不要なフェールオーバーイベント(SFR/CX/IPS/CSC)を回避するために、ASAでサービスモジュールのモニタリングを無効にします。

ダウンロード オプション

  • PDF     (410.7 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (101.7 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (110.3 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2017 年 1 月 30 日
Document ID:200944

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

内容

はじめに
要件
使用するコンポーネント
背景説明
設定
ネットワーク図
コンフィギュレーション
現在モニタされているコンポーネントを確認します。
ASAユニットのサービスモジュールのステータスをチェックします。
サービスモジュールのフェールモードポリシーを確認します。
サービスモジュールの監視を無効にします。
確認
サービスモジュールのモニタリングが無効になっていることを確認します。
アクティブユニットでホストされているモジュールをテストリロードします。
サービスモジュールの監視を有効にします。
サービスモジュールが有効になっていることを確認します。
トラブルシュート
問題 1.ASAはフェールオーバーを繰り返し、次のメッセージ「Service card in other unit has failed」が表示されます。
解決方法
問題 2:ASAが9.3(1)をサポートしていないか、アップグレードできません。フェールオーバーのイベントを回避するにはどうすればよいですか。
解決方法
使用するクラスマップとポリシーを特定します。
モジュールへのトラフィックリダイレクションを無効にします。
モジュールへのASAリダイレクションが無効になっていることを確認します。
モジュールへのトラフィックリダイレクトを有効にします。

    はじめに

    このドキュメントでは、適応型セキュリティアプライアンス(ASA)フェールオーバー環境で、モジュールSourceFire(SFR)、Context Aware(CX)、侵入防御システム(IPS)、Content Security and Control(CSC)のモニタリングを無効にする方法について説明します。 

    著者:Cisco TACエンジニア、Cesar Lopez


    前提条件

    要件

    次の項目に関する知識があることが推奨されます。

    バージョン9.3(1)以降では、この機能を設定できます。上記のバージョンの前に、モジュールは常に監視される必要があります。このドキュメントで説明されている以前のバージョンでは、回避策を使用できます。

    使用するコンポーネント

    このドキュメントは、次のソフトウェアとハードウェアのバージョンに基づいています。

    • Cisco ASA バージョン 9.3(1) 以降.
    • ASA 5500-X with FirePOWER services、ASA CX Context-Aware Security、またはIPSモジュール。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    背景説明

    デフォルトでは、ASAはインストールされたサービスモジュールを監視します。アクティブユニットのモジュールで障害が検出されると、アプライアンスのフェールオーバーがトリガーされます。 

    サービスモジュールのリロードがスケジュールされている場合、またはASAフェールオーバーイベントを持たずにサービスモジュールの障害が連続して発生している場合は、このモニタを無効にすると役立つことがあります。

    :ASAは、フェールオーバープロセスでモニタされるように、トラフィックをモジュールに転送する必要があります。

    設定

    ネットワーク図

    このドキュメントでは、次の設定を使用します。

    alt-tag-for-image

    コンフィギュレーション

    この設定は、このドキュメントで説明されているモニタ機能を示すためにラボデバイスで使用されます。関連する設定のみが含まれています。この出力の一部の行は省略されています。 

    ASA Version 9.3(3)
    !
    hostname ASA-FPWR
    !
    interface GigabitEthernet0/0
     nameif outside
     security-level 0
     ip address 10.88.247.5 255.255.255.224 standby 10.88.247.6
    !
    interface GigabitEthernet0/1
     nameif inside
     security-level 100
     ip address 192.168.10.111 255.255.255.0 standby 192.168.10.112
    !
    ...
    !
    interface GigabitEthernet0/6
     description LAN Failover Interface
    !
    interface GigabitEthernet0/7
     description STATE Failover Interface
    !
    ...

    failover
    failover lan unit primary
    failover lan interface folink GigabitEthernet0/6
    failover link statelink GigabitEthernet0/7
    failover interface ip folink 1.1.1.1 255.255.255.0 standby 1.1.1.2
    failover interface ip statelink 2.2.2.1 255.255.255.0 standby 2.2.2.2
    !

    ...

    !
    class-map SFR
     match any
    class-map inspection_default
     match default-inspection-traffic
    !
    !
    policy-map type inspect dns migrated_dns_map_1
     parameters
     message-length maximum client auto
     message-length maximum 512
    policy-map global_policy
     class inspection_default
     inspect dns migrated_dns_map_1
     inspect ftp
     inspect h323 h225
     inspect h323 ras
     inspect ip-options
     inspect netbios
     inspect rsh
     inspect rtsp
     inspect skinny
     inspect esmtp
     inspect sqlnet
     inspect sunrpc
     inspect tftp
     inspect sip
     inspect xdmcp
     class SFR
     sfr fail-open
    !
    service-policy global_policy global
    prompt hostname context priority state
    no call-home reporting anonymous
    Cryptochecksum:b268e0095f175a26aa94d120e9041c29
    : end

    現在モニタされているコンポーネントを確認します。

    ASAがフェールオーバーモードの場合、インストールされたサービスモジュールは、アプライアンスインターフェイスと同様にデフォルトでモニタされます。次のコマンドを使用すると、モニタされている現在のコンポーネントを確認できます。

    ASA-FPWR/pri/act# show run all monitor-interface
    monitor-interface outside
    monitor-interface inside
    monitor-interface service-module

    ASAユニットのサービスモジュールのステータスをチェックします。 

    show failoverの出力で、各ユニットモジュールの現在のステータスが表示されます。

    ASA-FPWR/pri/act# show failover
    Failover On
    Failover unit Primary
    Failover LAN Interface: folink GigabitEthernet0/6 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 316 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.3(3), Mate 9.3(3)
    Last Failover at: 14:30:44 UTC Aug 6 2015
     This host: Primary - Active
     Active time: 85 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.5): Normal (Monitored)
     Interface inside (192.168.10.111): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Up/Up)
     ASA FirePOWER, 5.3.1-152, Up
     Other host: Secondary - Standby Ready
     Active time: 396 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.6): Normal (Monitored)
     Interface inside (192.168.10.112): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
     ASA FirePOWER, 5.3.1-155, Up

    アクティブユニットのサービスモジュールがダウンすると、フェールオーバーイベントが発生します。アクティブユニットがスタンバイになり、前のスタンバイユニットがアクティブの役割を担います。これにより、ステートフルフェールオーバーでサポートされない一部の機能が再コンバージェンスするシナリオがあります。 

    サービスモジュールのフェールモードポリシーを確認します。

    フェールオープンポリシーを使用してトラフィックをモジュールに送信する場合、トラフィックはサービスモジュールに送信されずにASAを通過し続けます。これは、予想されるモジュールのダウン状態を解決するためのより透過的な方法です。 

    警告:フェールクローズポリシーが適用されている場合、トラフィックをモジュールに転送するために使用されるクラスマップに一致するすべてのトラフィックは、ASAによってドロップされます。 

    使用されているポリシーステータスを確認するには、show service-policy [sfr|cx|ips|csc] コマンドを実行します。

    ASA-FPWR/pri/act# show service-policy sfr

    Global policy:
     Service-policy: global_policy
     Class-map: SFR
     SFR: card status Up, mode fail-open
     packet input 0, packet output 0, drop 0, reset-drop 0

     同じことは、Modular Policy Framework(MPF)設定を確認することで確認できます。

    ASA-FPWR/pri/act# show run policy-map
    !
    policy-map type inspect dns migrated_dns_map_1
     parameters
     message-length maximum client auto
     message-length maximum 512
    policy-map global_policy
     class inspection_default
     inspect dns migrated_dns_map_1
     inspect ftp
     inspect h323 h225
     inspect h323 ras
     inspect ip-options
     inspect netbios
     inspect rsh
     inspect rtsp
     inspect skinny
     inspect esmtp
     inspect sqlnet
     inspect sunrpc
     inspect tftp
     inspect sip
     inspect xdmcp
     class SFR
     sfr fail-open
    !
    ASA-FPWR/pri/act#

    サービスモジュールの監視を無効にします。

    このコマンドにより、フェールオーバープロセスでサービスモジュールのモニタリングが停止されます。モジュールが「ダウン」または「応答しない」状態になった場合は、計画されたリロードやトラブルシューティングをフェールオーバーなしでモジュールに対して実行できます。

    no monitor-interface service-module

    確認

    サービスモジュールのモニタリングが無効になっていることを確認します。

    実行コンフィギュレーションでは、monitor-interfaceコマンドは無効になります。  

    ASA-FPWR/pri/act(config)# show run all monitor-interface
    monitor-interface outside
    monitor-interface inside
    no monitor-interface service-module

    アクティブユニットでホストされているモジュールをテストリロードします。

    デモンストレーションの目的で、このユニットのFirePOWERモジュールがリロードされ、アクティブフェールオーバーユニットがこのロールに留まるかどうかが確認されます。

    ASAプライマリ/アクティブユニットのFirePOWERモジュールからの出力。

    Sourcefire ASA5545 v5.3.1 (build 152)

    Last login: Thu Aug 6 14:40:46 on ttyS1
    >
    > system reboot
    This command will reboot the system. Continue?
    Please enter 'YES' or 'NO': YES

    Broadcast message from root (Thu Aug 6 14:40:59 2015):

    The system is going down for reboot NOW!

    Escape Sequence detected
    Console session with module sfr terminated.

    モジュールのリロード中のASAプライマリ/アクティブユニットからの出力。 

    ユニットはアクティブロールのままになります。 

    ASA-FPWR/pri/act# show failover
    Failover On
    Failover unit Primary
    Failover LAN Interface: folink GigabitEthernet0/6 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 316 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.3(3), Mate 9.3(3)
    Last Failover at: 14:30:44 UTC Aug 6 2015
     This host: Primary - Active
     Active time: 616 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.5): Normal (Monitored)
     Interface inside (192.168.10.111): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
     ASA FirePOWER, 5.3.1-152, Not Applicable
     Other host: Secondary - Standby Ready
     Active time: 396 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.6): Normal (Monitored)
     Interface inside (192.168.10.112): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
     ASA FirePOWER, 5.3.1-155, Up

    モジュールのリロード時のASAセカンダリ/スタンバイユニットからの出力:

    スタンバイユニットでは、このステータスが障害として検出されず、アクティブの役割を担いません。

    ASA-FPWR/sec/stby# show failover
    Failover On
    Failover unit Secondary
    Failover LAN Interface: folink GigabitEthernet0/6 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 316 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.3(3), Mate 9.3(3)
    Last Failover at: 14:30:59 UTC Aug 6 2015
     This host: Secondary - Standby Ready
     Active time: 396 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.6): Normal (Monitored)
     Interface inside (192.168.10.112): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
     ASA FirePOWER, 5.3.1-155, Up
     Other host: Primary - Active
     Active time: 670 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.5): Normal (Monitored)
     Interface inside (192.168.10.111): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
     ASA FirePOWER, 5.3.1-152, Not Applicable

    サービスモジュールの監視を有効にします。

    モジュールモニタリングを有効にするには、次のコマンドを実行します。

    monitor-interface service-module

    サービスモジュールが有効になっていることを確認します。

    サービスモジュールコマンドが無効になることはありません。  

    ASA-FPWR/pri/act(config)# show run all monitor-interface
    monitor-interface outside
    monitor-interface inside
    monitor-interface service-module

    トラブルシュート

    問題 1.ASAはフェールオーバーを繰り返し、次のメッセージ「Service card in other unit has failed」が表示されます。

    1つまたは複数のフェールオーバーイベントが検出された場合は、show failover historyを使用して考えられる理由を調べることができます。 

    ASA-FPWR/sec/act# show failover history
    ==========================================================================
    From State To State Reason
    ==========================================================================
    14:38:58 UTC Aug 5 2015
    Bulk Sync Standby Ready Detected an Active mate

    14:39:05 UTC Aug 5 2015
    Standby Ready Bulk Sync No Error

    14:39:17 UTC Aug 5 2015
    Bulk Sync Standby Ready No Error

    14:48:12 UTC Aug 6 2015
    Standby Ready Just Active Service card in other unit has failed

    14:48:12 UTC Aug 6 2015
    Just Active Active Drain Service card in other unit has failed

    14:48:12 UTC Aug 6 2015
    Active Drain Active Applying Config Service card in other unit has failed

    14:48:12 UTC Aug 6 2015
    Active Applying Config Active Config Applied Service card in other unit has failed

    14:48:12 UTC Aug 6 2015
    Active Config Applied Active Service card in other unit has failed

    スタンバイになったユニットには、次のメッセージが表示されます。


    14:47:56 UTC Aug 6 2015
    Standby Ready Failed Detect service card failure

    「Service card in other unit has failed」というメッセージが表示された場合、アクティブユニットが自身のモジュールが応答しないものとして検出されたため、フェールオーバーが発生しています。 

    モジュールが「Unresponsive」ステータスのままの場合、影響を受けるASAはFailedモードのままです。

    ASA-FPWR/sec/stby# Waiting for the earlier webvpn instance to terminate...
    Previous instance shut down. Starting a new one.

     Switching to Active

    ASA-FPWR/sec/act#
    ASA-FPWR/sec/act# show failover
    Failover On
    Failover unit Secondary
    Failover LAN Interface: folink GigabitEthernet0/6 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 316 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.3(3), Mate 9.3(3)
    Last Failover at: 14:24:23 UTC Aug 6 2015
     This host: Secondary - Active
     Active time: 38 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.5): Normal (Waiting)
     Interface inside (192.168.10.111): Normal (Waiting)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
     ASA FirePOWER, 5.3.1-155, Up
     Other host: Primary - Failed
     Active time: 182 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.6): Normal (Waiting)
     Interface inside (192.168.10.112): Normal (Waiting)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
     ASA FirePOWER, 5.3.1-152, Not Applicable

    解決方法

    サービスモジュールのモニタリングを無効にしたまま、問題のトラブルシューティング手順を実行してモジュールを回復することができます。

    no monitor-interface service-module

    問題 2:ASAが9.3(1)をサポートしていないか、アップグレードできません。フェールオーバーのイベントを回避するにはどうすればよいですか。 

    従来のASA5500シリーズは9.3(1)バージョンをサポートしておらず、ソフトウェアモジュールをサポートしていない場合でも、一部の製品にはCSCやIPSなどのハードウェアモジュールが搭載されています。 

    新しいASA5500-Xシリーズでも、一部のアプライアンスではモニタリングの無効化をサポートするバージョンが使用されています。 

    解決方法

    ASAは、トラフィックをモジュールに渡すように設定されたポリシーがある場合にのみ、モジュールをモニタします。そのため、フェールオーバーを回避するために、モジュールポリシーを削除できます。

    使用するクラスマップとポリシーを特定します。

    この場合、この設定はFirePOWERモジュールのトラフィック転送を削除するために使用されます。

    class-map SFR
     match any
    class-map inspection_default
     match default-inspection-traffic
    !
    !
    policy-map type inspect dns migrated_dns_map_1
     parameters
     message-length maximum client auto
     message-length maximum 512
    policy-map global_policy
     class inspection_default
     inspect dns migrated_dns_map_1
     inspect ftp
     inspect h323 h225
     inspect h323 ras
     inspect ip-options
     inspect netbios
     inspect rsh
     inspect rtsp
     inspect skinny
     inspect esmtp
     inspect sqlnet
     inspect sunrpc
     inspect tftp
     inspect sip
     inspect xdmcp
     class SFR
     sfr fail-open
    !

     show service-policy [csc|cxsc|ips|sfr]コマンドを使用すると、クラスマップと現在のステータスを検出できます。

    ASA-FPWR/pri/act# show service-policy sfr

    Global policy:
     Service-policy: global_policy
     Class-map: SFR
     SFR: card status Up, mode fail-open
     packet input 0, packet output 0, drop 0, reset-drop

    モジュールへのトラフィックリダイレクションを無効にします。

    ポリシーが削除されると、それ以上のトラフィックはASAからモジュールに送信されません。 

    ASA-FPWR/pri/act# conf t
    ASA-FPWR/pri/act(config)# policy-map global_policy
    ASA-FPWR/pri/act(config-pmap)# class SFR
    ASA-FPWR/pri/act(config-pmap-c)# no sfr fail-open
    ASA-FPWR/pri/act(config-pmap-c)# end
    ASA-FPWR/pri/act#

    モジュールへのASAリダイレクションが無効になっていることを確認します。

     同じshowコマンドを使用して、トラフィックがモジュールに向かっていないことを確認できます。出力は空である必要があります。

     ASA-FPWR/pri/act# show service-policy sfr
    ASA-FPWR/pri/act#

     モジュールが応答しない場合でも、アクティブユニットは同じロールのままになります。 

    ASA-FPWR/pri/act# show module sfr

    Mod Card Type Model Serial No.
    ---- -------------------------------------------- ------------------ -----------
     sfr FirePOWER Services Software Module ASA5545 FCH18457CNM

    Mod MAC Address Range Hw Version Fw Version Sw Version
    ---- --------------------------------- ------------ ------------ ---------------
     sfr 74a0.2fa4.6c7a to 74a0.2fa4.6c7a N/A N/A 5.3.1-152

    Mod SSM Application Name Status SSM Application Version
    ---- ------------------------------ ---------------- --------------------------
     sfr ASA FirePOWER Not Applicable 5.3.1-152

    Mod Status Data Plane Status Compatibility
    ---- ------------------ --------------------- -------------
     sfr Unresponsive Not Applicable

    ASA-FPWR/pri/act# show failover
    Failover On
    Failover unit Primary
    Failover LAN Interface: folink GigabitEthernet0/6 (up)
    Reconnect timeout 0:00:00
    Unit Poll frequency 1 seconds, holdtime 15 seconds
    Interface Poll frequency 5 seconds, holdtime 25 seconds
    Interface Policy 1
    Monitored Interfaces 2 of 316 maximum
    MAC Address Move Notification Interval not set
    Version: Ours 9.3(3), Mate 9.3(3)
    Last Failover at: 14:51:20 UTC Aug 6 2015
     This host: Primary - Active
     Active time: 428 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.5): Normal (Monitored)
     Interface inside (192.168.10.111): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-152) status (Unresponsive/Down)
     ASA FirePOWER, 5.3.1-152, Not Applicable
     Other host: Secondary - Standby Ready
     Active time: 204 (sec)
     slot 0: ASA5545 hw/sw rev (1.0/9.3(3)) status (Up Sys)
     Interface outside (10.88.247.6): Normal (Monitored)
     Interface inside (192.168.10.112): Normal (Monitored)
     slot 1: SFR5545 hw/sw rev (N/A/5.3.1-155) status (Up/Up)
     ASA FirePOWER, 5.3.1-155, Up

    モジュールへのトラフィックリダイレクトを有効にします。

    トラフィックをモジュールに返送する必要がある場合は、フェールオープンまたはフェールクローズのポリシーを追加し直すことができます。 

    ASA-FPWR/pri/act(config)# policy-map global_policy
    ASA-FPWR/pri/act(config-pmap)# class SFR
    ASA-FPWR/pri/act(config-pmap-c)# sfr fail-open
    ASA-FPWR/pri/act(config-pmap-c)# end
    ASA-FPWR/pri/act#

    更新履歴

    改定 発行日 コメント
    1.0
    25-Jan-2017
    初版
    TAC Authored

    シスコ エンジニア提供

    • セザールロペス
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています