスのサブネット マスク。読み取り専用です。IP アドレスがインターフェイスで割り当てられていない場合、このフィールドはブランクです。たとえば、DHCP がインターフェイスでイネーブルの場合です。

[Standby IP Address]

スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。

[Monitor this interface for failure]

このインターフェイスの障害をモニタするかどうかを指定します。モニタリングをイネーブルにするには、このチェックボックスをオンにします。セキュリティ アプライアンスのモニタ可能なインターフェイスの数は 250 です。

インターフェイスのポーリング時間中、セキュリティ アプライアンスのフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、そのインターフェイスで連続する 5 つの hello を受信しなかった場合(25 秒間)、インターフェイスに対してテストが開始されます。モニタ対象フェールオーバー インターフェイスのステータスは次のとおりです。

[Unknown]:初期ステータス。ステータスを特定できなかった場合も、このステータスになることがあります。

[Normal]:インターフェイスはトラフィックを受信しています。

[Testing]:5 回のポーリング時間にインターフェイスで Hello メッセージを受信していません。

[Link Down]:インターフェイスは管理上ダウンしています。

[No Link]:インターフェイスの物理リンクがダウンしています。

[Failed]:インターフェイスでトラフィックを受信していませんが、ピア インターフェイスではトラフィックを受信しています。

[ASR Group Number]

このインターフェイスが非対称ルーティング グループの一部である場合、その ASR グループ番号を指定します。ASR グループ番号の有効な値は 1 ~ 32 です。

フェールオーバー設定の装置間で非対象ルーティング サポートを適切に機能させるためには、ステートフル フェールオーバーをイネーブルにする必要があります。

[Edit Failover Group] ダイアログボックス

[Edit Failover Group] ダイアログボックスを使用して、アクティブ/アクティブ フェールオーバー設定でセキュリティ コンテキストのグループのフェールオーバー パラメータを設定します。フェールオーバー グループへのコンテキストの割り当てについては、「[Add Security Context]/[Edit Security Context] ダイアログボックス(PIX/ASA)」または「[Add Security Context]/[Edit Security Context] ダイアログボックス(FWSM)」を参照してください。

ナビゲーション パス

[Add Failover Group] ダイアログボックスには、PIX/ASA の「[Settings] ダイアログボックス」または FWSM の「[Advanced Settings] ダイアログボックス」からアクセスできます。

関連項目

「フェールオーバー ポリシー」

「[Failover] ページ(ASA/PIX 7.0 以降)」

「[Failover] ページ(FWSM)」

フィールド リファレンス

 

表 46-10 [Edit Failover Group] ダイアログボックス

要素
説明

[Preferred Role]

[Preferred Role]:同時に起動した場合や、[Preempt] オプションが選択されている場合、このフェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアのプライマリ装置またはセカンダリ装置を指定します。[Primary] または [Secondary] を選択します。

ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロールを割り当てて、それぞれを別の装置上でアクティブにすることでデバイス間にトラフィックを分散させます。

[Poll time interval for monitored interfaces]

モニタされているインターフェイスのポーリング間隔を指定します。有効値の範囲は 3 ~ 15 秒([msec ] がオンの場合は 500 ~ 999 ミリ秒)です。

[Hold Time]

グループが hello メッセージを受信する必要がある時間を指定します。この時間を経過すると、もう一方のグループの障害が宣言されます。有効な値は 5 ~ 75 秒です。

[Preempt after Reboot]

優先フェールオーバー デバイスがリブート後に引き継ぎを待機する秒数を指定します。この時間を経過すると、優先フェールオーバー デバイスは、このフェールオーバー グループのアクティブ装置として処理を引き継ぎます。有効な値は 0 ~ 1200 秒です。

[Enable HTTP Replication]

アクティブな HTTP セッションが、このフェールオーバー グループのスタンバイ デバイスにステートフル フェールオーバーの一部としてコピーされるかどうかを示します。HTTP レプリケーションを許可しない場合、HTTP 接続はフェールオーバー時に切断されます。HTTP レプリケーションをディセーブルにすると、ステート リンク上のトラフィックの量が少なくなります。この設定は、[Failover] ページの HTTP レプリケーションの設定を上書きします。

[Failover Criteria]

このグループに、障害が発生したインターフェイス基準を選択して、適切な値を指定します。

[Number of failed interfaces]:この数のインターフェイスが失敗すると、フェールオーバーが起動します。有効な値は 1 ~ 250 です。

[Percentage of failed interfaces]:インターフェイスの合計数に対して、このパーセンテージのインターフェイスが失敗すると、フェールオーバーが起動します。有効な値は 1 ~ 100 です。

[MAC Address Mapping]

このテーブルには、アクティブ MAC アドレスとスタンバイ MAC アドレスがマッピングされるインターフェイスが表示されます。

[Failover] ページ(セキュリティ コンテキスト)

個々の ASA および PIX 7.0 以降のセキュリティ コンテキストの [Failover] ページには [Interface Configuration] テーブルが表示されます。このテーブルには、使用可能なすべての名前付きインターフェイスが一覧表示されます。

テーブルでインターフェイスを選択して、[Edit Row] ボタンをクリックすると、「[Edit Failover Interface Configuration] ダイアログボックス」が開きます。ここでは、スタンバイ IP アドレスと ASR グループ番号を指定できます。また、インターフェイスのモニタリングをイネーブルまたはディセーブルにできます。

ASA 8.4.1 以降のデバイス上の個々のトランスペアレント モード コンテキストの場合、[Failover] ページには [Bridge Group Configuration] テーブルも表示されます。このテーブルには、現在定義されているすべてのフェールオーバー ブリッジ グループが一覧表示されます。

テーブルでエントリを選択して、[Edit Row] ボタンをクリックすると、「[Edit Failover Bridge Group Configuration] ダイアログボックス」が開きます。ここでは、選択したブリッジ グループのスタンバイ IP アドレスを指定できます。

ナビゲーション パス

[Device View] でセキュリティ コンテキストを選択してから、デバイス ポリシー セレクタから [Platform] > [Device Admin] > [Failover] を選択します。

関連項目

「フェールオーバーについて」

「フェールオーバー ポリシー」

「ファイアウォール デバイスでのブリッジングについて」

[Bootstrap Configuration for LAN Failover] ダイアログボックス

[Bootstrap Configuration for LAN Failover] ダイアログボックスでは、LAN フェールオーバー設定のプライマリおよびセカンダリ デバイスに適用できるブートストラップ設定が表示されます。

ナビゲーション パス

[Bootstrap Configuration for LAN Failover] ダイアログボックスには、[Failover] ページからアクセスできます。[Failover] ページの詳細については、次の項を参照してください。

「[Failover] ページ(PIX 6.3)」

「[Failover] ページ(FWSM)」

「[Failover] ページ(ASA/PIX 7.0 以降)」

関連項目

「フェールオーバー ポリシー」

「アクティブ/スタンバイ フェールオーバー設定の追加手順」

フィールド リファレンス

 

表 46-11 [Bootstrap Configuration for LAN Failover] ダイアログボックス

要素
説明

[Primary]

プライマリ デバイスのブートストラップ設定が含まれています。プライマリ デバイスへのコンソール接続を開き、この設定を貼り付けて、プライマリ デバイスでフェールオーバーをアクティブにします。

[Secondary]

セカンダリ デバイスのブートストラップ設定が含まれています。プライマリ デバイスがアクティブになったあとに、セカンダリ デバイスへのコンソール接続を開き、次に、この設定を貼り付けて、セカンダリ デバイスでフェールオーバーをアクティブにします。


) アクティブ/アクティブ フェールオーバーの場合、ブートストラップ設定は、各フェールオーバー ピア デバイスのシステム コンテキストにだけ適用されます。