Firepower 4100/9300 に ASA 向けクラスタを導入し、拡張性と高可用性を実現

クラスタリングを利用すると、複数の ASA 装置をグループ化して 1 つの論理デバイスとすることができます。クラスタは、単一デバイスのすべての利便性(管理、ネットワークへの統合)を備える一方で、複数デバイスによって高いスループットおよび冗長性を達成します。ASA ハードウェア モデルでもクラスタリングがサポートされますが、Firepower 4100/9300 は FXOS で別の設定を必要とするため、本書では FXOS および ASA 間の全体的な設定に重点を置いて説明しています。


(注)  

一部の機能は、クラスタリングを使用する場合、サポートされません。クラスタリングでサポートされない機能を参照してください。



(注)  

本書では、最新の ASA バージョン機能について網羅しています。機能の変更の詳細については、Firepower 4100/9300 での ASA クラスタリング履歴 を参照してください。古いバージョンのソフトウェアを使用している場合は、お使いのバージョンの FXOS 設定ガイドおよび ASA 設定ガイドの手順を参照してください。


この統合によるメリット

FXOS プラットフォームでは、ASA を含む複数の論理デバイスを実行することができます。スタンドアロンおよびクラスタ化された論理デバイスの展開は、シャーシ内クラスタ(Firepower 9300)およびシャーシ間クラスタの両方において簡単に実行できます。FXOS からクラスタを導入する際は、ASA ブートストラップを事前設定しておくと、ASA アプリケーション内でのカスタマイズがほんのわずかで済みます。FXOS におけるクラスタ設定をエクスポートすることにより、その他のクラスタ メンバを追加することもできます。

統合された製品

この表では、この統合のために必要な製品の一覧を示します。

Table 1. クラスタリング用に統合された製品

製品

機能

最小バージョン

必須かどうか

Firepower 4100 または 9300

ASA を実行するためのハードウェア プラットフォーム

FXOS 1.1.2

必須

Firepower Chassis Manager

FXOS GUI デバイス マネージャ

Firepower Chassis Manager 1.1.2

オプション:代わりに CLI を使用することができます。

ASA

Firewall アプリケーション

ASA 9.4(1.152)

必須

ASDM

ASA GUI デバイス マネージャ

ASDM 7.4(3)

オプション:代わりに CLI を使用することができます。

ワークフロー

このワークフローでは、クラスタリングの導入を完了するため、ASA の FXOS および ASDM で Firepower Chassis Manager を使用します。

手順


ステップ 1

FXOS の前提条件:

  • スマート ライセンスを設定します。スマート ライセンスには、NTP サーバ(または少なくとも正確な手動設定時間)および DNS の設定が必要です。

ステップ 2

FXOS タスク:

  1. FXOS:インターフェイスの設定。ASA に割り当てる 1 つの管理およびすべてのデータ インターフェイスを設定します。クラスタインターフェイスはポートチャネル 48 としてデフォルトで定義されていますが、シャーシ間のクラスタリングでは、メンバーインターフェイスを追加する必要があります。

  2. ASA クラスタの作成

  3. クラスタ メンバの追加

ステップ 3

ASA のタスク。マスター ユニットで次の手順のみを実行します。

  1. (任意) キャリアおよびコンテキスト機能のライセンスを設定します。ASA の一般的な操作のコンフィギュレーション ガイドを参照してください。

  2. (任意) ASA:ファイアウォール モードとコンテキスト モードの変更。デフォルトでは、FXOS シャーシはルーテッド ファイアウォール モード、およびシングル コンテキスト モードでクラスタを展開します。

  3. ASA:データ インターフェイスの設定。管理インターフェイスは、クラスタを展開したときに事前設定されました。

  4. (任意) ASA:クラスタ設定のカスタマイズ。サイト間の機能と分散サイト間 VPN を含む、数多くのクラスタリング機能をカスタマイズまたは有効化します。


Firepower 4100/9300 シャーシのクラスタリングについて

クラスタは、単一の論理ユニットとして機能する複数のデバイスから構成されます。Firepower 4100/9300 シャーシ にクラスタを展開すると、以下の処理が実行されます。

  • ユニット間通信用のクラスタ制御リンク(デフォルトのポートチャネル 48)を作成します。

    シャーシ内クラスタリングではFirepower 9300のみ)、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。

    シャーシ間クラスタリングでは、シャーシ間通信のために、この EtherChannel に物理インターフェイスを手動で割り当てる必要があります。

  • アプリケーション内のクラスタ ブートストラップ コンフィギュレーションを作成します。

    クラスタを展開すると、クラスタ名、クラスタ制御リンクインターフェイス、およびその他のクラスタ設定を含む最小限のブートストラップ コンフィギュレーションがシャーシスーパバイザから各ユニットに対してプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部は、アプリケーション内でユーザが設定できます。

  • スパンド インターフェイスとして、クラスタにデータ インターフェイスを割り当てます。

    シャーシ内クラスタリングでは、スパンド インターフェイスは、シャーシ間クラスタリングのように EtherChannel に制限されません。Firepower 9300 スーパーバイザは共有インターフェイスの複数のモジュールにトラフィックをロードバランシングするために内部で EtherChannel テクノロジーを使用するため、スパンド モードではあらゆるタイプのデータ インターフェイスが機能します。 シャーシ間クラスタリングでは、すべてのデータ インターフェイスでスパンド EtherChannel を使用します。


    (注)  

    管理インターフェイス以外の個々のインターフェイスはサポートされていません。


  • 管理インターフェイスをクラスタ内のすべてのユニットに指定します。

ここでは、クラスタリングの概念と実装について詳しく説明します。クラスタリングの参考資料も参照してください。

Bootstrap Configuration

クラスタを展開すると、クラスタ名、クラスタ制御リンク インターフェイス、およびその他のクラスタ設定を含む各ユニットに対して、最小限のブートストラップ構成が Firepower 4100/9300 シャーシ スーパーバイザからプッシュされます。 クラスタリング環境をカスタマイズする場合、ブートストラップ コンフィギュレーションの一部はユーザが設定できます。

クラスタ メンバー

クラスタ メンバーは連携して動作し、セキュリティ ポリシーおよびトラフィック フローの共有を達成します。

クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。

すべてのコンフィギュレーション作業はマスター ユニット上でのみ実行する必要があります。コンフィギュレーションはその後、スレーブ ユニットに複製されます。

機能によっては、クラスタ内でスケーリングしないものがあり、そのような機能についてはマスター ユニットがすべてのトラフィックを処理します。クラスタリングの中央集中型機能 を参照してください。。

マスターおよびスレーブ ユニットの役割

クラスタ内のメンバの 1 つがマスター ユニットです。マスター ユニットは自動的に決定されます。他のすべてのメンバはスレーブ ユニットです。

すべてのコンフィギュレーション作業はマスター ユニット上でのみ実行する必要があります。コンフィギュレーションはその後、スレーブ ユニットに複製されます。

機能によっては、クラスタ内でスケーリングしないものがあり、そのような機能についてはマスター ユニットがすべてのトラフィックを処理します。クラスタリングの中央集中型機能 を参照してください。。

クラスタ制御リンク

クラスタ制御リンクはユニット間通信用の EtherChannel(ポート チャネル 48)です。シャーシ内クラスタリングでは、このリンクは、クラスタ通信に Firepower 9300 バックプレーンを使用します。シャーシ間クラスタリングでは、シャーシ間通信のために、Firepower 4100/9300 シャーシ のこの EtherChannel に物理インターフェイスを手動で割り当てる必要があります。

2 シャーシのシャーシ間クラスタの場合、シャーシと他のシャーシの間をクラスタ制御リンクで直接接続しないでください。インターフェイスを直接接続した場合、一方のユニットで障害が発生すると、クラスタ制御リンクが機能せず、他の正常なユニットも動作しなくなります。スイッチを介してクラスタ制御リンクを接続した場合は、正常なユニットについてはクラスタ制御リンクは動作を維持します。

クラスタ制御リンク トラフィックには、制御とデータの両方のトラフィックが含まれます。

制御トラフィックには次のものが含まれます。

  • マスター選定。

  • コンフィギュレーションの複製

  • ヘルス モニタリング。

データ トラフィックには次のものが含まれます。

  • ステート複製。

  • 接続所有権クエリおよびデータ パケット転送。

クラスタ制御リンクのサイズ

可能であれば、各シャーシの予想されるスループットに合わせてクラスタ制御リンクをサイジングする必要があります。そうすれば、クラスタ制御リンクが最悪のシナリオを処理できます。

クラスタ制御リンク トラフィックの内容は主に、状態アップデートや転送されたパケットです。クラスタ制御リンクでのトラフィックの量は常に変化します。転送されるトラフィックの量は、ロード バランシングの有効性、または中央集中型機能のための十分なトラフィックがあるかどうかによって決まります。次に例を示します。

  • NAT では接続のロード バランシングが低下するので、すべてのリターン トラフィックを正しいユニットに再分散する必要があります。

  • ネットワーク アクセスに対する AAA は一元的な機能であるため、すべてのトラフィックがマスター ユニットに転送されます。

  • メンバーシップが変更されると、クラスタは大量の接続の再分散を必要とするため、一時的にクラスタ制御リンクの帯域幅を大量に使用します。

クラスタ制御リンクの帯域幅を大きくすると、メンバーシップが変更されたときの収束が高速になり、スループットのボトルネックを回避できます。


(注)  

クラスタに大量の非対称(再分散された)トラフィックがある場合は、クラスタ制御リンクのサイズを大きくする必要があります。


クラスタ制御リンク冗長性

クラスタ制御リンクには EtherChannel を使用することを推奨します。冗長性を実現しながら、EtherChannel 内の複数のリンクにトラフィックを渡すことができます。

次の図は、仮想スイッチング システム(VSS)または仮想ポート チャネル(vPC)環境でクラスタ制御リンクとして EtherChannel を使用する方法を示します。EtherChannel のすべてのリンクがアクティブです。スイッチが VSS または vPC の一部である場合は、同じ EtherChannel 内の ASA インターフェイスをそれぞれ、VSS または vPC 内の異なるスイッチに接続できます。スイッチ インターフェイスは同じ EtherChannel ポートチャネル インターフェイスのメンバです。複数の個別のスイッチが単一のスイッチのように動作するからです。この EtherChannel は、スパンド EtherChannel ではなく、デバイス ローカルであることに注意してください。

クラスタ制御リンクの信頼性

クラスタ制御リンクの機能を保証するには、ユニット間のラウンドトリップ時間(RTT)が 20 ms 未満になるようにします。この最大遅延により、異なる地理的サイトにインストールされたクラスタ メンバとの互換性が向上します。遅延を調べるには、ユニット間のクラスタ制御リンクで ping を実行します。

クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、サイト間の導入の場合、専用リンクを使用する必要があります。

クラスタ制御リンク ネットワーク

Firepower 4100/9300 シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。クラスタを展開する場合にこの IP アドレスをカスタマイズできます。クラスタ制御リンク ネットワークには、ユニット間のルータを含めることはできません。レイヤ 2 スイッチングのみが許可されます。 サイト間トラフィックには、オーバーレイ トランスポート仮想化(OTV)を使用することをお勧めします。

クラスタ インターフェイス

シャーシ内クラスタリングでは、物理インターフェイス、EtherChannel (ポートチャネルとも呼ばれる)の両方を割り当てることができます。クラスタに割り当てられたインターフェイスはクラスタ内のすべてのメンバーのトラフィックのロード バランシングを行うスパンド インターフェイスです。

シャーシ間クラスタリングでは、データ EtherChannel のみをクラスタに割り当てできます。これらのスパンド EtherChannel は、各シャーシの同じメンバー インターフェイスを含みます。アップストリーム スイッチでは、これらのインターフェイスはすべて単一の EtherChannel に含まれ、スイッチは複数のデバイスに接続されていることを察知しません。

管理インターフェイス以外の個々のインターフェイスはサポートされていません。

VSS または vPC への接続

インターフェイスに冗長性を確保するため、EtherChannel を VSS または vPC に接続することを推奨します。

設定の複製

クラスタ内のすべてのユニットは、単一のコンフィギュレーションを共有します。コンフィギュレーション変更を加えることができるのはマスター ユニット上だけであり、変更は自動的にクラスタ内の他のすべてのユニットに同期されます。

ASA クラスタの管理

ASA クラスタリングを使用することの利点の 1 つは、管理のしやすさです。ここでは、クラスタを管理する方法について説明します。

管理ネットワーク

すべてのユニットを単一の管理ネットワークに接続することを推奨します。このネットワークは、クラスタ制御リンクとは別のものです。

管理インターフェイス

管理タイプのインターフェイスをクラスタに割り当てる必要があります。このインターフェイスはスパンド インターフェイスではなく、特別な個別インターフェイスです。管理インターフェイスによって各単位に直接接続できます。

メイン クラスタ IP アドレスは、そのクラスタのための固定アドレスであり、常に現在のマスター ユニットに属します。アドレス範囲も設定して、現在のマスターを含む各ユニットがその範囲内のローカル アドレスを使用できるようにします。このメイン クラスタ IP アドレスによって、管理アクセスのアドレスが一本化されます。マスター ユニットが変更されると、メイン クラスタ IP アドレスは新しいマスター ユニットに移動するので、クラスタの管理をシームレスに続行できます。

たとえば、クラスタを管理するにはメイン クラスタ IP アドレスに接続します。このアドレスは常に、現在のマスター ユニットに関連付けられています。個々のメンバを管理するには、ローカル IP アドレスに接続します。

TFTP や syslog などの発信管理トラフィックの場合、マスター ユニットを含む各ユニットは、ローカル IP アドレスを使用してサーバに接続します。

マスター ユニット管理とスレーブ ユニット管理

すべての管理とモニタリングはマスター ユニットで実行できます。マスター ユニットから、すべてのユニットの実行時統計情報やリソース使用状況などのモニタリング情報を調べることができます。また、クラスタ内のすべてのユニットに対してコマンドを発行することや、コンソール メッセージをスレーブ ユニットからマスター ユニットに複製することもできます。

必要に応じて、スレーブ ユニットを直接モニタできます。マスター ユニットからでもできますが、ファイル管理をスレーブ ユニット上で実行できます(コンフィギュレーションのバックアップや、イメージの更新など)。次の機能は、マスター ユニットからは使用できません。

  • ユニットごとのクラスタ固有統計情報のモニタリング。

  • ユニットごとの Syslog モニタリング(コンソール レプリケーションが有効な場合にコンソールに送信される syslog を除く)。

  • SNMP

  • NetFlow

RSA キー複製

マスター ユニット上で RSA キーを作成すると、そのキーはすべてのスレーブ ユニットに複製されます。メイン クラスタ IP アドレスへの SSH セッションがある場合に、マスター ユニットで障害が発生すると接続が切断されます。新しいマスター ユニットは、SSH 接続に対して同じキーを使用するので、新しいマスター ユニットに再接続するときに、キャッシュ済みの SSH ホスト キーを更新する必要はありません。

ASDM 接続証明書 IP アドレス不一致

デフォルトでは、自己署名証明書は、ローカル IP アドレスに基づいて ASDM 接続に使用されます。ASDM を使用してメイン クラスタ IP アドレスに接続する場合は、IP アドレス不一致に関する警告メッセージが表示されます。これは、証明書で使用されているのがローカル IP アドレスであり、メイン クラスタ IP アドレスではないからです。このメッセージは無視して、ASDM 接続を確立できます。ただし、この種の警告を回避するには、新しい証明書を登録し、この中でメイン クラスタ IP アドレスと、IP アドレス プールからのすべてのローカル IP アドレスを指定します。この証明書を各クラスタ メンバに使用します。

スパンド EtherChannel(推奨)

シャーシあたり 1 つ以上のインターフェイスをグループ化して、クラスタのすべてのシャーシに広がる EtherChannel とすることができます。EtherChannel によって、チャネル内の使用可能なすべてのアクティブ インターフェイスのトラフィックが集約されます。スパンド EtherChannel は、ルーテッドとトランスペアレントのどちらのファイアウォール モードでも設定できます。ルーテッド モードでは、EtherChannel は単一の IP アドレスを持つルーテッド インターフェイスとして設定されます。トランスペアレント モードでは、IP アドレスはブリッジグループ メンバーではなく BVI に割り当てられます。EtherChannel は初めから、ロード バランシング機能を基本的動作の一部として備えています。

サイト間クラスタリング

サイト間インストールの場合、推奨されるガイドラインに従っていれば、ASA クラスタリングを活用できます。

各クラスタ シャーシを個別のサイト ID に属するように設定できます。

サイト ID は、サイト固有の MAC アドレスおよび IP アドレスと連動します。クラスタから送信されたパケットは、サイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。この機能により、MAC フラッピングの原因となる 2 つの異なるポートで両方のサイトから同じグローバル MAC アドレスをスイッチが学習するのを防止します。代わりに、スイッチはサイトの MAC アドレスのみを学習します。サイト固有の MAC アドレスおよび IP アドレスは、スパンド EtherChannel のみを使用したルーテッド モードでサポートされます。

サイト ID は、LISP インスペクションを使用したフロー モビリティの有効化、データセンターのサイト間クラスタリングのパフォーマンス向上とラウンドトリップ時間の遅延短縮のためのディレクタ ローカリゼーションの有効化、およびトラフィック フローのバックアップ オーナーが常にオーナーとは異なるサイトに存在する接続に対するサイト冗長性の有効化のためにも使用されます

サイト間クラスタリングの詳細については、以下の項を参照してください。

Firepower 4100/9300 Chassisでのクラスタリングの要件と前提条件

モデルあたりの最大クラスタリング ユニット

  • Firepower 4100:16 シャーシ

  • Firepower 9300:16 モジュール。たとえば、16 のシャーシで 1 つのモジュールを使用したり、8 つのシャーシで 2 つのモジュールを使用して、最大 16 のモジュールを組み合わせることができます。

インター シャーシ クラスタ化に関するハードウェアおよびソフトウェアの要件

クラスタ内のすべてのシャーシ:

  • Firepower 4100 シリーズ:すべてのシャーシが同じモデルである必要があります。Firepower 9300:すべてのセキュリティ モジュールは同じタイプである必要があります。たとえば、クラスタリングを使用する場合は、Firepower 9300 のすべてのモジュールは SM-40 である必要があります。各シャーシに異なる数のセキュリティ モジュールをインストールできますが、すべての空のスロットを含め、シャーシのすべてのモジュールをクラスタに含める必要があります。

  • イメージ アップグレード時を除き、同じ FXOS ソフトウェアを実行する必要があります。

  • クラスタに割り当てるインターフェイスは、管理インターフェイス、EtherChannel、アクティブ インターフェイス、スピード、デュプレックスなど、同じインターフェイス構成を含める必要があります。同じインターフェイス ID の容量が一致し、インターフェイスが同じスパンド EtherChannel に内に問題なくバンドルできる限り、シャーシに異なるタイプのネットワーク モジュールを使用できます。シャーシ間クラスタリングでは、すべてのデータ インターフェイスを EtherChannel とする必要があります。(インターフェイス モジュールの追加または削除、あるいは EtherChannel の設定などにより)クラスタリングを有効にした後に FXOS でインターフェイスを変更した場合は、各シャーシで同じ変更を行います(スレーブ ユニットから始めて、マスターで終わります)。 FXOS でインターフェイスを削除した場合、必要な調整ができるように、ASA 設定では関連するコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。古いインターフェイス設定は手動で削除することができます。

  • 同じ NTP サーバを使用する必要があります。時間を手動で設定しないでください。

  • ASA:各 FXOS シャーシは、License Authority またはサテライト サーバに登録されている必要があります。スレーブ ユニットに追加費用はかかりません。 永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入する必要があります。Firepower Threat Defense では、すべてのライセンスは Firepower Management Center で処理されます。

スイッチ要件

  • Firepower 4100/9300 シャーシのクラスタリングを設定する前に、スイッチの設定を完了し、シャーシからスイッチまですべての EtherChannel を良好に接続してください。

  • サポートされているスイッチの特性については、『Cisco FXOS Compatibility』を参照してください。

でのクラスタリングのライセンス Firepower 4100/9300 Chassis

Firepower 4100/9300 シャーシは、License Authority またはサテライト サーバに登録されている必要があります。スレーブ ユニットに追加費用はかかりません。永続ライセンスを予約するには、シャーシごとに個別のライセンスを購入する必要があります。

高度暗号化ライセンスは、登録トークンを適用すると、対象となるお客様の場合自動的に有効化されます。トークンを使用している場合、各シャーシに同じ暗号化ライセンスが必要です。For the optional Strong Encryption(3DES/AES)feature license enabled in the ASA configuration, see below.

ASA ライセンス設定では、マスター ユニットに対するスマート ライセンスの設定のみを行えます。設定はスレーブ ユニットに複製されますが、一部のライセンスに対しては、スレーブ ユニットはこの設定を使用しません。この設定はキャッシュ状態のままになり、マスター ユニットのみがこのライセンスを要求します。ライセンスは単一のクラスタ ライセンスにまとめられ、クラスタの各ユニットで共有されます。この集約ライセンスはスレーブ ユニットにもキャッシュされ、その中の 1 つが将来マスター ユニットとなったときに使用されます。各ライセンス タイプは次のように処理されます:

  • 標準:マスター ユニットのみがサーバから標準ライセンスを要求します。スレーブ ユニットにはデフォルトで有効になっている標準ライセンスがあります。そのライセンスを使用するため、サーバに登録を行う必要はありません。

  • コンテキスト:マスター ユニットのみがサーバからコンテキスト ライセンスを要求します。デフォルトで標準ライセンスは 10 のコンテキストを含み、すべてのクラスタ メンバー上に存在します。各ユニットの標準ライセンスの値と、マスター ユニットのコンテキスト ライセンスの値は、集約されたクラスタ ライセンスでのプラットフォーム制限まで統合されます。次に例を示します。

    • クラスタに 6 台の Firepower9300 モジュールがある場合を考えます。標準ライセンスは 10 のコンテキストを含みます。6 つユニットの場合、合計で 60 のコンテキストが加算されます。マスター ユニット上で追加の 20 コンテキスト ライセンスを設定します。したがって、集約されたクラスタライセンスは 80 のコンテキストを含みます。モジュールごとのプラットフォーム制限は 250 であるため、統合されたライセンスに最大 250 のコンテキストが許容されます。80 のコンテキストは制限範囲内です。したがって、マスター ユニット上で最大 80 コンテキストを設定できます。各スレーブ ユニットも、コンフィギュレーションの複製を介して 80 コンテキストを持つことになります。

    • クラスタに Firepower4110 が 3 台あるとします。標準ライセンスは 10 のコンテキストを含みます。3 つユニットの場合、合計で 30 のコンテキストが加算されます。マスター ユニット上で追加の 250 コンテキスト ライセンスを設定します。したがって、集約されたクラスタライセンスは 280 のコンテキストを含みます。ユニットごとのプラットフォームの制限が 250 であるため、統合されたライセンスでは最大 250 のコンテキストが許容されます。280 コンテキストは制限を超えています。したがって、マスター ユニット上で最大 250 のコンテキストのみを設定できます。各スレーブ ユニットも、コンフィギュレーションの複製を介して 250 のコンテキストを持つことになります。この場合では、マスターのコンテキスト ライセンスとして 220 のコンテキストのみを設定する必要があります。

  • キャリア:分散型 S2S VPN に必要。このライセンスはユニットごとの権限付与であり、各ユニットはサーバから各自のライセンスを要求します。このライセンスの設定はスレーブ ユニットに複製されます。

  • Strong Encryption(3DES)(for pre-2.3.0 Cisco Smart Software Manager satellite deployment, or for tracking purposes)—This license is a per-unit entitlement, and each unit requests its own license from the server.

新しいマスター ユニットが選定されると、このユニットが集約ライセンスを引き続き使用します。また、マスター ライセンスを再要求するために、キャッシュされたライセンス設定も使用します。古いマスター ユニットがスレーブ ユニットとしてクラスタに再度参加すると、マスター ユニットのライセンス権限付与が解放されます。アカウントに利用可能なライセンスがない場合、スレーブ ユニットがライセンスを解放する前に、マスター ユニットのライセンスがコンプライアンス違反状態になることがあります。保持されたライセンスは 30 日間有効ですが、この猶予期間以降もコンプライアンス違反となる場合、特別なライセンスを必要とする機能の設定変更を行なえません。ただし、動作には影響ありません。新しいアクティブ ユニットは、ライセンスのコンプライアンスが確保されるまで 12 時間ごとに権限承認更新要求を送信します。ライセンス要求が完全に処理されるまで、設定の変更を控えてください。ユニットがクラスタから離れた場合、キャッシュされたマスター設定は削除されます。一方で、ユニットごとの権限は保持されます。この場合、クラスタ外のユニットのコンテキスト ライセンスを再要求する必要があります。

分散型 S2S VPN のライセンス

キャリア ライセンスは、クラスタの各メンバーで、分散型 S2S VPN に必要です。

各 VPN 接続には、2 つの Other VPN ライセンス済みセッションが必要です(Other VPN ライセンスは基本ライセンスの一部です)。1 つはアクティブ セッション用、もう 1 つはバックアップ セッション用です。クラスタの最大 VPN セッション容量は、セッションごとに 2 つのライセンスを使用するため、ライセンス済み容量の半分以下にすることができます。

クラスタリング ガイドラインと制限事項

シャーシ間クラスタリングのスイッチ

  • ASR 9006 でデフォルト以外の MTU を設定する場合は、クラスタ デバイスの MTU よりも 14 バイト大きい ASR インターフェイス MTU を設定します。そうしないと、mtu-ignore オプションを使用しない限り、OSPF 隣接関係ピアリングの試行が失敗する可能性があります。クラスタ デバイスの MTU と ASR IPv4 MTU を一致させる必要があることに注意してください。

  • クラスタ制御リンク インターフェイスのスイッチでは、クラスタ ユニットに接続されるスイッチ ポートに対してスパニングツリー PortFast をイネーブルにすることもできます。このようにすると、新規ユニットの参加プロセスを高速化できます。

  • スイッチでは、EtherChannel ロードバランシング アルゴリズム source-dest-ip または source-dest-ip-port(Cisco Nexus OS および Cisco IOS の port-channel load-balance コマンドを参照)を使用することをお勧めします。クラスタのデバイスにトラフィックを不均一に配分する場合があるので、ロード バランス アルゴリズムでは vlan キーワードを使用しないでください。クラスタデバイスのデフォルトのロードバランシング アルゴリズムは変更しないでください。

  • スイッチの EtherChannel ロードバランシング アルゴリズムを変更すると、スイッチの EtherChannel インターフェイスは一時的にトラフィックの転送を停止し、スパニングツリー プロトコルが再始動します。トラフィックが再び流れ出すまでに、少し時間がかかります。

  • 一部のスイッチは、LACP でのダイナミック ポート プライオリティをサポートしていません(アクティブおよびスタンバイ リンク)。ダイナミック ポート プライオリティを無効化することで、スパンド EtherChannel との互換性を高めることができます。

  • クラスタ制御リンク パスのスイッチでは、L4 チェックサムを検証しないようにする必要があります。クラスタ制御リンク経由でリダイレクトされたトラフィックには、正しい L4 チェックサムが設定されていません。L4 チェックサムを検証するスイッチにより、トラフィックがドロップされる可能性があります。

  • ポートチャネル バンドルのダウンタイムは、設定されているキープアライブ インターバルを超えてはなりません。

  • Supervisor 2T EtherChannel では、デフォルトのハッシュ配信アルゴリズムは適応型です。VSS 設計での非対称トラフィックを避けるには、クラスタ デバイスに接続されているポートチャネルでのハッシュ アルゴリズムを固定に変更します。

    router(config)# port-channel id hash-distribution fixed

    アルゴリズムをグローバルに変更しないでください。VSS ピア リンクに対しては適応型アルゴリズムを使用できます。

  • ASA ハードウェアクラスタとは異なり、Firepower 4100/9300 クラスタは LACP グレースフル コンバージェンスをサポートしています。したがって、Firepower プラットフォームでは、接続されている Cisco Nexus スイッチで LACP グレースフル コンバージェンスを有効のままにしておくことができます。

  • スイッチ上のスパンド EtherChannel のバンドリングが遅いときは、スイッチの個別インターフェイスに対して LACP 高速レートをイネーブルにできます。FXOS EtherChannel にはデフォルトで [fast] に設定されている LACP レートがあります。Nexus シリーズなど一部のスイッチでは、インサービス ソフトウェア アップグレード(ISSU)を実行する際に LACP 高速レートがサポートされないことに注意してください。そのため、クラスタリングで ISSU を使用することは推奨されません。

シャーシ間クラスタリングの EtherChannel

    • 15.1(1)S2 より前の Catalyst 3750-X Cisco IOS ソフトウェア バージョンでは、クラスタ ユニットはスイッチ スタックに EtherChannel を接続することをサポートしていませんでした。デフォルトのスイッチ設定では、クラスタ ユニット EtherChannel がクロス スタックに接続されている場合、マスター スイッチの電源がオフになると、残りのスイッチに接続されている EtherChannel は起動しません。互換性を高めるため、stack-mac persistent timer コマンドを設定して、十分なリロード時間を確保できる大きな値、たとえば 8 分、0 (無制限)などを設定します。または、15.1(1)S2 など、より安定したスイッチ ソフトウェア バージョンにアップグレードできます。

    • スパンド EtherChannel とデバイス ローカル EtherChannel のコンフィギュレーション:スパンド EtherChannel と デバイス ローカル EtherChannel に対してスイッチを適切に設定します。

      • スパンド EtherChannel:クラスタ ユニット スパンド EtherChannel(クラスタのすべてのメンバに広がる)の場合は、複数のインターフェイスが結合されてスイッチ上の単一の EtherChannel となります。各インターフェイスがスイッチ上の同じチャネル グループ内にあることを確認してください。

      • デバイス ローカル EtherChannel:クラスタ ユニット デバイス ローカル EtherChannel(クラスタ制御リンク用に設定された EtherChannel もこれに含まれます)は、それぞれ独立した EtherChannel としてスイッチ上で設定してください。スイッチ上で複数のクラスタ ユニット EtherChannel を結合して 1 つの EtherChannel としないでください。

    サイト間クラスタリング

    サイト間クラスタリングについては、次のガイドラインを参照してください。

    • クラスタ制御リンクの遅延が、ラウンドトリップ時間(RTT)20 ms 未満である必要があります。

    • クラスタ制御リンクは、順序の異常やパケットのドロップがない信頼性の高いものである必要があります。たとえば、専用リンクを使用する必要があります。

    • 接続の再分散を設定しないでください。異なるサイトのクラスタ メンバには接続を再分散できません。

    • クラスタの実装では、着信接続用の複数のサイトでメンバが区別されません。したがって、特定の接続に対する接続のロールが複数のサイトにまたがる場合があります。これは想定されている動作です。ただし、ディレクタ ローカリゼーションを有効にすると、接続オーナーと同じサイトからローカル ディレクタ権限が常に選択されます(サイト ID に応じて)。また、元のオーナーに障害が発生するとローカル ディレクタは同じサイトの新しいオーナーを選択します(注:サイト間でトラフィックが非対称で、元のオーナーに障害が発生した後もリモート サイトから継続的なトラフィックがある場合、リモート サイトのユニットが re-hosting ウィンドウ内でデータ パケットを受信する場合はこのリモート サイトのユニットが新しいオーナーとなることがあります)。

    • ディレクタ ローカリゼーションでは、次のトラフィック タイプのローカリゼーションをサポートしていません。NAT または PAT のトラフィック、SCTP がインスペクションを行うトラフィック、オーナーのフラグメンテーション クエリ。

    • トランスペアレント モードの場合、内部ルータと外部ルータのペア間にクラスタを配置すると(AKA ノースサウス挿入)、両方の内部ルータが同じ MAC アドレスを共有し、両方の外部ルータが同じ MAC アドレスを共有する必要があります。サイト 1 のクラスタ メンバがサイト 2 のメンバに接続を転送するとき、宛先 MAC アドレスは維持されます。MAC アドレスがサイト 1 のルータと同じである場合にのみ、パケットはサイト 2 のルータに到達します。

    • トランスペアレント モードの場合、内部ネットワーク間のファイル用に各サイトのデータ ネットワークとゲートウェイ ルータ間にクラスタを配置すると(AKA イーストウェスト挿入)、各ゲートウェイ ルータは、HSRP などの First Hop Redundancy Protocol(FHRP)を使用して、各サイトで同じ仮想 IP および MAC アドレスの宛先を提供します。データ VLAN は、オーバーレイ トランスポート仮想化(OTV)または同様のものを使用してサイト全体にわたって拡張されます。ローカル ゲートウェイ ルータ宛てのトラフィックが DCI 経由で他のサイトに送信されないようにするには、フィルタを作成する必要があります。ゲートウェイ ルータが 1 つのサイトで到達不能になった場合、トラフィックが正常に他のサイトのゲートウェイに到達できるようにフィルタを削除する必要があります。

    • スパンド EtherChannel を使用したルーテッド モードでは、サイト固有の MAC アドレスを設定します。OTV または同様のものを使用してサイト全体にデータ VLAN を拡張します。グローバル MAC アドレス宛てのトラフィックが DCI 経由で他のサイトに送信されないようにするには、フィルタを作成する必要があります。クラスタが 1 つのサイトで到達不能になった場合、トラフィックが正常に他のサイトのクラスタ ユニットに到達できるようにフィルタを削除する必要があります。ダイナミック ルーティングは、サイト間クラスタが拡張セグメントのファースト ホップ ルータとして機能する場合はサポートされません。

    その他のガイドライン

    • 大々的なトポロジ変更が発生する場合(EtherChannel インターフェイスの追加または削除、Firepower 4100/9300 シャーシ 上でのインターフェイスまたはスイッチの有効化または無効化、VSS または vPC を形成するための追加スイッチの追加など)、ヘルス チェック機能や無効なインターフェイスのインターフェイス モニタリングを無効にする必要があります。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェック機能を再度イネーブルにできます。

    • ユニットを既存のクラスタに追加したときや、ユニットをリロードしたときは、一時的に、限定的なパケット/接続ドロップが発生します。これは予定どおりの動作です。場合によっては、ドロップされたパケットが原因で接続がハングすることがあります。たとえば、FTP 接続の FIN/ACK パケットがドロップされると、FTP クライアントがハングします。この場合は、FTP 接続を再確立する必要があります。

    • スパンド EtherChannel インターフェイスに接続された Windows 2003 Server を使用している場合、syslog サーバポートがダウンしたときにサーバが ICMP エラーメッセージを抑制しないと、多数の ICMP メッセージがクラスタに送信されることになります。このようなメッセージにより、クラスタの一部のユニットで CPU 使用率が高くなり、パフォーマンスに影響する可能性があります。ICMP エラー メッセージを調節することを推奨します。

    • 冗長性を持たせるため、VSS または vPC に EtherChannel を接続することを推奨します。

    • シャーシ内では、スタンドアロン モードで一部のシャーシ セキュリティ モジュールをクラスタ化し、他のセキュリティ モジュールを実行することはできません。クラスタ内にすべてのセキュリティ モジュールを含める必要があります。

    デフォルト

    • クラスタのヘルス チェック機能は、デフォルトでイネーブルになり、ホールド時間は 3 秒です。デフォルトでは、すべてのインターフェイスでインターネット ヘルス モニタリングがイネーブルになっています。

    • 接続再分散は、デフォルトでは無効になっています。接続再分散を有効にした場合の、デフォルトの負荷情報交換間隔は 5 秒です。

    • 失敗したクラスタ制御リンクのクラスタ自動再結合機能は、5 分おきに無制限に試行されるように設定されています。

    • 失敗したデータ インターフェイスのクラスタ自動再結合機能は、5 分後と、2 に設定された増加間隔で合計で 3 回試行されるように設定されています。

    • HTTP トラフィックは、5 秒間の接続レプリケーション遅延がデフォルトで有効になっています。

    でのクラスタリングの設定 Firepower 4100/9300 Chassis

    クラスタは、Firepower 4100/9300 シャーシ スーパバイザから簡単に展開できます。すべての初期設定が各ユニットに自動的に生成されます。このセクションでは、デフォルトのブートストラップ設定と ASA で実行できるオプションのカスタマイズについて説明します。また、ASA 内からクラスタ メンバーを管理する方法についても説明します。クラスタ メンバーシップは Firepower 4100/9300 シャーシ からも管理できます。詳細については、Firepower 4100/9300 シャーシ のマニュアルを参照してください。

    手順


    ステップ 1

    FXOS:ASA クラスタの追加

    ステップ 2

    ASA:ファイアウォール モードとコンテキスト モードの変更

    ステップ 3

    ASA:データ インターフェイスの設定

    ステップ 4

    ASA:クラスタ設定のカスタマイズ

    ステップ 5

    ASA:クラスタ メンバの管理


    FXOS:インターフェイスの設定

    クラスタの場合は、次のタイプのインターフェイスを設定する必要があります。

    • クラスタを展開する前に、1 つ以上のデータ タイプのインターフェイスまたは EtherChannel(ポートチャネルとも呼ばれる)を追加します。EtherChannel(ポート チャネル)の追加または物理インターフェイスの設定を参照してください。

      シャーシ間クラスタリングでは、すべてのデータインターフェイスが 1 つ以上のメンバーインターフェイスを持つスパンド EtherChannel である必要があります。各シャーシに同じ EtherChannel を追加します。スイッチ上で、すべてのクラスタユニットからメンバーインターフェイスを 1 つの EtherChannel へと結合します。シャーシ間クラスタリングの EtherChannel についての詳細は、クラスタリング ガイドラインと制限事項 を参照してください。

    • 管理タイプのインターフェイスまたは EtherChannel を追加します。EtherChannel(ポート チャネル)の追加または物理インターフェイスの設定を参照してください。

      管理インターフェイスが必要です。この管理インターフェイスは、シャーシの管理のみに使用されるシャーシ管理インターフェイスと同じではありません(FXOS では、シャーシ管理インターフェイスは MGMT、management0 のような名前で表示されます)。

      シャーシ間クラスタリングの場合、各シャーシに同じ管理インターフェイスを追加します。

    • シャーシ間クラスタリングでは、メンバーインターフェイスをクラスタ制御リンクのEtherChannel(デフォルトではポートチャネル 48)に追加します。「EtherChannel(ポート チャネル)の追加」を参照してください。

      シャーシ内クラスタリングのメンバー インターフェイスを追加しないでください。メンバーを追加すると、シャーシはこのクラスタがシャーシ間であると見なし、例えばスパンド Etherchannel のみを使用できるようになります。

      [Interfaces] タブで、ポート チャネル 48 クラスタ タイプのインターフェイスは、メンバ インターフェイスが含まれていない場合は、[Operation State] を [failed] と表示します。シャーシ内クラスタリングの場合、この EtherChannel はメンバ インターフェイスを必要としないため、この動作状態は無視して構いません。

      各シャーシに同じメンバ インターフェイスを追加します。クラスタ制御リンクは、各シャーシのデバイスローカル EtherChannel です。デバイスごとにスイッチで個別の EtherChannel を使用します。シャーシ間クラスタリングの EtherChannel についての詳細は、クラスタリング ガイドラインと制限事項 を参照してください。

    物理インターフェイスの設定

    インターフェイスを物理的に有効および無効にすること、およびインターフェイスの速度とデュプレックスを設定することができます。インターフェイスを使用するには、インターフェイスを FXOS で物理的に有効にし、アプリケーションで論理的に有効にする必要があります。

    始める前に
    • すでに EtherChannel のメンバーであるインターフェイスは個別に変更できません。EtherChannel に追加する前に、設定を行ってください。

    手順

    ステップ 1

    [Interfaces] を選択して [Interfaces] ページを開きます。

    [All Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。

    ステップ 2

    編集するインターフェイスの行の [Edit] をクリックし、[Edit Interface] ダイアログボックスを開きます。

    ステップ 3

    インターフェイスをイネーブルにするには、[Enable] チェックボックスをオンにします。インターフェイスをディセーブルにするには、[Enable] チェックボックスをオフにします。

    ステップ 4

    インターフェイスの [タイプ(Type)] を選択します。

    • データ

    • 管理

    • [クラスタ(Cluster)]:[クラスタ(Cluster)] タイプは選択しないでください。デフォルトでは、クラスタ制御リンクはポートチャネル 48 に自動的に作成されます。

    ステップ 5

    (任意) [Speed] ドロップダウン リストからインターフェイスの速度を選択します。

    ステップ 6

    (任意) インターフェイスで [Auto Negotiation] がサポートされている場合は、[Yes] または [No] オプション ボタンをクリックします。

    ステップ 7

    (任意) [Duplex] ドロップダウン リストからインターフェイスのデュプレックスを選択します。

    ステップ 8

    [OK] をクリックします。


    EtherChannel(ポート チャネル)の追加

    EtherChannel(別名ポート チャネル)には、同じタイプのメンバー インターフェイスを最大 16 個含めることができます。リンク集約制御プロトコル(LACP)では、2 つのネットワーク デバイス間でリンク集約制御プロトコル データ ユニット(LACPDU)を交換することによって、インターフェイスが集約されます。

    EtherChannel 内の各物理データインターフェイスを次のように設定できます。

    • アクティブ:LACP アップデートを送信および受信します。アクティブ EtherChannel は、アクティブまたはパッシブ EtherChannel と接続を確立できます。LACP トラフィックを最小にする必要がある場合以外は、アクティブ モードを使用する必要があります。

    • オン:EtherChannel は常にオンであり、LACP は使用されません。「オン」の EtherChannel は、別の「オン」の EtherChannel のみと接続を確立できます。


    (注)  

    モードを [On] から [Active] に変更するか、[Active] から [On] に変更すると、EtherChannel が動作状態になるまで最大 3 分かかることがあります。


    非データ インターフェイスはアクティブ モードのみをサポートします。

    LACP では、ユーザが介入しなくても、EtherChannel へのリンクの自動追加および削除が調整されます。また、コンフィギュレーションの誤りが処理され、メンバ インターフェイスの両端が正しいチャネル グループに接続されていることがチェックされます。 「オン」モードではインターフェイスがダウンしたときにチャネル グループ内のスタンバイ インターフェイスを使用できず、接続とコンフィギュレーションはチェックされません。

    Firepower 4100/9300 シャーシが EtherChannel を作成すると、EtherChannel は [一時停止(Suspended)] 状態(Active LACP モードの場合)または [ダウン(Down)] 状態(On LACP モードの場合)になり、物理リンクがアップしても論理デバイスに割り当てるまでそのままになります。EtherChannel は次のような状況でこの [Suspended] 状態になります。

    • EtherChannel がスタンドアロン論理デバイスのデータまたは管理インターフェイスとして追加された

    • EtherChannel がクラスタの一部である論理デバイスの管理インターフェイスまたは Cluster Control Link として追加された

    • EtherChannel がクラスタの一部である論理デバイスのデータ インターフェイスとして追加され、少なくとも 1 つのユニットがクラスタに参加している

    EtherChannel は論理デバイスに割り当てるまで動作しないことに注意してください。EtherChannel が論理デバイスから削除された場合や論理デバイスが削除された場合は、EtherChannel が [一時停止(Suspended)] または [ダウン(Down)] 状態に戻ります。

    手順

    ステップ 1

    [Interfaces] を選択して [Interfaces] ページを開きます。

    [All Interfaces] ページでは、上部に現在インストールされているインターフェイスが視覚的に表示され、下部の表にそれらのリストが表示されます。

    ステップ 2

    インターフェイス テーブルの上にある [Add Port Channel]をクリックして、[Add Port Channel]ダイアログボックスを開きます。

    ステップ 3

    [Port Channel ID]フィールドに、ポート チャネルの ID を入力します。有効な値は、1 ~ 47 です。

    クラスタ化した論理デバイスを導入すると、ポートチャネル 48 はクラスタ制御リンク用に予約されます。クラスタ制御リンクにポートチャネル 48 を使用しない場合は、ポートチャネル 48 を削除し、別の ID を使用してクラスタタイプの EtherChannel を設定できます。複数のクラスタタイプの EtherChannel を追加し、マルチインスタンス クラスタリングで使用する VLAN サブインターフェイスを追加できます。シャーシ内クラスタリングでは、クラスタ EtherChannel にインターフェイスを割り当てないでください。

    ステップ 4

    ポート チャネルを有効化するには、[Enable]チェックボックスをオンにします。ポート チャネルをディセーブルにするには、[Enable]チェックボックスをオフにします。

    ステップ 5

    インターフェイスの [タイプ(Type)] を選択します。

    • データ

    • 管理

    • [Cluster]

    ステップ 6

    ドロップダウン リストでメンバー インターフェイスの [Admin Speed] を設定します。

    ステップ 7

    データインターフェイスに対して、LACP ポート チャネル [Mode]、[Active] または [On] を選択します。

    インターフェイスの場合、モードは常にアクティブです。

    ステップ 8

    [Admin Duplex]、[Full Duplex] または [Half Duplex] を設定します。

    ステップ 9

    ポート チャネルにインターフェイスを追加するには、[Available Interface]リストでインターフェイスを選択し、[Add Interface]をクリックしてそのインターフェイスを [Member ID] リストに移動します。同じタイプと速度の最大 16 のインターフェイスを追加できます。

    ヒント 

    複数のインターフェイスを一度に追加できます。複数の個別インターフェイスを選択するには、Ctrlキーを押しながら目的のインターフェイスをクリックします。一連のインターフェイスを選択するには、その範囲の最初のインターフェイスを選択し、Shiftキーを押しながら最後のインターフェイスをクリックして選択します。

    ステップ 10

    ポート チャネルからインターフェイスを削除するには、[Member ID]リストでそのインターフェイスの右側にある[Delete]ボタンをクリックします。

    ステップ 11

    [OK]をクリックします。


    FXOS:ASA クラスタの追加

    単独の Firepower 9300 シャーシをシャーシ内クラスタとして追加することも、複数のシャーシをシャーシ間クラスタリングに追加することもできます。 シャーシ間クラスタリングでは、各シャーシを別々に設定します。1 つのシャーシにクラスタを追加したら、導入を簡単にするため、ブートストラップ設定を最初のシャーシから次のシャーシにコピーし、

    ASA クラスタの作成

    範囲をイメージバージョンに設定します。

    クラスタは、Firepower 4100/9300 シャーシ スーパバイザから簡単に展開できます。すべての初期設定が各ユニットに自動的に生成されます。

    シャーシ間クラスタリングでは、各シャーシを別々に設定します。導入を容易にするために、1 つのシャーシにクラスタを導入し、その後、最初のシャーシから次のシャーシにブートストラップ コンフィギュレーションをコピーできます。

    Firepower 9300 シャーシでは、モジュールがインストールされていない場合でも、3 つのすべてのモジュールでクラスタリングを有効にする必要があります。3 つすべてのモジュールを設定していないと、クラスタは機能しません。

    マルチ コンテキスト モードの場合、最初に論理デバイスを展開してから、ASA アプリケーションでマルチ コンテキスト モードを有効にする必要があります。

    クラスタを導入すると、Firepower 4100/9300 シャーシ スーパバイザが次のブートストラップ コンフィギュレーションで各 ASA アプライアンスを設定します。ブートストラップ コンフィギュレーションの一部(太字のテキストで示されている部分)は、後から必要に応じて ASA から変更できます。

    
    interface Port-channel48
       description Clustering Interface
    cluster group <service_type_name>
       key <secret>
       local-unit unit-<chassis#-module#>
       site-id <number>
       cluster-interface port-channel48 ip 127.2.<chassis#>.<module#> 255.255.255.0
       priority <auto>
       health-check holdtime 3
       health-check data-interface auto-rejoin 3 5 2
       health-check cluster-interface auto-rejoin unlimited 5 1
       enable
    
    ip local pool cluster_ipv4_pool <ip_address>-<ip_address> mask <mask>
    
    interface <management_ifc>
       management-only individual
       nameif management
       security-level 0
       ip address <ip_address> <mask> cluster-pool cluster_ipv4_pool   
       no shutdown
    
    http server enable
    http 0.0.0.0 0.0.0.0 management 
    route management <management_host_ip> <mask> <gateway_ip> 1
    

    (注)  

    local-unit 名は、クラスタリングを無効化した場合にのみ変更できます。


    始める前に
    • 論理デバイスに使用するアプリケーションイメージを Cisco.com からダウンロードして、そのイメージを Firepower 4100/9300 シャーシ にアップロードします。

    • 次の情報を用意します。

      • 管理インターフェイス ID、IP アドレスおよびネットワークマスク

      • ゲートウェイ IP アドレス

    手順

    ステップ 1

    インターフェイスを設定します。 FXOS:インターフェイスの設定を参照してください。

    ステップ 2

    [Logical Devices] を選択します。

    ステップ 3

    [追加(Add)] > [クラスタ(Cluster)] をクリックし、次のパラメータを設定します。

    1. [I want to:] > [Create New Cluster] を選択します

    2. デバイス名を入力します。

      この名前は、シャーシスーパバイザが管理設定を行ってインターフェイスを割り当てるために内部で使用します。これはアプリケーション設定で使用されるデバイス名ではありません。

    3. [テンプレート(Template)] には、[Cisco 適応型セキュリティ アプライアンス(Cisco Adaptive Security Appliance)] を選択します。

    4. [Image Version] を選択します。

    5. [Instance Type] では、[Native] タイプのみがサポートされます。

    6. [OK] をクリックします。

      [Provisioning - device name] ウィンドウが表示されます。

    ステップ 4

    このクラスタに割り当てるインターフェイスを選択します。

    デフォルトでは、すべての有効なインターフェイスが割り当てられています。 マルチクラスタタイプのインターフェイスを定義した場合は、すべての選択を解除し、1 つのみ選択します。

    ステップ 5

    画面中央のデバイス アイコンをクリックします。

    ダイアログボックスが表示され、初期のブートストラップ設定を行うことができます。これらの設定は、初期導入専用、またはディザスタ リカバリ用です。通常の運用では、後でアプリケーション CCLI 設定のほとんどの値を変更できます。

    ステップ 6

    [クラスタ情報(Cluster Information)] ページで、次の手順を実行します。

    1. シャーシ間クラスタリングでは、シャーシ ID フィールドに、シャーシ ID を入力します。クラスタの各シャーシに固有の ID を使用する必要があります。

      このフィールドは、クラスタ制御リンク Port-Channel 48 にメンバー インターフェイスを追加した場合にのみ表示されます。

    2. サイト間クラスタリングの場合、[サイト ID(Site ID)] フィールドに、このシャーシのサイト ID を 1 ~ 8 の範囲で入力します。

    3. [Cluster Key] フィールドで、クラスタ制御リンクの制御トラフィックの認証キーを設定します。

      共有秘密は、1 ~ 63 文字の ASCII 文字列です。共有秘密は、キーを生成するために使用されます。このオプションは、データパス トラフィック(接続状態アップデートや転送されるパケットなど)には影響しません。データパス トラフィックは、常にクリア テキストとして送信されます。

    4. [Cluster Group Name] を設定します。これは、論理デバイス設定のクラスタ グループ名です。

      名前は 1 ~ 38 文字の ASCII 文字列であることが必要です。

    5. [Management Interface] を選択します。

      このインターフェイスは、論理デバイスを管理するために使用されます。このインターフェイスは、シャーシ管理ポートとは別のものです。

    6. 管理インターフェイスの [アドレス タイプ(Address Type)] を選択します。

      この情報は、ASA 設定で管理インターフェイスを設定するために使用されます。次の情報を設定します。

      • [Management IP Pool] :開始アドレスと終了アドレスをハイフンで区切って入力し、ローカル IP アドレスのプールを設定します。このうちの 1 つがインターフェイス用に各クラスタ ユニットに割り当てられます。

        最低でも、クラスタ内のユニット数と同じ数のアドレスが含まれるようにしてください。Firepower 9300 の場合、すべてのモジュール スロットが埋まっていないとしても、シャーシごとに 3 つのアドレスを含める必要があることに注意してください。クラスタを拡張する予定の場合は、アドレスを増やします。現在のマスター ユニットに属する仮想 IP アドレス(メイン クラスタ IP アドレスと呼ばれる)は、このプールの一部ではありません。必ず、同じネットワークの IP アドレスの 1 つをメイン クラスタ IP アドレス用に確保してください。IPv4 アドレスと IPv6 アドレス(どちらか一方も可)を使用できます。

      • ネットワーク マスクまたはプレフィックス長

      • ネットワーク ゲートウェイ

      • [VIRTUAL IP address]:現在のマスターユニットの管理 IP アドレスを設定します。この IP アドレスは、クラスタ プール アドレスと同じネットワーク上に存在している必要がありますが、プールに含まれていてはなりません。

    ステップ 7

    [Settings] ページで、以下を実行します。

    1. [Firewall Mode] ドロップダウン リストから、[Transparent] または [Routed] を選択します。

      ルーテッド モードでは、FTDはネットワーク内のルータ ホップと見なされます。ルーティングを行う各インターフェイスは異なるサブネット上にあります。一方、トランスペアレント ファイアウォールは、「Bump In The Wire」または「ステルス ファイアウォール」のように機能するレイヤ 2 ファイアウォールであり、接続されたデバイスへのルータ ホップとしては認識されません。

      ファイアウォール モードは初期展開時にのみ設定します。ブートストラップの設定を再適用する場合、この設定は使用されません。

    2. 管理者ユーザの [Password] を入力して確認し、パスワードを有効にします。

      事前設定されている ASA 管理者ユーザはパスワードの回復時に役立ちます。FXOS アクセスができる場合、管理者ユーザ パスワードを忘れたときにリセットできます。

    ステップ 8

    [OK] をクリックして、設定ダイアログボックスを閉じます。

    ステップ 9

    [Save] をクリックします。

    シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーション インスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。[ 論理デバイス(Logical Devices) ] ページで、新しい論理デバイスのステータスを確認します。論理デバイスの [ステータス(Status)] に [オンライン(Online)] と表示されている場合、 残りのクラスタシャーシを追加するか、シャーシ内クラスタリングでアプリケーションのクラスタの設定を開始できます。このプロセスの一環として、[セキュリティモジュールが応答していません(Security module not responding)] というステータスが表示されることがあります。このステータスは正常であり、一時的な状態です。

    ステップ 10

    シャーシ間クラスタリングでは、クラスタに次のシャーシを追加します。

    1. 最初のシャーシの Firepower Chassis Manager で、右上にある [設定の表示(Show Configuration)] アイコン([設定の表示(Show Configuration)] アイコン をクリックして、表示されるクラスタの設定をコピーします。

    2. 次のシャーシの Firepower Chassis Manager に接続し、この手順に従って論理デバイスを追加します。

    3. [必要な操作(I want to:)] > [既存のクラスタへの参加(Join an Existing Cluster)] を選択します。

    4. [OK] をクリックします。

    5. [Copy Cluster Details] ボックスに、最初のシャーシのクラスタ設定を貼り付け、[OK] をクリックします。

    6. 画面中央のデバイス アイコンをクリックします。クラスタ情報は大半は事前に入力済みですが、次の設定は変更する必要があります。

      • Chassis ID:一意のシャーシ ID を入力します。

      • Site ID:正しいサイト ID を入力します。

      • Cluster Key:(事前に入力されていない)同じクラスタ キーを入力します。

      [OK] をクリックします。

    7. [Save] をクリックします。

      シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーション インスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。各クラスタメンバーの [論理デバイス(Logical Devices)] ページで、新しい論理デバイスのステータスを確認します。各クラスタメンバーの論理デバイスの [ステータス(Status)] に [オンライン(Online)] と表示されたら、アプリケーションでクラスタの設定を開始できます。このプロセスの一環として、[セキュリティモジュールが応答していません(Security module not responding)] というステータスが表示されることがあります。このステータスは正常であり、一時的な状態です。

    ステップ 11

    マスター ユニット ASA に接続して、クラスタリング設定をカスタマイズします。


    クラスタ メンバの追加

    ASA クラスタ メンバを追加または置き換えます。


    (注)  

    この手順は、シャーシの追加または置換にのみ適用されます。クラスタリングがすでに有効になっている Firepower 9300 にモジュールを追加または置換する場合、モジュールは自動的に追加されます。


    始める前に
    • 既存のクラスタに、この新しいメンバ用の管理 IP アドレスプール内で十分な IP アドレスが割り当てられているようにしてください。それ以外の場合は、この新しいメンバを追加する前に、各シャーシ上の既存のクラスタ ブートストラップ設定を編集する必要があります。この変更により論理デバイスが再起動します。

    • インターフェイスの設定は、新しいシャーシでの設定と同じである必要があります。FXOS シャーシ設定をエクスポートおよびインポートし、このプロセスを容易にすることができます。

    • マルチ コンテキスト モードでは、最初のクラスタ メンバの ASA アプリケーションでマルチ コンテキスト モードを有効にします。追加のクラスタ メンバはマルチ コンテキスト モード設定を自動的に継承します。

    手順

    ステップ 1

    既存のクラスタ シャーシ Firepower Chassis Manager で、[Logical Devices] を選択して [Logical Devices] ページを開きます。

    ステップ 2

    右上の [設定の表示(Show Configuration)] アイコン([設定の表示(Show Configuration)] アイコン をクリックして、表示されるクラスタの設定をコピーします。

    ステップ 3

    新しいシャーシの Firepower Chassis Manager に接続して、[追加(Add)] > [クラスタ(Cluster)] をクリックします。

    ステップ 4

    [I want to:] > [Join an Existing Cluster]を選択します。

    ステップ 5

    [Device Name] に論理デバイスの名前を入力します。

    ステップ 6

    [OK] をクリックします。

    ステップ 7

    [Copy Cluster Details] ボックスに、最初のシャーシのクラスタ設定を貼り付け、[OK] をクリックします。

    ステップ 8

    画面中央のデバイス アイコンをクリックします。クラスタ情報は大半は事前に入力済みですが、次の設定は変更する必要があります。

    • Chassis ID:一意のシャーシ ID を入力します。

    • Site ID:正しいサイト ID を入力します。

    • Cluster Key:(事前に入力されていない)同じクラスタ キーを入力します。

    [OK] をクリックします。

    ステップ 9

    [保存(Save)] をクリックします。

    シャーシは、指定したソフトウェアバージョンをダウンロードし、アプリケーション インスタンスにブートストラップ設定と管理インターフェイス設定をプッシュすることで、論理デバイスを導入します。各クラスタメンバーの [論理デバイス(Logical Devices)] ページで、新しい論理デバイスのステータスを確認します。各クラスタメンバーの論理デバイスの [ステータス(Status)] に [オンライン(Online)] と表示されたら、アプリケーションでクラスタの設定を開始できます。このプロセスの一環として、[セキュリティモジュールが応答していません(Security module not responding)] というステータスが表示されることがあります。このステータスは正常であり、一時的な状態です。


    ASA:ファイアウォール モードとコンテキスト モードの変更

    デフォルトでは、FXOS シャーシはルーテッド ファイアウォール モード、およびシングル コンテキスト モードでクラスタを展開します。

    • ファイアウォール モードの変更:展開後にモードを変更するには、マスター ユニットでモードを変更します。モードは一致するようにすべてのスレーブ ユニットで自動的に変更されます。マルチ コンテキスト モードでは、コンテキストごとにファイアウォール モードを設定します。ASA の一般的な操作のコンフィギュレーション ガイドを参照してください。

    • マルチ コンテキスト モードに変更:展開後にマルチ コンテキスト モードに変更するには、マスター ユニットのモードを変更します。これにより、すべてのスレーブ ユニットのモードは一致するように自動的に変更されます。ASA の一般的な操作のコンフィギュレーション ガイドを参照してください。

    ASA:データ インターフェイスの設定

    この手順では、FXOS にクラスタを展開したときにクラスタに割り当てられた各データ インターフェイスの基本的なパラメータを設定します。シャーシ間クラスタリングの場合、データ インターフェイスは常にスパンド EtherChannel インターフェイスです。


    (注)  

    管理インターフェイスは、クラスタを展開したときに事前設定されました。ASA で管理インターフェイス パラメータを変更することもできますが、この手順はデータ インターフェイスに焦点を当てています。管理インターフェイスは、スパンド インターフェイスとは対照的に、個別のインターフェイスです。詳細については、「管理インターフェイス」を参照してください。


    始める前に

    • マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで開始します。まだシステム コンフィギュレーション モードに入っていない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

    • トランスペアレント モードの場合は、ブリッジ グループを設定します。

    • シャーシ間クラスタリングにスパンド EtherChannel を使用している場合、クラスタリングが完全に有効になるまで、ポートチャネル インターフェイスは起動しません。この要件により、クラスタのアクティブではないユニットにトラフィックが転送されるのが防がれます。

    手順


    ステップ 1

    コンテキスト モードによって次のように異なります。

    • シングル モードの場合、[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択します。

    • マルチ モードの場合、システム実行スペースで、[Configuration] > [Context Management] > [Interfaces] ペインを選択します。

    ステップ 2

    インターフェイスを選択して、[Edit] をクリックします。

    [Edit Interface] ダイアログボックスが表示されます。

    ステップ 3

    次の設定を行います。

    • (EtherChannel の場合)[MIO Port-channel ID]:FXOS で使用されるのと同じ ID を入力します。

    • [Enable Interface](デフォルトでオンになります)

    この画面の残りのフィールドは、この手順の後半で説明します。

    ステップ 4

    MAC アドレスおよびオプション パラメータを設定するには、[Advanced] タブをクリックします。

    • [MAC Address Cloning] 領域で、EtherChannel の手動グローバル MAC アドレスを設定します。スタンバイ MAC アドレスを設定しないでください。無視されます。潜在的なネットワークの接続問題を回避するために、スパンド EtherChannel にはグローバル MAC アドレスを設定する必要があります。MAC アドレスが手動設定されている場合、その MAC アドレスは現在のマスター ユニットに留まります。MAC アドレスを設定していない場合に、マスター ユニットが変更された場合、新しいマスター ユニットはインターフェイスに新しい MAC アドレスを使用します。これにより、一時的なネットワークの停止が発生する可能性があります。

      マルチ コンテキスト モードでは、コンテキスト間でインターフェイスを共有する場合は、MAC アドレスの自動生成を有効にして、手動で MAC アドレスを設定しなくてすむようにします。非共有インターフェイスの場合は、このコマンドを使用して MAC アドレスを手動で設定する必要があることに注意してください。

    • サイト間クラスタリングの場合、[ASA Cluster] 領域で、サイト固有の MAC アドレスを、ルーテッド モードの場合は IP アドレスを設定するために、[Add] をクリックして、サイト ID(1 ~ 8)の MAC アドレスおよび IP アドレスを指定します。最大 8 つのサイトで上記の手順を繰り返します。サイト固有の IP アドレスは、グローバル IP アドレスと同じサブネット上にある必要があります。ユニットで使用するサイト固有の MAC アドレスおよび IP アドレスは、各ユニットのブートストラップ コンフィギュレーションに指定したサイト ID によって異なります。

    ステップ 5

    (オプション)この EtherChannel に VLAN サブインターフェイスを設定します。この手順の残りの部分は、サブインターフェイスに適用されます。

    ステップ 6

    (マルチ コンテキスト モード)この手順を完了する前に、コンテキストにインターフェイスを割り当てる必要があります。

    1. [OK] をクリックして変更内容を確定します。

    2. インターフェイスを割り当てます。

    3. ユーザが設定するコンテキストを変更します。[Device List] ペインで、アクティブなデバイスの IP アドレスの下にあるコンテキスト名をダブルクリックします。

    4. [Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] ペインを選択し、カスタマイズするポートチャネル インターフェイスを選択して、[Edit] をクリックします。

      [Edit Interface] ダイアログボックスが表示されます。

    ステップ 7

    [General] タブをクリックします。

    ステップ 8

    (トランスペアレント モード)[Bridge Group] ドロップダウン リストから、このインターフェイスを割り当てるブリッジ グループを選択します。

    ステップ 9

    [Interface Name] フィールドに、名前を 48 文字以内で入力します。

    ステップ 10

    [Security level] フィールドに、0(最低)~ 100(最高)のレベルを入力します。

    ステップ 11

    (ルーテッド モード)IPv4 アドレスに対して [Use Static IP] オプション ボタンをクリックし、IP およびマスクを入力します。DHCP と PPPoE はサポートされません。ポイントツーポイント接続の場合、31 ビットのサブネット マスク(255.255.255.254)を指定できます。この場合、ネットワークまたはブロードキャスト アドレス用の IP アドレスは予約されません。トランスペアレント モードの場合は、EtherChannel インターフェイスではなく、ブリッジ グループ インターフェイスの IP アドレスを設定します。

    ステップ 12

    (ルーテッド モード)IPv6 アドレスを設定するには、[IPv6] タブをクリックします。

    トランスペアレント モードの場合は、EtherChannel インターフェイスではなく、ブリッジ グループ インターフェイスの IP アドレスを設定します。

    1. [Enable IPv6] チェックボックスをオンにします。

    2. [Interface IPv6 Addresses] エリアで、[Add] をクリックします。

      [Add IPv6 Address for Interface] ダイアログボックスが表示されます。

      (注)   

      [Enable address autoconfiguration] オプションはサポートされません。

    3. [Address/Prefix Length] フィールドに、グローバル IPv6 アドレスと IPv6 プレフィックスの長さを入力します。たとえば、2001:DB8::BA98:0:3210/64。

    4. (オプション)ホスト アドレスとして Modified EUI-64 インターフェイス ID を使用するには、[EUI-64] チェックボックスをオンにします。この場合は、単に [Address/Prefix Length] フィールドにプレフィックスを入力します。

    5. [OK] をクリックします。

    ステップ 13

    [OK] をクリックして、[Interfaces] 画面に戻ります。

    ステップ 14

    [Apply] をクリックします。


    ASA:クラスタ設定のカスタマイズ

    クラスタを展開した後にブートストラップ設定を変更する場合や、クラスタリング ヘルス モニタリング、TCP 接続複製の遅延、フロー モビリティ、およびその他の最適化など、追加のオプションを設定する場合は、マスター ユニットで行うことができます。

    ASA クラスタの基本パラメータの設定

    マスター ユニット上のクラスタ設定をカスタマイズできます。

    始める前に
    • マルチ コンテキスト モードでは、マスター ユニット上のシステム実行スペースで次の手順を実行します。まだシステム コンフィギュレーション モードに入っていない場合、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

    • local-unit Member Name およびその他の複数のオプションは、FXOS シャーシでのみ設定することができます。また、それらのオプションは、クラスタリングを無効にしている場合に ASA でのみ変更できます。そのため、次の手順には含まれていません。

    手順

    ステップ 1

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

    ステップ 2

    (任意) 次のオプション パラメータを設定します。

    • Site Periodic GARP—The ASA generates gratuitous ARP(GARP)packets to keep the switching infrastructure up to date: the highest priority member at each site periodically generates GARP traffic for the global MAC/IP addresses. 各スパンド EtherChannel のユニットと、サイト MAC および IP アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。GARP 間隔を 1 ~ 1000000 秒に設定します。デフォルトは 290 秒です。

      クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。

    • [Enable connection rebalancing for TCP traffic across all the ASAs in the cluster]:接続の再分散をイネーブルにします。このパラメータはデフォルトではディセーブルになっています。イネーブルの場合は、クラスタの ASA は定期的に負荷情報を交換し、負荷のかかっているデバイスから負荷の少ないデバイスに新しい接続をオフロードします。負荷情報を交換する間隔を、1 ~ 360 秒の範囲内で指定します。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

    • [Enable cluster load monitor]:クラスタメンバのトラフィック負荷をモニタできるようになりました。対象には、合計接続数、CPU とメモリの使用率、バッファドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。たとえば、各シャーシに 3 つのセキュリティモジュールが搭載された Firepower 9300 のシャーシ間クラスタリングの場合、シャーシ内の 2 つのセキュリティモジュールがクラスタを離れると、そのシャーシに対する同じ量のトラフィックが残りのモジュールに送信され、過負荷になる可能性があります。トラフィックの負荷を定期的にモニタできます。負荷が高すぎる場合は、ユニットでクラスタリングを手動で無効にすることを選択できます。

      次の値を設定します。

      • [ Time Interval]: モニタリングメッセージ間の時間を、10 ~ 360 秒の範囲で設定します。デフォルトは 20 秒です。

      • [ Number Of interval]: ASA がデータを保持する間隔の数を 1 ~ 60 の範囲で設定します。デフォルトは 30 です。

      トラフィック負荷を表示するには、[Monitoring] > [ASA Cluster] > [Cluster Load-Monitoring] を参照してください。

    • [Enable health monitoring of this device within the cluster]:クラスタユニットのヘルスチェック機能を有効にして、ユニット ハートビート ステータス メッセージ間の間隔を .3 から 45 秒の間で設定します。デフォルトは 3 秒です。注:新しいユニットをクラスタに追加していて、ASA またはスイッチのトポロジが変更される場合、クラスタが完成するまでこの機能を一時的にディセーブルにし、ディセーブルにされたインターフェイスのインターフェイス モニタリングもディセーブルにする必要があります([Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring])。クラスタとトポロジの変更が完了したら、この機能を再度イネーブルにすることができます。ユニットのヘルスを確認するため、ASA のクラスタ ユニットはクラスタ制御リンクで他のユニットにハートビート メッセージを送信します。ユニットが保留時間内にピア ユニットからハートビート メッセージを受信しない場合は、そのピア ユニットは応答不能またはデッド状態と見なされます。

    • [Debounce Time]:ASA がインターフェイスに障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定します。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。 ダウン状態から稼働状態に移行している EtherChannel の場合(スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など)、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。

    • [Replicate console output to the master’s console]:スレーブ ユニットからマスター ユニットへのコンソール複製をイネーブルにします。この機能はデフォルトで無効に設定されています。ASA は、特定の重大イベントが発生したときに、メッセージを直接コンソールに出力する場合があります。コンソール複製をイネーブルにすると、スレーブ ユニットからマスター ユニットにコンソール メッセージが送信されるので、モニタが必要になるのはクラスタのコンソール ポート 1 つだけとなります。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

    • クラスタリング フロー モビリティを有効にしますLISP インスペクションの設定を参照してください。

    • [Enable Director Localization for inter-DC cluster]:データセンターのサイト間クラスタリングでパフォーマンスを向上させてラウンドトリップ時間の遅延を短縮するには、ディレクタ ローカリゼーションを有効にします。通常、新しい接続はロード バランスされて、特定のサイト内のクラスタ メンバーにより所有されます。ただし、ASA はディレクタの役割を任意のサイトでメンバーに割り当てます。ディレクタ ローカリゼーションにより、追加のディレクタ役割がイネーブルになります。これは、所有者と同じサイトに存在するローカル ディレクタと、任意のサイトに配置できるグローバル ディレクタです。所有者とディレクタを同じサイトに配置することで、パフォーマンスが向上します。また、元の所有者で障害が発生した場合、ローカル ディレクタは、同じサイトで新しい接続所有者を選択します。クラスタ メンバーが別のサイトで所有されている接続のパケットを受信する場合は、グローバル ディレクタが使用されます。

    • [Site Redundancy]:サイトの障害からフローを保護するために、サイトの冗長性を有効にできます。接続バックアップ オーナーがオーナーと同じサイトにある場合は、サイトの障害からフローを保護するために、追加のバックアップ オーナーが別のサイトから選択されます。ディレクタ ローカリゼーションとサイトの冗長性は別々の機能です。そのうちの 1 つまたは両方を設定することができます。

    • [Enable config sync acceleration]:スレーブユニットがマスターユニットと同じ構成の場合、構成の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、マスターからスレーブには複製されません。

      (注)   

      一部の設定コマンドは、クラスタ結合の高速化と互換性がありません。これらのコマンドがユニットに存在する場合、クラスタ結合の高速化が有効になっていても、設定の同期は常に発生します。クラスタ結合の高速化を動作させるには、互換性のない設定を削除する必要があります。show cluster info unit-join-acceleration incompatible-config を使用して、互換性のない設定を表示します。

    • [Enable parallel configuration replicate]:スレーブユニットと並行して設定変更が同期化されるように、マスターユニットを有効にします。そうしないと、同期が順番に実行され、多くの時間がかかることがあります。

    ステップ 3

    [Cluster Control Link] 領域で、クラスタ制御リンクの MTU を設定できます。この領域のその他のオプションは、ASA では設定できません。

    • [MTU]:クラスタ制御リンク インターフェイスの最大伝送ユニットを指定します。MTU の最大値を 9184 バイトに設定し、最小値を 1400 バイトに設定することをお勧めします。

    ステップ 4

    (任意) [Cluster LACP] 領域で、スタティック ポートの優先順位を有効にできます。ASA は cLACP を使用して、EtherChannel とネイバー スイッチのネゴシエーションを行います。cLACP ネゴシエーションの際に、同じクラスタ内の ASA は互いに連携するため、スイッチには 1 つの(仮想)デバイスであるかのように見えます。この領域のその他のオプションは、クラスタリングを無効化せずに、ASA では設定できません。

    • [Enable static port priority]:LACP のダイナミック ポート プライオリティをディセーブルにします。一部のスイッチはダイナミック ポート プライオリティをサポートしていないので、このパラメータによりスイッチの互換性が向上します。さらに、8 個より多くのアクティブなスパンド EtherChannel メンバのサポートがイネーブルになります(最大 32 メンバ)。このパラメータを使用しないと、サポートされるのは 8 個のアクティブ メンバと 8 個のスタンバイ メンバのみです。このパラメータをイネーブルにした場合、スタンバイ メンバは使用できません。すべてのメンバがアクティブです。このパラメータは、ブートストラップ コンフィギュレーションの一部ではなく、マスター ユニットからスレーブ ユニットに複製されます。

    ステップ 5

    (任意) (Firepower 9300 のみ)[Parallel Join of Units Per Chassis] 領域で、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されていることを確認できます。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。

    • num_of_units:モジュールがクラスタに参加する前に準備する必要がある同じシャーシ内のモジュールの最小数(1 ~ 3)を指定します。デフォルトは 1 です。つまり、モジュールは他のモジュールの準備完了を待たずに、クラスタに参加することを意味します。たとえば、値を 3 に設定した場合、各モジュールは最大遅延時間の間、または 3 つすべてのモジュールの準備が完了するまで待機してからクラスタに参加します。3 つすべてのモジュールがほぼ同時にクラスタの参加を要求し、同時期にトラフィックの受信を開始します。

    • [Maximum Join Delay]:最大遅延時間を分単位(0 ~ 30 分)で指定します。この時間が経過すると、モジュールは他のモジュールの準備が完了するのを待つことをやめて、クラスタに参加します。デフォルトは 0 です。つまり、モジュールは他のモジュールの準備完了を待たずに、クラスタに参加することを意味します。最小単位を 1 に設定した場合、この値は 0 にする必要があります。最小単位を 2 または 3 に設定した場合、この値は 1 以上にする必要があります。このタイマーはモジュールごとのタイマーですが、最初のモジュールがクラスタに参加すると、その他すべてのモジュールのタイマーが終了し、残りのモジュールがクラスタに参加します。

    たとえば、最小単位を 3、最大遅延を 5 分を設定します。モジュール 1 が起動すると、その 5 分間のタイマーが開始されます。モジュール 2 が 2 分後に起動すると、その 5 分間のタイマーが開始されます。モジュール 3 が 1 分後に起動し、すべてのモジュールが 4 分符号でクラスタに参加します。モジュールはタイマーが完了するまで待機しません。モジュール 3 が起動しない場合、モジュール 1 は 5 分間タイマーの終了時にクラスタに参加し、モジュール 2 も参加します。モジュール 2 はタイマーがまだ 2 分残っていますが、タイマーが完了するまで待機しません。

    ステップ 6

    [Apply] をクリックします。


    インターフェイスのヘルス モニタリングおよび自動再結合の設定

    たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。ポートチャネル ID、または単一の物理インターフェイス ID をモニタできます。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニタされています。

    手順

    ステップ 1

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Interface Health Monitoring] の順に選択します。

    ステップ 2

    [Monitored Interfaces] ボックスでインターフェイスを選択し、[Add] をクリックしてそのインターフェイスを [Unmonitored Interfaces] ボックスに移動します。

    インターフェイス ステータス メッセージによって、リンク障害が検出されます。特定の論理インターフェイスのすべての物理ポートが、特定のユニット上では障害が発生したが、別のユニット上の同じ論理インターフェイスでアクティブ ポートがある場合、そのユニットはクラスタから削除されます。ユニットがホールド時間内にインターフェイス ステータス メッセージを受信しない場合に、ASA がメンバをクラスタから削除するまでの時間は、インターフェイスのタイプと、そのユニットが確立済みメンバであるか、またはクラスタに参加しようとしているかによって異なります。デフォルトでは、ヘルス チェックはすべてのインターフェイスでイネーブルになっています。

    たとえば、管理インターフェイスなど、必須以外のインターフェイスのヘルス モニタリングをディセーブルにすることができます。ポートチャネル ID、または単一の物理インターフェイス ID を指定できます。ヘルス モニタリングは VLAN サブインターフェイス、または VNI や BVI などの仮想インターフェイスでは実行されません。クラスタ制御リンクのモニタリングは設定できません。このリンクは常にモニタされています。

    何らかのトポロジ変更(たとえばデータ インターフェイスの追加/削除、ASA、Firepower 4100/9300 シャーシ、またはスイッチ上のインターフェイスの有効化/無効化、VSS または vPC を形成するスイッチの追加)を行うときには、ヘルス チェック機能を無効にし([Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster])、無効化したインターフェイスのモニタリングも無効にしてください。トポロジの変更が完了して、コンフィギュレーション変更がすべてのユニットに同期されたら、ヘルス チェック機能を再度イネーブルにできます。

    ステップ 3

    インターフェイス、システム、またはクラスタ制御リンクに障害が発生した場合の自動再結合の設定をカスタマイズするには、[Auto Rejoin] タブをクリックします。各タイプに関して [Edit] をクリックして次の設定を行います。

    • [Maximum Rejoin Attempts]:クラスタへの再結合の試行回数を定義するために、[Unlimited] または 0 ~ 65535 の範囲で値を設定します。0 は自動再結合をディセーブルにします。デフォルト値は、クラスタ インターフェイスの場合は [Unlimited]、データ インターフェイスおよびシステムの場合は [3] です。

    • [Rejoin Interval]:再結合試行間隔の時間を定義するために、2 ~ 60 の範囲で間隔を設定します。デフォルト値は 5 分です。クラスタへの再結合をユニットが試行する最大合計時間は、最後の失敗から 14,400 分に限られています。

    • [Interval Variation]:1 ~ 3 の範囲で設定して、間隔を増加させるかどうかを定義します(1:変更なし、2:直前の間隔の 2 倍、3:直前の間隔の 3 倍)。たとえば、間隔を 5 分に設定し、変分を 2 に設定した場合は、最初の試行が 5 分後、2 回目の試行が 10 分後(2 x 5)、3 階目の試行が 20 分後(2 x 10)となります。デフォルト値は、クラスタ インターフェイスの場合は [1]、データ インターフェイスおよびシステムの場合は [2] です。

    デフォルト設定に戻すには、[Restore Defaults] をクリックします。

    ステップ 4

    [Apply] をクリックします。


    クラスタ TCP 複製の遅延の設定

    TCP 接続のクラスタ複製の遅延を有効化して、ディレクタ/バックアップ フロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。ディレクタ/バックアップ フローが作成される前にユニットが失敗する場合は、それらのフローを回復することはできません。同様に、フローを作成する前にトラフィックが別のユニットに再調整される場合、流れを回復することはできません。TCP のランダム化を無効化するトラフィックの TCP の複製の遅延を有効化しないようにする必要があります。

    手順

    ステップ 1

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication].の順に選択します。

    ステップ 2

    [Add] をクリックして次の値を設定します。

    • [Replication delay]:1 ~ 15 の範囲で秒数を設定します。

    • [HTTP]:すべての HTTP トラフィックの遅延を設定します。デフォルトでは、この設定は 5 秒間で有効化されています。

    • [Source Criteria]

      • [Source]:送信元 IP アドレスを設定します。

      • [Service]:(オプション)送信元ポートを設定します。通常は、送信元または宛先ポートのいずれかを設定するか、両方ともに設定しません。

    • [Destination Criteria]

      • [Source]:宛先 IP アドレスを設定します。

      • [Service]:(オプション)宛先ポートを設定します。通常は、送信元または宛先ポートのいずれかを設定するか、両方ともに設定しません。

    ステップ 3

    [OK] をクリックします。

    ステップ 4

    [Apply] をクリックします。


    サイト間機能の設定

    サイト間クラスタリングの場合、冗長性と安定性を高めるために、設定をカスタマイズできます。

    クラスタ フロー モビリティの設定

    LISP のトラフィックを検査して、サーバがサイト間を移動する時にフロー モビリティを有効にできます。

    LISP インスペクションについて

    LISP トラフィックを検査することで、サイト間のフローのモビリティを有効にできます。

    LISP について

    VMware VMotion などのデータセンター仮想マシンのモビリティによって、サーバはクライアントへの接続を維持すると同時に、データセンター間を移動できます。このようなデータセンター サーバ モビリティをサポートするには、サーバの移動時にサーバへの入力ルートをルータが更新できる必要があります。Cisco Locator/ID Separation Protocol(LISP)のアーキテクチャは、デバイス ID、つまりエンドポイント ID(EID)をその場所、つまりルーティング ロケータ(RLOC)から 2 つの異なるナンバリング スペースに分離し、サーバの移行をクライアントに対して透過的にします。たとえば、サーバが新しい場所に移動し、クライアントがサーバにトラフィックを送信すると、ルータは新しい場所にトラフィックをリダイレクトします。

    LISP では、LISP の出力トンネル ルータ(ETR)、入力トンネル ルータ(ITR)、ファースト ホップ ルータ、マップ リゾルバ(MR)、およびマップ サーバ(MS)などのある一定のロールにおいてルータとサーバが必要です。サーバが別のルータに接続されていることをサーバのファースト ホップ ルータが感知すると、そのルータは他のすべてのルータとデータベースを更新し、クライアントに接続されている ITR がトラフィックを代行受信してカプセル化し、新しいサーバの場所に送信できるようにします。

    ASA LISP のサポート

    ASA は LISP 自体を実行しませんが、場所の変更について LISP トラフィックを検査し、シームレスなクラスタリング操作のためにこの情報を活用できます。LISP の統合を行わない場合、サーバが新しいサイトに移動すると、トラフィックは元のフロー オーナーの代わりに、新しいサイトで ASA クラスタ メンバーになります。新しい ASA が古いサイトの ASA にトラフィックを転送した後、古い ASA は、サーバに到達するためにトラフィックを新しいサイトに送り返す必要があります。このトラフィック フローは最適ではなく、「トロンボーニング」または「ヘアピニング」と呼ばれます。

    LISP 統合により、ASA クラスタ メンバーは、ファースト ホップ ルータと ETR または ITR 間でやり取りされる LISP トラフィックを検査し、フローの所有者を新しいサイトに変更できます。

    LISP のガイドライン
    • ASA クラスタ メンバーは、サイトのファースト ホップ ルータと ITR または ETR の間に存在している必要があります。ASA クラスタ自体を拡張セグメントのファーストホップルータにすることはできません。

    • 完全分散されたフローのみがサポートされます。一元化されたフロー、半分散されたフロー、または個々のユニットに属しているフローは新しいオーナーに移動されません。半分散されたフローには SIP などのアプリケーションが含まれており、親フローとそのすべての子フローが同じ ASA によって所有されます。

    • クラスタはレイヤ 3 および 4 のフロー状態を移動させるだけです。一部のアプリケーション データが失われる可能性があります。

    • 短時間のフローまたはビジネスに不可欠でないフローの場合、オーナーの移動は有用でない可能性があります。インスペクション ポリシーを設定するときに、この機能でサポートされるトラフィックのタイプを制御できます。また、フロー モビリティを不可欠なトラフィックに制限する必要があります。

    ASA LISP の実装

    この機能には、複数の相互に関係する設定が含まれています(それらについてはすべてこの章で説明します)。

    1. (任意)ホストまたはサーバ IP アドレスに基づく検査対象 EID の制限:最初のホップ ルータは、ASA クラスタが関与していないホストまたはネットワークに EID 通知メッセージを送信する場合があります。このため、クラスタに関連するサーバまたはネットワークのみに EID を制限できます。たとえば、クラスタが 2 つのサイトのみに関与しているが、LISP が 3 つのサイトで実行されている場合は、クラスタに関与している 2 つのサイトに対してのみ EID を含める必要があります。

    2. LISP トラフィックのインスペクション:ASAは、ファーストホップルータと ITR または ETR の間で送信される EID 通知メッセージにおいて、UDP ポート 4342 上の LISP トラフィックを検査します。ASA は、EID とサイト ID を関連付ける EID テーブルを保持します。たとえば、ファースト ホップ ルータの送信元 IP アドレスと ITR または ETR の宛先アドレスで LISP トラフィックを検査する必要があります。LISP トラフィックにはディレクタが割り当てられておらず、LISP トラフィック自体はクラスタ状態の共有に参加しないことに注意してください。

    3. 指定されたトラフィックでのフロー モビリティを有効にするサービス ポリシー:ビジネスクリティカルなトラフィックでフロー モビリティを有効にする必要があります。たとえば、フロー モビリティを、HTTPS トラフィックのみに制限したり、特定のサーバとの間でやり取りされるトラフィックのみに制限したりできます。

    4. サイト ID:ASAは、各クラスタユニットのサイト ID を使用して新しい所有者を特定します。

    5. フロー モビリティを有効にするクラスタレベルの設定:クラスタ レベルでもフロー モビリティを有効にする必要があります。このオン/オフの切り替えを使用することで、特定のクラスのトラフィックまたはアプリケーションに対してフロー モビリティを簡単に有効または無効にできます。

    LISP インスペクションの設定

    LISP のトラフィックを検査して、サーバがサイト間を移動する時にフロー モビリティを有効にできます。

    始める前に
    • Firepower 4100/9300 シャーシ スーパバイザ上のシャーシのサイト ID を設定します。

    • LISP のトラフィックはデフォルト インスペクション トラフィック クラスに含まれないため、この手順の一部として LISP のトラフィック用に別のクラスを設定する必要があります。

    手順

    ステップ 1

    (任意) LISP インスペクション マップを設定して、IP アドレスに基づいて検査済みの EID を制限し、LISP の事前共有キーを設定します。

    1. [Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [LISP] を選択します。

    2. [Add] をクリックして、新しいマップを追加します。

    3. 名前(最大 40 文字)と説明を入力します。

    4. Allowed-EID access-list については、[Manage] をクリックします。

      [ACL Manager] が開きます。

      ファースト ホップ ルータまたは ITR/ETR は、ASA クラスタが関与していないホストまたはネットワークに EID 通知メッセージを送信することがあります。このため、クラスタに関連するサーバまたはネットワークのみに EID を制限できます。たとえば、クラスタが 2 つのサイトのみに関与しているが、LISP が 3 つのサイトで実行されている場合は、クラスタに関与している 2 つのサイトに対してのみ EID を含める必要があります。

    5. ファイアウォールの設定ガイドに従って、少なくとも 1 つの ACE で ACL を追加します。

    6. 必要に応じて、検証キーを入力します。

      暗号化キーをコピーした場合は、[Encrypted]オプション ボタンをクリックします。

    7. [OK] をクリックします。

    ステップ 2

    サービス ポリシー ルールを追加して LISP インスペクションを設定します。

    1. [Configuration] > [Firewall] > [Service Policy Rules] の順に選択します。

    2. [Add] をクリックします。

    3. [Service Policy] ページで、インターフェイスへのルールまたはグローバルなルールを適用します。

      既存のサービス ポリシーで使用するものがあれば、そのポリシーにルールを追加します。デフォルトで、ASA には global_policy と呼ばれるグローバル ポリシーが含まれます。ポリシーをグローバルに適用しない場合は、インターフェイスごとに 1 つのサービス ポリシーを作成することもできます。LISP インスペクションは、双方向にトラフィックに適用するため、送信元と宛先の両方のインターフェイスにサービス ポリシーを適用する必要はありません。トラフィックが両方向のクラスに一致する場合、ルールを適用するインターフェイスに出入りするトラフィックのすべてが影響を受けます。

    4. [Traffic Classification Criteria] ページで、[Create a new traffic class] をクリックし、[Traffic Match Criteria] の下部の [Source and Destination IP Address (uses ACL)]をオンにします。

    5. [Next] をクリックします。

    6. インスペクションを行うトラフィックを指定します。ファースト ホップ ルータと UDP ポート 4342 の ITR または ETR の間のトラフィックを指定します。IPv4 ACL および IPv6 ACL のどちらにも対応しています。

    7. [Next] をクリックします。

    8. [Rule Actions] ウィザード ページまたはタブで、[Protocol Inspection] タブを選択します。

    9. [LISP] チェックボックスをオンにします。

    10. (オプション)[Configure] をクリックして、作成したインスペクション マップを選択します。

    11. [Finish] をクリックして、サービス ポリシー ルールを保存します。

    ステップ 3

    サービス ポリシー ルールを追加して、重要なトラフィックのフロー モビリティを有効化します。

    1. [Configuration] > [Firewall] > [Service Policy Rules] の順に選択します。

    2. [Add] をクリックします。

    3. [Service Policy] ページで、LISP インスペクションに使用する同じサービス ポリシーを選択します。

    4. [Traffic Classification Criteria] ページで、[Create a new traffic class] をクリックし、[Traffic Match Criteria] の下部の [Source and Destination IP Address (uses ACL)]をオンにします。

    5. [Next] をクリックします。

    6. サーバがサイトを変更するときに最適なサイトに再割り当てする、ビジネス クリティカルなトラフィックを指定します。たとえば、フロー モビリティを HTTPS トラフィックおよび/または特定のサーバへのトラフィックのみに制限できます。IPv4 ACL および IPv6 ACL のどちらにも対応しています。

    7. [Next] をクリックします。

    8. [Rule Actions] ウィザード ページまたはタブで、[Cluster] タブを選択します。

    9. [Enable Cluster flow-mobility triggered by LISP EID messages] チェックボックスをオンにします。

    10. [Finish] をクリックして、サービス ポリシー ルールを保存します。

    ステップ 4

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] の順に選択し、[Enable Clustering flow mobility] チェックボックスをオンにします。

    ステップ 5

    [Apply] をクリックします。


    分散型サイト間 VPN の設定

    デフォルトでは、ASA クラスタは集中型サイト間 VPN モードを使用します。クラスタリングの拡張性を活用するために、分散型サイト間 VPN モードを有効にできます。このモードでは、S2S IPsec IKEv2 VPN 接続が ASA クラスタのメンバー全体に分散されます。クラスタのメンバー全体に VPN 接続を分散することで、クラスタの容量とスループットの両方を最大限に活用できるため、集中型 VPN の機能を超えて大幅に VPN サポートを拡張できます。

    分散型サイト間 VPN について
    分散型 VPN 接続の役割

    分散型 VPN モードで実行すると、次の役割がクラスタ メンバーに割り当てられます。

    • アクティブ セッション オーナー:最初に接続を受信したユニット、またはバックアップ セッションをアクティブ セッションに移行したユニット。オーナーは、IKE と IPsec トンネル、およびそれらに関連付けられたすべてのトラフィックを含む、完全なセッションの状態を維持し、パケットを処理します。

    • バックアップ セッション オーナー:既存のアクティブ セッションのバックアップ セッションを処理しているユニット。選択されたバックアップ戦略によっては、アクティブ セッション オーナーと同じシャーシ内のユニット、または別のシャーシ内のユニットである可能性があります。アクティブ セッション オーナーに障害が発生すると、バックアップ セッション オーナーがアクティブ セッション オーナーになり、新しいバックアップ セッションが別のユニットで確立されます。

    • フォワーダ:VPN セッションに関連付けられたトラフィックが VPN セッションを所有していないユニットに送信された場合、そのユニットは VPN セッションを所有しているメンバーにトラフィックを転送するために Cluster Control Link(CCL)を使用します。

    • オーケストレータ:オーケストレータ(常にクラスタのマスター ノード)は、アクティブ セッションの再配布(ASR)を実行する際に、移動するセッションとその移動先を計算する役割があります。オーケストレータは、オーナー メンバー X に N セッションをメンバー Y に移動する要求を送信します。メンバー X は、完了時に移動できたセッション数を指定して、オーケストレータに応答を返します。

    分散型 VPN セッションの特性

    分散型 S2S VPN セッションには、次の特性があります。それ以外の場合、VPN 接続は、ASA クラスタ上にない場合に通常動作するように動作します。

    • VPN セッションは、セッション レベルでクラスタ全体に分散されます。つまり、1 つの VPN 接続に対し、同じクラスタ メンバーが IKE および IPsec トンネルと、そのすべてのトラフィックを処理します。VPN セッション トラフィックが、その VPN セッションを所有していないクラスタ メンバーに送信された場合、トラフィックは VPN セッションを所有しているクラスタ メンバーに転送されます。

    • VPN セッションには、クラスタ全体で一意のセッション ID があります。セッション ID を使用して、トラフィックが検証され、転送の決定が行われ、IKE ネゴシエーションが完了します。

    • S2S VPN ハブ アンド スポーク構成では、クライアントが ASA クラスタを介して接続する場合(ヘアピニングと呼ばれる)、流入するセッション トラフィックと流出するセッション トラフィックは、異なるクラスタ メンバー上にある可能性があります。

    • バックアップ セッションを別のシャーシのセキュリティ モジュールに割り当てるように要求することができます。これにより、シャーシの障害を防止します。または、クラスタ内の任意のノードにバックアップ セッションを割り当てることもできます。これはノードの障害のみを防止します。クラスタにシャーシが 2 つある場合は、リモートシャーシ バックアップを強く推奨します。

    • 分散型 S2S VPN モードでは IKEv2 IPsec S2S VPN のみがサポートされ、IKEv1 はサポートされていません。IKEv1 S2S は、集中型 VPN モードでサポートされています。

    • 各セキュリティ モジュールは、6 つのメンバーにわたる最大約 36,000 のセッションに対し、最大 6,000 の VPN セッションをサポートします。クラスタ メンバーでサポートされる実際のセッション数は、プラットフォームの容量、割り当てられたライセンス、コンテキストごとのリソース割り当てによって決まります。使用率が制限値に近い場合、各クラスタ ユニットで最大容量に達していなくても、セッションの作成が失敗することがあります。これは、アクティブ セッションの割り当てが外部スイッチングによって決定され、バックアップ セッションの割り当てが内部クラスタ アルゴリズムによって決定されるためです。顧客は、使用率を適宜調整し、不均一な配布に対するスペースを確保することが推奨されます。

    クラスタ イベントの分散型 VPN の処理
    表 2.

    イベント

    分散型 VPN

    メンバーの障害

    この障害が発生したメンバー上のすべてのアクティブ セッションに対し、(別のメンバー上の)バックアップ セッションがアクティブになり、バックアップ セッションはバックアップ戦略に従って別のユニットに再割り当てされます。

    シャーシ障害

    リモートシャーシ バックアップ戦略が使用されている場合、障害が発生したシャーシ上のすべてのアクティブ セッションに対し、(他のシャーシのメンバー上の)バックアップ セッションがアクティブになります。ユニットが交換されると、これらの現在アクティブなセッションに対するバックアップ セッションが、交換されたシャーシのメンバーに再割り当てされます。

    フラット バックアップ戦略が使用されている場合、アクティブ セッションとバックアップ セッションの両方が障害の発生したシャーシ上にあると、接続は切断されます。他のシャーシのメンバー上にバックアップ セッションがあるアクティブ セッションはすべて、これらのセッションにフォールバックします。新しいバックアップ セッションは、残存しているシャーシ内の別のメンバーに割り当てられます。

    クラスタ メンバーの非アクティブ化

    非アクティブになっているクラスタ メンバー上のすべてのアクティブ セッションに対し、(別のメンバー上の)バックアップ セッションがアクティブになり、バックアップ戦略に従って別のユニットにバックアップ セッションを再割り当てします。

    クラスタ メンバーの参加

    VPN クラスタ モードが分散型に設定されていない場合、マスター ユニットはモード変更を要求します。

    VPN モードに互換性がある場合、または以前互換性があった場合、クラスタ メンバーには、通常の操作の流れでアクティブ セッションとバックアップ セッションが割り当てられます。

    サポートされていないインスペクション

    次のタイプの検査は、分散型 S2S VPN モードではサポートされていないか、または無効になっています。

    • CTIQBE

    • DCERPC

    • H323、H225、および RAS

    • IPSec パススルー

    • MGCP

    • MMP

    • NetBIOS

    • PPTP

    • RADIUS

    • RSH

    • RTSP

    • SCCP(Skinny)

    • SUNRPC

    • TFTP

    • WAAS

    • WCCP

    • XDMCP

    IPsec IKEv2 の変更

    IKEv2 は、分散型 S2S VPN モードでは次のように変更されます。

    • IP/ポート タプルの代わりに ID が使用されます。これにより、パケットの適切な転送の決定、および他のクラスタ メンバー上にある可能性がある以前の接続のクリーンアップが可能になります。

    • 単一の IKEv2 セッションを識別する(SPI)識別子は、ローカルで生成されたランダムな 8 バイトの値で、クラスタ全体で一意です。SPI には、タイム スタンプとクラスタ メンバー ID が埋め込まれています。IKE ネゴシエーション パケットの受信時に、タイム スタンプまたはクラスタ メンバー ID のチェックに失敗すると、パケットがドロップされ、理由を示すメッセージが記録されます。

    • NAT-T ネゴシエーションがクラスタ メンバー間で分割されることによって失敗しないように IKEv2 処理が変更されました。新しい ASP 分類ドメインである cluster_isakmp_redirect、およびルールは、IKEv2 がインターフェイスで有効になっている場合に追加されます。

    サポート モデル

    分散型 VPN でサポートされる唯一のデバイスは、Firepower 9300 です。分散型 VPN では、最大 2 シャーシで、最大 6 モジュールをサポートしています。各シャーシで異なる数のセキュリティ モジュールを設置することができますが、均等な分配を推奨しています。

    サイト間クラスタリングはサポートされていません。

    ファイアウォール モード

    分散型 S2S VPN は、ルーテッド モードでのみサポートされています。

    コンテキスト モード

    分散型 S2S VPN は、シングル コンテキスト モードおよびマルチ コンテキスト モードの両方で動作します。ただし、マルチ コンテキスト モードでは、アクティブ セッションの再配布はコンテキスト レベルではなくシステム レベルで行われます。これにより、コンテキストに関連付けられたアクティブ セッションが、異なるコンテキストに関連付けられたアクティブ セッションを含むクラスタ メンバーに移動し、予期せずに持続不可能な負荷が発生するのを防ぎます。

    ハイ アベイラビリティ

    次の機能により、セキュリティ モジュールまたはシャーシの単一障害に対する復元力が提供されます。

    • 任意のシャーシ上のクラスタ内にある別のセキュリティ モジュールにバックアップされた VPN セッションは、セキュリティ モジュールの障害に耐性があります。

    • 別のシャーシにバックアップされた VPN セッションは、シャーシの障害に耐性があります。

    • クラスタ マスターは、VPN S2S セッションを失うことなく変更できます。

    クラスタが安定する前に追加の障害が発生すると、アクティブ セッションとバックアップ セッションの両方が障害の発生したユニットにある場合、接続が失われる可能性があります。

    VPN クラスタ モードの無効化、クラスタ メンバーのリロード、およびその他の予想されるシャーシの変更など、メンバーが正常な状態でクラスタを離れるときにセッションが失われないように、すべての試行が行われます。これらのタイプの操作では、操作間でセッションのバックアップを再確立する時間がクラスタに与えられている限り、セッションは失われません。最後のクラスタ メンバーで正常な終了がトリガーされた場合、既存のセッションが正常に切断されます。

    ダイナミック PAT

    分散型 VPN モードでは使用できません。

    CMPv2

    CMPv2 ID 証明書とキー ペアはクラスタ メンバー間で同期されます。ただし、クラスタ内のマスターのみが CMPv2 証明書を自動的に更新してキーの再生成を行います。マスターは更新時に、これらの新しい ID 証明書とキーをすべてのクラスタ メンバーに同期させます。このようにして、クラスタ内のすべてのメンバーは CMPv2 証明書を利用して認証を行い、また、すべてのメンバーがマスターを継承することができます。

    分散型 S2S VPN の有効化

    分散型サイト間 VPN を有効にして、VPN セッションのクラスタリングの拡張性を活用します。


    (注)  

    VPN モードを集中型と分散型の間で変更すると、既存のすべてのセッションが切断されます。バックアップ モードの変更は動的で、セッションは終了しません。


    始める前に
    • クラスタのすべてのメンバーにキャリア ライセンスが設定されている必要があります。

    • S2S VPN 設定を行う必要があります。

    手順

    ステップ 1

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

    ステップ 2

    [VPN Cluster Mode] 領域で、クラスタの [VPN Mode] を [Centralized] または [Distributed] から選択します。

    ステップ 3

    [Backup Distribution Mode] を [Flat] または [Remote-chassis] から選択します。

    フラット バックアップ モードでは、他のクラスタ メンバーにスタンバイ セッションが確立されます。これにより、ユーザはブレード障害から保護されますが、シャーシ障害の保護は保証されません。

    リモートシャーシ バックアップ モードでは、クラスタ内の別のシャーシのメンバーにスタンバイ セッションが確立されます。これにより、ユーザはブレード障害とシャーシ障害の両方から保護されます。

    リモートシャーシが単一のシャーシ環境(意図的に構成されたものまたは障害の結果)で構成されている場合、別のシャーシが結合されるまでバックアップは作成されません。


    分散型 S2S VPN セッションの再配布

    アクティブ セッションの再配布(ASR)では、アクティブな VPN セッションの負荷がクラスタ メンバー全体に再配布されます。セッションの開始と終了の動的な性質のため、ASR は、すべてのクラスタ メンバー間でセッションのバランスを取るためのベスト エフォートです。繰り返される再配布アクションによってバランスが最適化されます。

    再配布はいつでも実行でき、クラスタ内のトポロジ変更後に実行する必要があります。また、新しいメンバーがクラスタに参加した後に実行することを推奨します。再配布の目的は、安定した VPN クラスタを作成することです。安定した VPN クラスタには、ノード間でほぼ同数のアクティブ セッションとバックアップ セッションがあります。

    セッションを移動するには、バックアップ セッションがアクティブ セッションになり、別のノードが新しいバックアップ セッションをホストするように選択されます。移動セッションは、アクティブ セッションのバックアップの場所と、その特定のバックアップ ノード上にすでに存在するアクティブ セッションの数に依存します。何らかの理由でバックアップ セッション ノードがアクティブ セッションをホストできない場合、元のノードはセッションのオーナーのままです。

    マルチコンテキスト モードでは、アクティブ セッションの再配布は、個々のコンテキスト レベルではなくシステム レベルで行われます。コンテキスト レベルで実行されない理由は、あるコンテキスト内のアクティブ セッションが別のコンテキスト内のより多くのアクティブ セッションを含むメンバーに移動され、そのクラスタ メンバーに多くの負荷がかかるためです。

    始める前に
    • 再配布アクティビティをモニタする場合は、システム ログを有効にします。

    • この手順は、クラスタのマスター ノードで実行する必要があります。

    手順

    ステップ 1

    [Monitoring] > [ASA Cluster] > [ASA Cluster] > [Cluster Summary] > [VPN Cluster Summary] を選択して、アクティブ セッションとバックアップ セッションがクラスタ全体にどのように配布されているかを表示します。

    再配布するセッションの数とクラスタの負荷に応じて、これには時間がかかることがあります。再配布アクティビティが発生すると、次のフレーズ(およびここには表示されていない他のシステムの詳細)を含む Syslog が提供されます。

    Syslog フレーズ
    VPN session redistribution started マスターのみ

    Sent request to move number sessions from orig-member-name to dest-member-name

    マスターのみ
    Failed to send session redistribution message to member-name マスターのみ
    Received request to move number sessions from orig-member-name to dest-member-name スレーブのみ
    Moved number sessions to member-name 名前付きクラスタに移動したアクティブ セッションの数。
    Failed to receive session move response from dest-member-name マスターのみ
    VPN session completed マスターのみ
    Cluster topology change detected. VPN session redistribution aborted.
    ステップ 2

    [Re-Distribute] をクリックします。

    ステップ 3

    [Monitoring] > [ASA Cluster] > [ASA Cluster] > [ClusterSummary] > [VPN Cluster Summary] を更新して、再配布アクティビティの結果を確認します。

    再配布が成功し、実質的なシステムまたはセッション アクティビティがなかった場合、システムのバランスが取られ、このアクションは完了します。

    それ以外の場合は、再配布プロセスを繰り返して、バランスの取れた安定したシステムを取得します。


    FXOS:クラスタ メンバの削除

    ここでは、メンバを一時的に、またはクラスタから永続的に削除する方法について説明します。

    一時的な削除

    たとえば、ハードウェアまたはネットワークの障害が原因で、クラスタ メンバはクラスタから自動的に削除されます。この削除は、条件が修正されるまでの一時的なものであるため、クラスタに再参加できます。また、手動でクラスタリングを無効にすることもできます。

    デバイスが現在クラスタ内にあるかどうかを確認するには、Firepower Chassis Manager の [Logical Devices] ページで、のクラスタ ステータスを確認します。

    • アプリケーションでのクラスタリングの無効化:アプリケーション CLI を使用してクラスタリングを無効にすることができます。cluster remove unit name コマンドを入力して、ログインしているユニット以外のすべてのユニットを削除します。ブートストラップ コンフィギュレーションは変更されず、マスター ユニットから最後に同期されたコンフィギュレーションもそのままであるので、コンフィギュレーションを失わずに後でそのユニットを再度追加できます。マスター ユニットを削除するためにスレーブ ユニットでこのコマンドを入力した場合は、新しいマスター ユニットが選定されます。

      デバイスが非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開するには、クラスタリングを再度有効にします。管理インターフェイスは、そのユニットがブートストラップ設定から受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードしてもユニットがクラスタ内でまだアクティブではない場合(クラスタリングが無効な状態で設定を保存した場合など)、管理インターフェイスは無効になります。

      クラスタリングを再度有効にするには、ASA で cluster group name を入力してから enable を入力します。

    • アプリケーション インスタンスの無効化:Firepower Chassis Manager の [Logical Devices] ページで [無効(Disable)] スライダ(有効なスライダ をクリックします。[Enable] スライダ(無効なスライダ を使用して後で再度有効にすることができます。

    • セキュリティ モジュール/エンジン のシャットダウン:Firepower Chassis Manager の [Module/Engine] ページで、[Power Off] アイコン([Power Off] アイコン をクリックします。

    • シャーシのシャットダウン:Firepower Chassis Manager の [Overview] ページで、 [Shut Down] アイコン([Shut Down] アイコン をクリックします。

    完全な削除

    次の方法を使用して、クラスタ メンバを完全に削除できます。

    • 論理デバイスの削除:Firepower Chassis Manager の [Logical Devices] ページで、削除アイコン(削除アイコン をクリックします。その後、スタンドアロンの論理デバイスや新しいクラスタを展開したり、同じクラスタに新しい論理デバイスを追加したりすることもできます。

    • サービスからのシャーシまたはセキュリティ モジュールの削除:サービスからデバイスを削除する場合は、交換用ハードウェアをクラスタの新しいメンバーとして追加できます。

    ASA:クラスタ メンバの管理

    クラスタを導入した後は、コンフィギュレーションを変更し、クラスタ メンバを管理できます。

    非アクティブなメンバーになる

    クラスタの非アクティブなメンバーになるには、クラスタリング コンフィギュレーションは変更せずに、そのユニット上でクラスタリングをディセーブルにします。


    (注)  

    ASA が(手動で、またはヘルス チェック エラーにより)非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開させるには、クラスタリングを再びイネーブルにします。または、そのユニットをクラスタから完全に削除します。管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードしてもユニットがクラスタ内でまだアクティブではない場合(クラスタリングが無効な状態で設定を保存した場合など)、管理インターフェイスは無効になります。それ以降のコンフィギュレーション作業には、コンソール ポートを使用する必要があります。


    始める前に

    • マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

    手順


    ステップ 1

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] の順に選択します。

    ステップ 2

    [Participate in ASA cluster] チェックボックスをオフにします。

    (注)   

    [Configure ASA cluster settings] チェックボックスをオフにしないでください。オフにすると、すべてのクラスタ コンフィギュレーションがクリアされ、ASDM が接続されている管理インターフェイスを含むすべてのインターフェイスもシャットダウンします。この場合、接続を復元するには、コンソール ポートで CLI にアクセスする必要があります。

    ステップ 3

    [Apply] をクリックします。


    マスター ユニットからのスレーブ メンバーの非アクティブ化

    スレーブ メンバを非アクティブにするには、次のステップを実行します。


    (注)  

    ASA が非アクティブになると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。トラフィック フローを再開するには、クラスタリングを再度有効にします。管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードしてもユニットがクラスタ内でまだアクティブではない場合(クラスタリングが無効な状態で設定を保存した場合など)、管理インターフェイスは無効になります。それ以降のコンフィギュレーション作業には、コンソール ポートを使用する必要があります。


    始める前に

    マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

    手順


    ステップ 1

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

    ステップ 2

    削除するスレーブを選択して [Delete] をクリックします。

    スレーブ ブートストラップ コンフィギュレーションは同じであり、その設定を失うことなく以後スレーブを再追加できます。

    ステップ 3

    [Apply] をクリックします。


    クラスタへの再参加

    ユニットがクラスタから削除された場合(たとえば、障害が発生したインターフェイスの場合、またはメンバーを手動で非アクティブにした場合)は、クラスタに手動で再参加する必要があります。

    始める前に

    • クラスタリングを再イネーブルにするには、コンソール ポートを使用する必要があります。他のインターフェイスはシャットダウンされます。ただし、ASDM でクラスタリングを手動で無効にした場合、設定を保存してリロードしなかった場合は、ASDM でクラスタリングを再び有効にできます。リロード後、管理インターフェイスは無効になるため、コンソール アクセスがクラスタリングを再び有効にする唯一の方法です。

    • マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

    • クラスタへの再参加を試行する前に、障害が解決されていることを確認します。

    手順


    ステップ 1

    ASDM にまだアクセスしている場合は、再イネーブル化するユニットに ASDM を接続して、ASDM でクラスタリングを再び有効にすることができます。

    新しいメンバーとして追加していない限り、スレーブ ユニットのクラスタリングをマスター ユニットから再び有効にすることはできません。

    1. [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] の順に選択します。

    2. [Participate in ASA cluster] チェックボックスをオンにします。

    3. [Apply] をクリックします。

    ステップ 2

    ASDM を使用できない場合:コンソールで、クラスタ コンフィギュレーション モードを開始します。

    cluster group name

    例:

    
    ciscoasa(config)# cluster group pod1
    
    
    ステップ 3

    クラスタリングをイネーブルにします。

    enable


    マスター ユニットの変更


    注意    

    マスター ユニットを変更する最良の方法は、マスター ユニットでクラスタリングを無効にし、新しいマスターの選択を待ってから、クラスタリングを再度有効にする方法です。マスターにするユニットを厳密に指定する必要がある場合は、この項の手順を使用します。ただし、中央集中型機能の場合は、この手順を使用してマスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。


    マスター ユニットを変更するには、次の手順を実行します。

    始める前に

    マルチ コンテキスト モードの場合は、この手順をシステム実行スペースで実行します。まだシステム コンフィギュレーション モードに入っていない場合は、[Configuration] > [Device List] ペインで、アクティブなデバイスの IP アドレスの下にある [System] をダブルクリックします。

    手順


    ステップ 1

    [Monitoring] > [ASA Cluster] > [Cluster Summary] を選択します。

    ステップ 2

    [Change Master To] ドロップダウン リストから、マスターにするスレーブ ユニットを選択し、[Make Master] をクリックします。

    ステップ 3

    マスター ユニット変更の確認を求められます。[Yes] をクリックします。

    ステップ 4

    ASDM を終了し、メイン クラスタ IP アドレスを使用して再接続します。


    クラスタ全体でのコマンドの実行

    コマンドをクラスタ内のすべてのメンバに、または特定のメンバに送信するには、次の手順を実行します。show コマンドをすべてのメンバーに送信すると、すべての出力が収集されて現在のユニットのコンソールに表示されます。(または、マスター ユニットで show コマンドを入力するとクラスタ全体の統計情報を表示できます。)capture copy などのその他のコマンドも、クラスタ全体での実行を活用できます。

    始める前に

    コマンドライン インターフェイス ツールでこの手順を実行します。[Tools] > [Command Line Interface] を選択します。

    手順


    コマンドをすべてのメンバに送信します。ユニット名を指定した場合は、特定のメンバに送信されます。

    cluster exec [unit unit_name] コマンド

    例:

    
    cluster exec show xlate
    
    

    メンバー名を表示するには、cluster exec unit ? コマンドを入力するか(現在のユニットを除くすべての名前を表示する場合)、show cluster info コマンドを入力します。


    同じキャプチャ ファイルをクラスタ内のすべてのユニットから同時に TFTP サーバにコピーするには、マスター ユニットで次のコマンドを入力します。

    
    cluster exec copy /pcap capture: tftp://10.1.1.56/capture1.pcap
    
    

    複数の PCAP ファイル(各ユニットから 1 つずつ)が TFTP サーバにコピーされます。宛先のキャプチャ ファイル名には自動的にユニット名が付加され、capture1_asa1.pcap、capture1_asa2.pcap などとなります。この例では、asa1 および asa2 がクラスタ ユニット名です。

    次の cluster exec show memory コマンドの出力例では、クラスタの各メンバーのメモリ情報が表示されています。

    
    cluster exec show memory
    unit-1-1(LOCAL):******************************************************
    Free memory:      108724634538 bytes (92%)
    Used memory:        9410087158 bytes ( 8%)
    -------------     ------------------
    Total memory:     118111600640 bytes (100%)
    
    
    unit-1-3:*************************************************************
    Free memory:      108749922170 bytes (92%)
    Used memory:        9371097334 bytes ( 8%)
    -------------     ------------------
    Total memory:     118111600640 bytes (100%)
    
    
    unit-1-2:*************************************************************
    Free memory:      108426753537 bytes (92%)
    Used memory:        9697869087 bytes ( 8%)
    -------------     ------------------
    Total memory:     118111600640 bytes (100%)
    
    

    ASA:での ASA クラスタのモニタリング Firepower 4100/9300 シャーシ

    クラスタの状態と接続をモニタおよびトラブルシューティングできます。

    クラスタ ステータスのモニタリング

    クラスタの状態のモニタリングについては、次の画面を参照してください。

    • [Monitoring] > [ASA Cluster] > [Cluster Summary]

      このペインには、接続相手のユニットとクラスタのその他のユニットの情報が表示されます。また、このペインでプライマリ装置を変更することができます。

    • [Cluster Dashboard]

      プライマリ装置のホーム ページの [Cluster Dashboard] と [Cluster Firewall Dashboard] を使用してクラスタをモニタできます。

    クラスタ全体のパケットのキャプチャ

    クラスタでのパケットのキャプチャについては、次の画面を参照してください。

    [Wizards] > [Packet Capture Wizard]

    クラスタ全体のトラブルシューティングをサポートするには、マスター ユニット上でのクラスタ固有トラフィックのキャプチャをイネーブルにします。これで、クラスタ内のすべてのスレーブ ユニットでも自動的にイネーブルになります。

    クラスタ リソースのモニタリング

    クラスタ リソースのモニタリングについては、次の画面を参照してください。

    • [Monitoring] > [ASA Cluster] > [System Resources Graphs] > [CPU]

      このペインでは、クラスタ メンバ全体の CPU 使用率を示すグラフまたはテーブルを作成することができます。

    • [Monitoring] > [ASA Cluster] > [System Resources Graphs] > [Memory]。

      このペインでは、クラスタ メンバ全体の [Free Memory] と [Used Memory] を表示するグラフまたはテーブルを作成することができます。

    クラスタ トラフィックのモニタリング

    クラスタ トラフィックのモニタリングについては、次の画面を参照してください。

    • [Monitoring] > [ASA Cluster] > [Traffic] > [Graphs] > [Connections]。

      このペインでは、クラスタ メンバ全体の接続を示すグラフまたはテーブルを作成することができます。

    • [Monitoring] > [ASA Cluster] > [Traffic] > [Graphs] > [Throughput]。

      このペインでは、クラスタ メンバ全体のトラフィックのスループットを示すグラフまたはテーブルを作成することができます。

    • [Monitoring] > [ASA Cluster] > [Cluster Load-Monitoring]

      ここでは、[Load Monitor-Information] ペインと [Load-Monitor Details] ペインについて説明します。ロードモニタ情報には、最後のインターバルのクラスタメンバのトラフィック負荷、および設定された間隔の合計数の平均(デフォルトでは 30)が表示されます。各間隔の各測定値を表示するには、[Load-Monitor Details] ペインを使用します。

    クラスタ制御リンクのモニタリング

    クラスタの状態のモニタリングについては、次の画面を参照してください。

    [Monitoring] > [Properties] > [System Resources Graphs] > [Cluster Control Link]。

    このペインでは、クラスタ制御リンクの [Receival] および [Transmittal] 容量使用率を表示するグラフまたはテーブルを作成することができます。

    クラスタのルーティングのモニタリング

    クラスタのルーティングについては、次の画面を参照してください。

    • [Monitoring] > [Routing] > [LISP-EID Table]

      EIDs とサイト ID を示す ASA EID テーブルを表示します。

    分散型 S2S VPN のモニタリング

    VPN クラスタ ステータスのモニタリングについては、次の画面を参照してください。

    • [Monitoring] > [ASA Cluster] > [ASA Cluster] > [Cluster Summary] > [VPN Cluster Summary]

      クラスタ全体のセッションの分布を表示し、セッションを再配布する機能を提供します。

    • [Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

      マスターおよびスレーブ両方のクラスタ メンバーが一覧表示されます。詳細については、任意のメンバーをクリックしてください。

    クラスタリングのロギングの設定

    クラスタリングのロギングの設定については、次の画面を参照してください。

    [Configuration] > [Device Management] > [Logging] > [Syslog Setup]

    クラスタ内の各ユニットは、syslog メッセージを個別に生成します。同一または異なるデバイス ID 付きで syslog メッセージを生成することができ、クラスタ内の同一または異なるユニットからのメッセージのように見せることができます。

    分散型 S2S VPN のトラブルシューティング

    分散型 VPN の通知

    分散型 VPN を実行しているクラスタで、次のエラー状況が発生した場合、識別されたフレーズを含むメッセージが通知されます。

    状況

    通知

    クラスタに参加しようとしているときに、既存のまたは参加しているクラスタ スレーブが分散型 VPN モードにない場合は、次のメッセージが通知されます。

    New cluster member (member-name) rejected due to vpn mode mismatch.

    および

    Master (master-name) rejects enrollment request from unit (unit-name) for the reason: the vpn mode capabilities are not compatible with the master configuration

    分散型 VPN のクラスタ メンバーでライセンスが正しく設定されていない場合は、次のメッセージが通知されます。

    ERROR: Master requested cluster vpn-mode change to distributed. Unable to change mode due to missing Carrier License.

    受信した IKEv2 パケットの SPI でタイム スタンプまたはメンバー ID が無効な場合は、次のメッセージが通知されます。

    Expired SPI received

    または

    Corrupted SPI detected

    クラスタがバックアップ セッションを作成できない場合は、次のメッセージが通知されます。

    Failed to create the backup for an IKEv2 session.

    IKEv2 初期接点(IC)処理エラーの場合は、次のメッセージが通知されます。

    IKEv2 Negotiation aborted due to ERROR: Stale backup session found on backup

    再配布の問題の場合は、次のメッセージが通知されます。

    Failed to send session redistribution message to member-name

    Failed to receive session move response from member-name (master only)

    セッションの再配布中にトポロジが変更された場合は、次のメッセージが通知されます。

    Cluster topology change detected. VPN session redistribution aborted.

    次のいずれかの状況が発生している可能性があります。

    • port-channel load-balance src-dst l4portコマンド を使用して N7K スイッチにロード バランシング アルゴリズムとして L4port が設定されている場合、L2L VPN セッションはクラスタ内のシャーシの 1 つにのみ配布されます。. クラスタ セッションの割り当ての例を次に示します。

      
      SSP-Cluster/slave(cfg-cluster)# show cluster vpn-sessiondb distribution
      Member 0 (unit-1-3): active: 0
      Member 1 (unit-2-2): active: 13295; backups at: 0(2536), 2(2769), 3(2495), 4(2835), 5(2660)
      Member 2 (unit-2-3): active: 12174; backups at: 0(2074), 1(2687), 3(2207), 4(3084), 5(2122)
      Member 3 (unit-2-1): active: 13416; backups at: 0(2419), 1(3013), 2(2712), 4(2771), 5(2501)
      Member 4 (unit-1-1): active: 0
      Member 5 (unit-1-2): active: 0

      L2L IKEv2 VPN は送信元ポートと宛先ポートの両方にポート 500 を使用するため、IKE パケットは N7K とシャーシ間に接続されたポート チャネル内のリンクの 1 つにのみ送信されます。

      port-channel load-balance src-dst ip-l4port を使用して、N7K ロード バランシング アルゴリズムを IP および L4 ポートに変更します。その後、IKE パケットはすべてのリンクに送信されるので、両方の Firepower9300 シャーシに送信されます。

      より即座に調整するには、ASA クラスタのマスターで cluster redistribute vpn-sessiondb を実行することで、アクティブな VPN セッションを他のシャーシのクラスタ メンバーに再配布できます。

    クラスタリングの参考資料

    このセクションには、クラスタリングの動作に関する詳細情報が含まれます。

    ASA の各機能とクラスタリング

    ASA の一部の機能は ASA クラスタリングではサポートされず、一部はマスター ユニットだけでサポートされます。その他の機能については適切な使用に関する警告がある場合があります。

    クラスタリングでサポートされない機能

    これらの機能は、クラスタリングがイネーブルのときは設定できず、コマンドは拒否されます。

    • TLS プロキシを使用するユニファイド コミュニケーション機能

    • リモート アクセス VPN(SSL VPN および IPSec VPN)

    • IS-IS ルーティング

    • 次のアプリケーション インスペクション:

      • CTIQBE

      • H323、H225、および RAS

      • IPsec パススルー

      • MGCP

      • MMP

      • RTSP

      • SCCP(Skinny)

      • WAAS

      • WCCP

    • Botnet Traffic Filter

    • Auto Update Server

    • DHCP クライアント、サーバ、およびプロキシDHCP リレーがサポートされている。

    • VPN ロード バランシング

    • フェールオーバー

    • Integrated Routing and Bridging(IRB)

    • デッド接続検出(DCD)

    • FIPS モード

    クラスタリングの中央集中型機能

    次の機能は、マスター ユニット上だけでサポートされます。クラスタの場合もスケーリングされません。


    (注)  

    中央集中型機能のトラフィックは、クラスタ制御リンク経由でメンバ ユニットからマスター ユニットに転送されます。

    再分散機能を使用する場合は、中央集中型機能のトラフィックが中央集中型機能として分類される前に再分散が行われて、マスター以外のユニットに転送されることがあります。この場合は、トラフィックがマスター ユニットに送り返されます。

    中央集中型機能については、マスター ユニットで障害が発生するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。


    • 次のアプリケーション インスペクション:

      • DCERPC

      • NetBIOS

      • PPTP

      • RADIUS

      • RSH

      • SUNRPC

      • TFTP

      • XDMCP

    • ダイナミック ルーティング

    • スタティック ルート モニタリング

    • IGMP マルチキャスト コントロール プレーン プロトコル処理(データ プレーン フォワーディングはクラスタ全体に分散されます)

    • PIM マルチキャスト コントロール プレーン プロトコル処理(データ プレーン転送はクラスタ全体に分散されます)

    • ネットワーク アクセスの認証および許可。アカウンティングは非集中型です。

    • フィルタリング サービス

    • サイト間 IKEv1/IKEv2 VPN

      集中モードでは、VPN 接続はクラスタのマスターとのみ確立されます。これは、VPN クラスタリングのデフォルト モードです。サイト間 VPN は、S2S IKEv2 VPN 接続がメンバー間で分散される分散型 VPN モードでも展開できます。

    個々のユニットに適用される機能

    これらの機能は、クラスタ全体またはマスター ユニットではなく、各 ASA ユニットに適用されます。

    • QoS:QoS ポリシーは、コンフィギュレーション複製の一部としてクラスタ全体で同期されます。ただし、ポリシーは、各ユニットに対して個別に適用されます。たとえば、出力に対してポリシングを設定する場合は、適合レートおよび適合バースト値は、特定の ASA から出て行くトラフィックに適用されます。3 ユニットから成るクラスタがあり、トラフィックが均等に分散している場合は、適合レートは実際にクラスタのレートの 3 倍になります。

    • 脅威検出:脅威検出は、各ユニットに対して個別に機能します。たとえば、上位統計情報は、ユニット別です。たとえば、ポート スキャン検出が機能しないのは、スキャン トラフィックが全ユニット間で分散されるので、1 つのユニットがすべてのトラフィックを読み取ることはないからです。

    • リソース管理:マルチ コンテキスト モードでのリソース管理は、ローカル使用状況に基づいて各ユニットに個別に適用されます。

    • LISP トラフィック:UDP ポート 4342 上の LISP トラフィックは、各受信ユニットによって検査されますが、ディレクタは割り当てられません。各ユニットは、クラスタ間で共有される EID テーブルに追加されますが、LISP トラフィック自体はクラスタ状態の共有に参加しません。

    ネットワーク アクセス用の AAA とクラスタリング

    ネットワーク アクセス用の AAA は、認証、許可、アカウンティングの 3 つのコンポーネントで構成されます。認証および許可は、クラスタリング マスター上で中央集中型機能として実装されており、データ構造がクラスタ スレーブに複製されます。マスターが選定されたときは、確立済みの認証済みユーザおよびユーザに関連付けられた許可を引き続き中断なく運用するのに必要なすべての情報を、新しいマスターが保有します。ユーザ認証のアイドルおよび絶対タイムアウトは、マスター ユニット変更が発生したときも維持されます。

    アカウンティングは、クラスタ内の分散型機能として実装されています。アカウンティングはフロー単位で実行されるので、フローを所有するクラスタ ユニットがアカウンティング開始と停止のメッセージを AAA サーバに送信します(フローに対するアカウンティングが設定されているとき)。

    FTP とクラスタリング

    • FTP データ チャネルとコントロール チャネルのフローがそれぞれ別のクラスタ メンバよって所有されている場合は、データ チャネルのオーナーは定期的にアイドル タイムアウト アップデートをコントロール チャネルのオーナーに送信し、アイドル タイムアウト値を更新します。ただし、コントロール フローのオーナーがリロードされて、コントロール フローが再ホスティングされた場合は、親子フロー関係は維持されなくなります。したがって、コントロール フローのアイドル タイムアウトは更新されません。

    • FTP アクセスに AAA を使用している場合、制御チャネルのフローはマスター ユニットに集中化されます。

    アイデンティティ ファイアウォールとクラスタリング

    マスター ユニットのみが AD から user-group を取得し、AD エージェントから user-ip マッピングを取得します。マスター ユニットからユーザ情報がスレーブに渡されるので、スレーブは、セキュリティ ポリシーに基づいてユーザ ID の一致の決定を行うことができます。

    マルチキャスト ルーティングとクラスタリング

    ファースト パス転送が確立されるまでの間、マスター ユニットがすべてのマルチキャスト ルーティング パケットとデータ パケットを処理します。接続が確立された後は、各スレーブがマルチキャスト データ パケットを転送できます。

    NAT とクラスタリング

    NAT は、クラスタの全体的なスループットに影響を与えることがあります。インバウンドおよびアウトバウンドの NAT パケットが、それぞれクラスタ内の別の ASA に送信されることがあります。ロード バランシング アルゴリズムは IP アドレスとポートに依存していますが、NAT が使用されるときは、インバウンドとアウトバウンドとで、パケットの IP アドレスやポートが異なるからです。NAT オーナーではない ASA に到着したパケットは、クラスタ制御リンクを介してオーナーに転送されるため、クラスタ制御リンクに大量のトラフィックが発生します。NAT オーナーはセキュリティおよびポリシー チェックの結果に応じてパケットの接続を作成するため、受信側ユニットは転送フローをオーナーに作成しません。

    それでもクラスタリングで NAT を使用する場合は、次のガイドラインを考慮してください。

    • ポート ブロック割り当てによる PAT:この機能については、次のガイドラインを参照してください。

      • ホストあたりの最大制限は、クラスタ全体の制限ではなく、各ユニットで個別に適用されます。したがって、ホストあたりの最大制限が 1 に設定されている 3 つのノードを持つクラスタにおいて、ホストからのトラフィックが 3 つすべてのユニットでロード バランシングされる場合、そのクラスタには 3 つのブロック(各ユニットに 1 つずつ)を割り当てることができます。

      • バックアップ プールからバックアップ ユニットに作成されたポート ブロックは、ホストあたりの最大制限の適用時には含まれません。

      • PAT IP アドレスのオーナーがダウンすると、バックアップ ユニットが PAT IP アドレス、対応するポート ブロック、および xlate を所有します。通常の PAT アドレスでポートが不足している場合、新しい要求を処理するために引き継いだアドレスを使用できます。接続が最終的にタイムアウトすると、ブロックは解放されます。

      • PAT プールが完全に新しい IP アドレスの範囲で変更される On-the-fly PAT ルールの変更では、新しいプールが有効になっていてもいまだ送信中の xlate バックアップ要求に対する xlate バックアップの作成が失敗します。この動作はポートのブロック割り当て機能に固有なものではなく、プールが分散されトラフィックがクラスタ ユニット間でロード バランシングされるクラスタ展開でのみ見られる一時的な PAT プールの問題です。

    • ダイナミック PAT 用 NAT プール アドレス分散:マスター ユニットは、アドレスをクラスタ全体に均等に分配します。メンバーが接続を受信したときに、そのメンバーのアドレスが 1 つも残っていない場合は、接続はドロップされます(他のメンバーにはまだ使用可能なアドレスがある場合でも)。クラスタメンバが(障害により)クラスタから離脱した場合、バックアップメンバは PAT IP アドレスを取得し、バックアップで通常の PAT IP アドレスが使い果たされると、新しいアドレスを使用できるようになります。各ユニットがアドレスを受信し、また、アドレスを引き継いだメンバが古いアドレスを使用している場合に障害が発生したユニットが新しいアドレスを取得できるようにするには、少なくともクラスタ内のユニットと同じ数の NAT アドレスに加えて、少なくとも 1 つの追加アドレスが含まれていることを確認してください。アドレス割り当てを表示するには、show nat pool cluster コマンドを使用します。

    • 複数のルールにおける PAT プールの再利用:複数のルールで同じ PAT プールを使用するには、ルールにおけるインターフェイスの選択に注意を払う必要があります。すべてのルールで特定のインターフェイスを使用するか、あるいはすべてのルールで「任意の」インターフェイスを使用するか、いずれかを選択する必要があります。ルール全般にわたって特定のインターフェイスと「任意」のインターフェイスを混在させることはできません。混在させると、システムがリターントラフィックとクラスタ内の適切なノードを一致させることができなくなる場合があります。ルールごとに固有の PAT プールを使用することは、最も信頼性の高いオプションです。

    • ラウンドロビンなし:PAT プールのラウンドロビンは、クラスタリングではサポートされません。

    • マスター ユニットによって管理されるダイナミック NAT xlate:マスター ユニットが xlate テーブルを維持し、スレーブ ユニットに複製します。ダイナミック NAT を必要とする接続をスレーブ ユニットが受信したときに、その xlate がテーブル内にない場合は、スレーブはマスター ユニットに xlate を要求します。スレーブ ユニットが接続を所有します。

    • Per-session PAT 機能:クラスタリングに限りませんが、Per-session PAT 機能によって PAT のスケーラビリティが向上します。クラスタリングの場合は、各スレーブ ユニットが独自の PAT 接続を持てるようになります。対照的に、Multi-Session PAT 接続はマスター ユニットに転送する必要があり、マスター ユニットがオーナーとなります。デフォルトでは、すべての TCP トラフィックおよび UDP DNS トラフィックは per-session PAT xlate を使用します。これに対し、ICMP および他のすべての UDP トラフィックは multi-session を使用します。TCP および UDP に対しこれらのデフォルトを変更するように per-session NAT ルールを設定できますが、ICMP に per-session PAT を設定することはできません。H.323、SIP、または Skinny などの multi-session PAT のメリットを活用できるトラフィックでは、関連付けられている TCP ポートに対し per-session PAT を無効にできます(それらの H.323 および SIP の UDP ポートはデフォルトですでに multi-session になっています)。per-session PAT の詳細については、『ファイアウォールの構成ガイド』を参照してください。

    • 次のインスペクション用のスタティック PAT はありません。

      • FTP

      • PPTP

      • RSH

      • SQLNET

      • TFTP

      • XDMCP

      • SIP

    ダイナミック ルーティングおよびクラスタリング

    ルーティング プロセスはマスター ユニット上だけで実行されます。ルートはマスター ユニットを介して学習され、セカンダリに複製されます。ルーティング パケットがスレーブに到着した場合は、マスター ユニットにリダイレクトされます。

    図 1. ダイナミック ルーティング

    スレーブ メンバがマスター ユニットからルートを学習した後は、各ユニットが個別に転送に関する判断を行います。

    OSPF LSA データベースは、マスター ユニットからスレーブ ユニットに同期されません。マスター ユニットのスイッチオーバーが発生した場合は、隣接ルータが再起動を検出します。スイッチオーバーは透過的ではありません。OSPF プロセスが IP アドレスの 1 つをルータ ID として選択します必須ではありませんが、スタティック ルータ ID を割り当てることができます。これで、同じルータ ID がクラスタ全体で使用されるようになります。割り込みを解決するには、OSPF ノンストップ フォワーディング機能を参照してください。

    SCTP とクラスタリング

    SCTP 関連付けは、任意のユニットで作成できます(ロード バランシングのため)。そのマルチホーミング接続は同じユニットに存在する必要があります。

    SIP インスペクションとクラスタリング

    制御フローは、任意のユニットで作成できます(ロード バランシングのため)。その子データ フローは同じユニットに存在する必要があります。

    TLS プロキシ設定はサポートされていません。

    SNMP とクラスタリング

    SNMP エージェントは、個々の ASA を、そのローカル IP アドレスによってポーリングします。クラスタの統合データをポーリングすることはできません。

    SNMP ポーリングには、メイン クラスタ IP アドレスではなく、常にローカル アドレスを使用してください。SNMP エージェントがメイン クラスタ IP アドレスをポーリングする場合は、新しいマスターが選定されたときに、新しいマスター ユニットのポーリングに失敗します。

    STUN とクラスタリング

    ピンホールが複製されるとき、STUN インスペクションはフェールオーバー モードとクラスタ モードでサポートされます。ただし、トランザクション ID はユニット間で複製されません。STUN 要求の受信後にユニットに障害が発生し、別のユニットが STUN 応答を受信した場合、STUN 応答はドロップされます。

    syslog および NetFlow とクラスタリング

    • Syslog:クラスタの各ユニットは自身の syslog メッセージを生成します。各ユニットの syslog メッセージ ヘッダー フィールドで使用されるデバイス ID を同一にするか、別にするかを設定できます。たとえば、ホスト名コンフィギュレーションはクラスタ内のすべてのユニットに複製されて共有されます。ホスト名をデバイス ID として使用するようにロギングを設定した場合は、どのユニットで生成された syslog メッセージも 1 つのユニットからのように見えます。クラスタ ブートストラップ コンフィギュレーションで割り当てられたローカル ユニット名をデバイス ID として使用するようにロギングを設定した場合は、syslog メッセージはそれぞれ別のユニットからのように見えます。

    • NetFlow:クラスタの各ユニットは自身の NetFlow ストリームを生成します。NetFlow コレクタは、各 ASA を独立した NetFlow エクスポータとしてのみ扱うことができます。

    Cisco TrustSec とクラスタリング

    マスター ユニットだけがセキュリティ グループ タグ(SGT)情報を学習します。マスター ユニットからこの SGT がスレーブに渡されるので、スレーブは、セキュリティ ポリシーに基づいて SGT の一致決定を下せます。

    FXOS シャーシ上の VPN とクラスタリング

    ASA FXOS クラスタは、S2S VPN に対する相互排他的な 2 つのモード(集中型または分散型)のいずれかをサポートしています。

    • 集中型 VPN モード。デフォルト モードです。集中モードでは、VPN 接続はクラスタのマスターとのみ確立されます。

      VPN 機能を使用できるのはマスター ユニットだけであり、クラスタのハイ アベイラビリティ能力は活用されません。マスター ユニットで障害が発生した場合は、すべての既存の VPN 接続が失われ、VPN 接続されたユーザにとってはサービスの中断となります。新しいマスターが選定されたときに、VPN 接続を再確立する必要があります。

      VPN トンネルをスパンド インターフェイスのアドレスに接続すると、接続が自動的にマスター ユニットに転送されます。VPN 関連のキーと証明書は、すべてのユニットに複製されます。

    • 分散型 VPN モード。このモードでは、S2S IPsec IKEv2 VPN 接続が ASA クラスタのメンバー全体に分散され、拡張性が提供されます。クラスタのメンバー全体に VPN 接続を分散することで、クラスタの容量とスループットの両方を最大限に活用できるため、集中型 VPN の機能を超えて大幅に VPN サポートを拡張できます。


    (注)  

    集中型 VPN クラスタリング モードは、S2S IKEv1 と S2S IKEv2 をサポートしています。

    分散型 VPN クラスタリング モードは、S2S IKEv2 のみをサポートしています。

    分散型 VPN クラスタリング モードは、Firepower 9300 でのみサポートされています。

    リモート アクセス VPN は、集中型または分散型の VPN クラスタリング モードではサポートされていません。


    パフォーマンス スケーリング係数

    複数のユニットをクラスタに結合した場合、期待できる合計クラスタ パフォーマンスの概算値は次のようになります。

    • TCP または CPS の合計スループットの 80 %

    • UDP の合計スループットの 90 %

    • トラフィックの混在に応じて、イーサネット MIX(EMIX)の合計スループットの 60 %。

    たとえば、TCP スループットについては、3 つのモジュールを備えた Firepower 9300 は、単独で動作している場合、約 135 Gbps の実際のファイアウォール トラフィックを処理できます。2 シャーシの場合、最大スループットの合計は 270 Gbps(2 シャーシ X 135 Gbps)の約 80 %、つまり 216 Gbps です。

    マスター ユニット選定

    クラスタのメンバは、クラスタ制御リンクを介して通信してマスター ユニットを選定します。方法は次のとおりです。

    1. クラスタを展開すると、各ユニットは選定要求を 3 秒ごとにブロードキャストします。

    2. プライオリティの高い他のユニットがこの選定要求に応答します。プライオリティはクラスタの展開時に設定され、設定の変更はできません。

    3. 45 秒経過しても、プライオリティの高い他のユニットからの応答を受信していない場合は、そのユニットがマスターになります。

    4. 後からクラスタに参加したユニットのプライオリティの方が高い場合でも、そのユニットが自動的にマスター ユニットになることはありません。既存のマスター ユニットは常にマスターのままです。ただし、マスター ユニットが応答を停止すると、その時点で新しいマスター ユニットが選定されます。


    (注)  

    特定のユニットを手動で強制的にマスターにすることができます。中央集中型機能については、マスター ユニット変更を強制するとすべての接続がドロップされるので、新しいマスター ユニット上で接続を再確立する必要があります。


    クラスタ内のハイ アベイラビリティ

    クラスタリングは、シャーシ、ユニットとインターフェイスの正常性を監視し、ユニット間で接続状態を複製することにより、ハイ アベイラビリティを提供します。

    シャーシアプリケーションのモニタリング

    シャーシアプリケーションのヘルス モニタリングは常に有効になっています。Firepower 4100/9300 シャーシスーパーバイザはASAアプリケーションを定期的に確認します(毎秒)。ASAが作動中で、Firepower 4100/9300 シャーシスーパーバイザと 3 秒間通信できなければASAは syslog メッセージを生成して、クラスタを離れます。

    Firepower 4100/9300 シャーシスーパーバイザが 45 秒後にアプリケーションと通信できなければ、ASAをリロードします。ASAがスーパーバイザと通信できなければ、自身をクラスタから削除します。

    ユニットのヘルス モニタリング

    マスター ユニットは、各スレーブ ユニットをモニタするために、クラスタ制御リンクを介してハートビート メッセージを定期的に送信します(間隔は設定可能です)。各スレーブ ユニットは、同じメカニズムを使用してマスター ユニットをモニタします。ユニットの健全性チェックが失敗すると、ユニットはクラスタから削除されます。

    インターフェイス モニタリング

    各ユニットは、使用中のすべてのハードウェア インターフェイスのリンク ステータスをモニタし、ステータス変更をマスター ユニットに報告します。シャーシ間クラスタリングでは、スパンド EtherChannel はクラスタ Link Aggregation Control Protocol(cLACP)を使用します。各シャーシはリンク ステータスと cLACP プロトコル メッセージをモニタして EtherChannel でポートがアクティブであるかどうかを判別し、インターフェイスがダウンしている場合には ASA アプリケーションに通知します。ヘルスモニタリングを有効にすると、デフォルトではすべての物理インターフェイスがモニタされます(EtherChannel インターフェイスのメイン EtherChannel を含む)。アップ状態の指名されたインターフェイスのみモニタできます。たとえば、名前付き EtherChannel がクラスタから削除される前に、EtherChannel のすべてのメンバー ポートがエラーとなる必要があります(最小ポート バンドル設定に基づく)ヘルス チェックは、インターフェイスごとに、モニタリングをオプションで無効にすることができます。

    あるモニタ対象のインターフェイスが、特定のユニット上では障害が発生したが、別のユニットではアクティブの場合は、そのユニットはクラスタから削除されます。ASA がメンバーをクラスタから削除するまでの時間は、そのユニットが確立済みメンバーであるか、またはクラスタに参加しようとしているかによって異なります。ASA は、ユニットがクラスタに参加する最初の 90 秒間はインターフェイスを監視ししません。この間にインターフェイスのステータスが変化しても、ASA はクラスタから削除されません。設定済みのメンバーの場合は、500 ミリ秒後にユニットが削除されます

    シャーシ間クラスタリングでは、クラスタから EtherChannel を追加または削除した場合、各シャーシに変更を加えられるように、インターフェイス ヘルス モニタリングは 95 秒間中断されます。

    デコレータ アプリケーションのモニタリング

    インターフェイスに Radware DefensePro アプリケーションなどのデコレータ アプリケーションをインストールした場合、ユニットがクラスタ内にとどまるには ASA、デコレータ アプリケーションの両方が動作している必要があります。両方のアプリケーションが動作状態になるまで、ユニットはクラスタに参加しません。一旦クラスタに参加すると、ユニットはデコレータ アプリケーションが正しく動作しているか 3 秒ごとにモニタします。デコレータ アプリケーションがダウンすると、ユニットはクラスタから削除されます。

    障害後のステータス

    クラスタ内のユニットで障害が発生したときに、そのユニットでホスティングされている接続は他のユニットにシームレスに移管されます。トラフィック フローのステート情報は、クラスタ制御リンクを介して共有されます。

    マスター ユニットで障害が発生した場合は、そのクラスタの他のメンバーのうち、プライオリティが最高(番号が最小)のものがマスター ユニットになります。

    障害イベントに応じて、ASA は自動的にクラスタへの再参加を試みます。


    (注)  

    ASA が非アクティブになり、クラスタへの自動再参加に失敗すると、すべてのデータ インターフェイスがシャットダウンされます。管理専用インターフェイスのみがトラフィックを送受信できます。 管理インターフェイスは、そのユニットがクラスタ IP プールから受け取った IP アドレスを使用して引き続き稼働状態となります。ただし、リロードする場合、クラスタでユニットがまだ非アクティブになっていると、管理インターフェイスはディセーブルになります。それ以降のコンフィギュレーション作業には、コンソールポートを使用する必要があります。


    クラスタへの再参加

    クラスタ メンバがクラスタから削除された後、クラスタに再参加できる方法は、削除された理由によって異なります。

    • クラスタ制御リンクの障害(最初の参加時):クラスタ制御リンクの問題を解決した後、 と入力して、クラスタリングを再びイネーブルにすることによって、手動でクラスタに再参加する必要があります。

    • クラスタに参加した後に障害が発生したクラスタ制御リンク:ASA は、無限に 5 分ごとに自動的に再参加を試みます。この動作は設定可能です。

    • データ インターフェイスの障害:ASA は自動的に最初は 5 分後、次に 10 分後、最終的に 20 分後に再参加を試みます。20 分後に参加できない場合、ASA はクラスタリングをディセーブルにします。データ インターフェイスの問題を解決した後、 と入力して、クラスタリングを手動でイネーブルにする必要があります。この動作は設定可能です。

    • ユニットの障害:ユニットがヘルス チェック失敗のためクラスタから削除された場合、クラスタへの再参加は失敗の原因によって異なります。たとえば、一時的な電源障害の場合は、クラスタ制御リンクが稼働している限り、ユニットは再起動するとクラスタに再参加します。ユニットは 5 秒ごとにクラスタへの再参加を試みます。

    • シャーシ アプリケーション通信の障害:ASA がシャーシ アプリケーションの状態が回復したことを検出すると、ASA は自動的にクラスタの再参加を試みます。

    • デコレータ アプリケーションの障害:ASA はデコレータ アプリケーションが復帰したことを確認すると、クラスタへ再参加します。

    • 内部エラー:内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。 ユニットは 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。この動作は設定可能です。

    データ パス接続状態の複製

    どの接続にも、1 つのオーナーおよび少なくとも 1 つのバックアップ オーナーがクラスタ内にあります。バックアップ オーナーは、障害が発生しても接続を引き継ぎません。代わりに、TCP/UDP のステート情報を保存します。これは、障害発生時に接続が新しいオーナーにシームレスに移管されるようにするためです。バックアップ オーナーは通常ディレクタでもあります。

    トラフィックの中には、TCP または UDP レイヤよりも上のステート情報を必要とするものがあります。この種類のトラフィックに対するクラスタリングのサポートの可否については、次の表を参照してください。

    表 3. クラスタ全体で複製される機能

    Traffic

    状態のサポート

    注意

    Up time

    Yes

    システム アップ タイムをトラッキングします。

    ARP Table

    あり

    MAC アドレス テーブル

    あり

    ユーザ アイデンティティ

    Yes

    AAA ルール(uauth)とアイデンティティ ファイアウォールが含まれます。

    IPv6 ネイバー データベース

    対応

    ダイナミック ルーティング

    対応

    SNMP エンジン ID

    なし

    集中型 VPN(サイト間)

    なし

    VPN セッションは、マスター ユニットで障害が発生すると切断されます。

    分散型 VPN(サイト間)

    Yes

    バックアップ セッションがアクティブ セッションになると、新しいバックアップ セッションが作成されます。

    クラスタが接続を管理する方法

    接続をクラスタの複数のメンバにロードバランスできます。接続のロールにより、通常動作時とハイ アベイラビリティ状況時の接続の処理方法が決まります。

    接続のロール

    接続ごとに定義された次のロールを参照してください。

    • オーナー:通常、最初に接続を受信するユニット。オーナーは、TCP 状態を保持し、パケットを処理します。1 つの接続に対してオーナーは 1 つだけです。元のオーナーに障害が発生すると、新しいユニットが接続からパケットを受信したときにディレクタがこれらのユニットの新しいオーナーを選択します。

    • バックアップ オーナー:オーナーから受信した TCP/UDP ステート情報を格納するユニット。これにより、障害が発生した場合に新しいオーナーにシームレスに接続を転送できます。バックアップ オーナーは、障害発生時に接続を引き継ぎません。オーナーが使用不可能になった場合は、その接続からパケットを受け取る最初のユニット(ロード バランシングに基づく)がバックアップ オーナーに問い合わせて、関連するステート情報を取得し、これでそのユニットが新しいオーナーになることができます。

      ディレクタ(下記参照)がオーナーと同じユニットでない限り、ディレクタはバックアップ オーナーでもあります。オーナーがディレクタとして自分自身を選択すると、別のバックアップ オーナーが選択されます。

      1 台のシャーシに最大 3 つのクラスタ ユニットを搭載できる Firepower 9300 のシャーシ間クラスタリングでは、バックアップ オーナーがオーナーと同じシャーシにある場合、シャーシ障害からフローを保護するために、別のシャーシから追加のバックアップ オーナーが選択されます。

      サイト間クラスタリングのディレクタ ローカリゼーションを有効にすると、ローカル バックアップとグローバル バックアップの 2 つのバックアップ オーナー権限があります。オーナーは、常に同じサイトのローカル バックアップをオーナー自身として選択します(サイト ID に基づいて)。グローバル バックアップはどのサイトにあってもよく、ローカル バックアップと同一のユニットとすることもできます。オーナーは、両方のバックアップへ接続ステート情報を送信します。

      サイトの冗長性を有効にし、バックアップ オーナーがオーナーと同じサイトにある場合は、サイトの障害からフローを保護するために、追加のバックアップ オーナーが別のサイトから選択されます。シャーシ バックアップとサイト バックアップは独立しているため、フローにはシャーシ バックアップとサイト バックアップの両方が含まれている場合があります。

    • ディレクタ:フォワーダからのオーナー ルックアップ要求を処理するユニット。オーナーが新しい接続を受信すると、オーナーは、送信元/宛先 IP アドレスおよび ポートのハッシュに基づいてディレクタを選択し、新しい接続を登録するためにメッセージをそのディレクタに送信します。パケットがオーナー以外のユニットに到着した場合は、そのユニットはどのユニットがオーナーかをディレクタに問い合わせます。これで、パケットを転送できるようになります。1 つの接続に対してディレクタは 1 つだけです。ディレクタが失敗すると、オーナーは新しいディレクタを選択します。

      ディレクタがオーナーと同じユニットでない限り、ディレクタはバックアップ オーナーでもあります(上記参照)。オーナーがディレクタとして自分自身を選択すると、別のバックアップ オーナーが選択されます。

      サイト間クラスタリングのディレクタ ローカリゼーションを有効にすると、ローカル ディレクタとグローバル ディレクタの 2 つのディレクタ権限が区別されます。オーナーは、同一サイト(Site Id に基づき)のローカル ディレクタとして、常にオーナー自身を選択します。グローバル ディレクタはどのサイトにあってもよく、ローカル ディレクタと同一のユニットとすることもできます。元のオーナーに障害が発生すると、ローカル ディレクタはこのサイトで新しい接続オーナーを選択します。

    • フォワーダ:パケットをオーナーに転送するユニット。フォワーダが接続のパケットを受信したときに、その接続のオーナーが自分ではない場合は、フォワーダはディレクタにオーナーを問い合わせてから、そのオーナーへのフローを確立します。これは、この接続に関してフォワーダが受信するその他のパケット用です。ディレクタは、フォワーダにもなることができます。ディレクタ ローカリゼーションを有効にすると、フォワーダは常にローカル ディレクタに問い合わせを行います。フォワーダがグローバル ディレクタに問い合わせを行うのは、ローカル ディレクタがオーナーを認識していない場合だけです。たとえば、別のサイトで所有されている接続のパケットをクラスタ メンバーが受信する場合などです。フォワーダが SYN-ACK パケットを受信した場合、フォワーダはパケットの SYN クッキーからオーナーを直接取得できるので、ディレクタに問い合わせる必要がないことに注意してください(TCP シーケンスのランダム化をディセーブ ルにした場合は、SYN Cookie は使用されないので、ディレクタへの問い合わせが必要です)。存続期間が短いフロー(たとえば DNS や ICMP)の場合は、フォワーダは問い合わせの代わりにパケットを即座にディレクタに送信し、ディレクタがそのパケットをオーナーに送信します。1 つの接続に対して、複数のフォワーダが存在できます。最も効率的なスループットを実現できるのは、フォワーダが 1 つもなく、接続のすべてのパケットをオーナーが受信するという、優れたロードバランシング方法が使用されている場合です。

    • フラグメント所有者:フラグメント化されたパケットの場合、フラグメントを受信するクラスタユニットは、フラグメントの送信元と宛先の IP アドレスのハッシュを使用して、フラグメントの所有者を特定します。その後、すべてのフラグメントがクラスタ制御リンクを介してフラグメント所有者に転送されます。スイッチのロードバランスハッシュで使用される 5 タプルは、最初のフラグメントにのみ含まれているため、フラグメントが異なるクラスタユニットに負荷分散される場合があります。他のフラグメントには、送信元ポートと宛先ポートは含まれておらず、別のクラスタユニットに負荷分散される場合があります。フラグメント所有者は一時的にパケットを再アセンブルするため、送信元/宛先 IP アドレスとポートのハッシュに基づいてディレクタを指定できます。新しい接続の場合は、フラグメントの所有者が接続所有者として登録されます。既存の接続の場合、フラグメント所有者は、クラスタ制御リンクを介して、指定された接続所有者にすべてのフラグメントを転送します。その後、接続所有者はすべてのフラグメントを再構築します。

    接続でポート アドレス変換(PAT)を使用すると、PAT のタイプ(per-session または multi-session)が、クラスタのどのメンバが新しい接続のオーナーになるかに影響します。

    • Per-session PAT:オーナーは、接続の最初のパケットを受信するユニットです。

      デフォルトでは、TCP および DNS UDP トラフィックは per-session PAT を使用します。

    • Multi-session PAT:オーナーは常にマスター ユニットです。multi-session PAT 接続がスレーブ ユニットで最初に受信される場合、スレーブ ユニットはその接続をマスター ユニットに転送します。

      デフォルトでは、UDP(DNS UDP を除く)および ICMP トラフィックは multi-session PAT を使用するので、これらの接続は常にマスター ユニットによって所有されています。

    TCP および UDP の per-session PAT デフォルトを変更できるので、これらのプロトコルの接続は、その設定に応じて per-session または multi-session で処理されます。ICMP の場合は、デフォルトの multi-session PAT から変更することはできません。per-session PAT の詳細については、『ファイアウォールの構成ガイド』を参照してください。

    新しい接続の所有権

    新しい接続がロード バランシング経由でクラスタのメンバに送信される場合は、そのユニットがその接続の両方向のオーナーとなります。接続のパケットが別のユニットに到着した場合は、そのパケットはクラスタ制御リンクを介してオーナー ユニットに転送されます。逆方向のフローが別のユニットに到着した場合は、元のユニットにリダイレクトされます。

    サンプル データ フロー

    次の例は、新しい接続の確立を示します。

    1. SYN パケットがクライアントから発信され、ASA の 1 つ(ロード バランシング方法に基づく)に配信されます。これがオーナーとなります。オーナーはフローを作成し、オーナー情報をエンコードして SYN Cookie を生成し、パケットをサーバに転送します。

    2. SYN-ACK パケットがサーバから発信され、別の ASA(ロード バランシング方法に基づく)に配信されます。この ASA はフォワーダです。

    3. フォワーダはこの接続を所有してはいないので、オーナー情報を SYN Cookie からデコードし、オーナーへの転送フローを作成し、SYN-ACK をオーナーに転送します。

    4. オーナーはディレクタに状態アップデートを送信し、SYN-ACK をクライアントに転送します。

    5. ディレクタは状態アップデートをオーナーから受信し、オーナーへのフローを作成し、オーナーと同様に TCP ステート情報を記録します。ディレクタは、この接続のバックアップ オーナーとしての役割を持ちます。

    6. これ以降、フォワーダに配信されたパケットはすべて、オーナーに転送されます。

    7. パケットがその他のユニットに配信された場合は、そのユニットはディレクタに問い合わせてオーナーを特定し、フローを確立します。

    8. フローの状態が変化した場合は、状態アップデートがオーナーからディレクタに送信されます。

    Firepower 4100/9300 での ASA クラスタリング履歴

    機能名

    バージョン

    機能情報

    スレーブユニットとの設定の並列同期

    9.14(1)

    マスターユニットでは、デフォルトで設定変更がスレーブユニットと同時に同期化されるようになりました。以前は、順番に同期が行われていました。

    新規/変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable parallel configuration replicate] チェックボックス

    クラスタへの参加失敗や削除のメッセージが、以下に追加されました。 show cluster history

    9.14(1)

    クラスタユニットがクラスタへの参加に失敗した場合や、クラスタを離脱した場合の新しいメッセージが、 show cluster history コマンドに追加されました。

    新規/変更されたコマンド: show cluster history

    新規/変更された画面:なし。

    デッド接続検出(DCD)の発信側および応答側の情報、およびクラスタ内の DCD のサポート。

    9.13(1)

    デッド接続検出(DCD)を有効にした場合は、show conn detail コマンドを使用して発信側と応答側に関する情報を取得できます。デッド接続検出を使用すると、非アクティブな接続を維持できます。show conn の出力は、エンドポイントがプローブされた頻度が示されます。さらに、DCD がクラスタでサポートされるようになりました。

    変更された画面はありません。

    クラスタのトラフィック負荷のモニタ

    9.13(1)

    クラスタ メンバのトラフィック負荷をモニタできるようになりました。これには、合計接続数、CPU とメモリの使用率、バッファ ドロップなどが含まれます。負荷が高すぎる場合、残りのユニットが負荷を処理できる場合は、ユニットのクラスタリングを手動で無効にするか、外部スイッチのロード バランシングを調整するかを選択できます。この機能は、デフォルトでイネーブルにされています。

    新しい/変更された画面:

    • [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable Cluster Load Monitor] チェックボックス

    • [Monitoring] > [ASA Cluster] > [Cluster Load-Monitoring]

    クラスタ結合の高速化

    9.13(1)

    スレーブ ユニットがマスター ユニットと同じ構成の場合、構成の同期をスキップし、結合を高速化します。この機能は、デフォルトでイネーブルにされています。この機能はユニットごとに設定され、マスターからスレーブには複製されません。

    Note 

    一部の設定コマンドは、クラスタ結合の高速化と互換性がありません。これらのコマンドがユニットに存在する場合、クラスタ結合の高速化が有効になっていても、設定の同期は常に発生します。クラスタ結合の高速化を動作させるには、互換性のない設定を削除する必要があります。show cluster info unit-join-acceleration incompatible-config を使用して、互換性のない設定を表示します。

    新規/変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Enable config sync acceleration] チェックボックス

    サイトごとのクラスタリング用 Gratuitous ARP

    9.12(1)

    ASA では、Gratuitous ARP(GARP)パケットを生成してスイッチング インフラストラクチャを常に最新の状態に保つようになりました。各サイトの優先順位値が最も高いメンバによって、グローバル MAC/IP アドレスの GARP トラフィックが定期的に生成されます。クラスタから送信されたサイトごとの MAC および IP アドレスとパケットがサイト固有の MAC アドレスおよび IP アドレスを使用するのに対し、クラスタで受信したパケットは、グローバル MAC アドレスおよび IP アドレスを使用します。トラフィックがグローバル MAC アドレスから定期的に生成されない場合、グローバル MAC アドレスのスイッチで MAC アドレスのタイムアウトが発生する可能性があります。タイムアウト後にグローバル MAC アドレスへのトラフィックがスイッチング インフラストラクチャ全体にわたりフラッディングされ、これによりパフォーマンスおよびセキュリティ上の問題が発生することがあります。各スパンド EtherChannel のユニットおよびサイト MAC アドレスごとにサイト ID を設定すると、GARP がデフォルトで有効になります。

    新規/変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration] > [Site Periodic GARP]フィールド

    Firepower 9300 シャーシごとのユニットのパラレル クラスタ参加

    9.10(1)

    Firepower 9300 の場合、この機能により、シャーシ内のセキュリティ モジュールがクラスタに同時に参加し、トラフィックがモジュール間で均等に分散されるようになります。他のモジュールよりもかなり前に参加したモジュールは、他のモジュールがまだ負荷を共有できないため、必要以上のトラフィックを受信することがあります。

    新規/変更された画面:

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

    新規/変更されたオプション:[Parallel Join of Units Per Chassis] エリア

    Firepower 4100/9300 の Cluster Control Link のカスタマイズ可能な IP アドレス

    9.10(1)

    クラスタ制御リンクのデフォルトでは 127.2.0.0/16 ネットワークが使用されます。これで FXOS でクラスタを展開するときにネットワークを設定できます。シャーシは、シャーシ ID およびスロット ID(127.2.chassis_id.slot_id)に基づいて、各ユニットのクラスタ制御リンク インターフェイス IP アドレスを自動生成します。ただし、一部のネットワーク展開では、127.2.0.0/16 トラフィックはパスできません。そのため、ループバック(127.0.0.0/8)およびマルチキャスト(224.0.0.0/4)アドレスを除き、FXOS にクラスタ制御リンクのカスタム /16 サブネットを作成できるようになりました。

    新規/変更された [Firepower Chassis Manager] 画面:

    [Logical Devices] > [Add Device] > [Cluster Information]

    新規/変更されたオプション:[CCL Subnet IP] フィールド

    クラスタ インターフェイス デバウンス時間は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。

    9.10(1)

    インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで health-check monitor-interface debounce-time コマンドまたは ASDM [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] 画面で指定されたミリ秒数待機します。この機能は、ダウン状態から稼働状態に変更するインターフェイスに適用されるようになりました。たとえば、ダウン状態から稼働状態に移行している EtherChannel の場合(スイッチがリロードされた、またはスイッチが有効になっている EtherChannel など)、デバウンス時間を長くすることで、他のクラスタ ユニットの方がポートのバンドルが速いという理由だけで、クラスタ ユニット上でインターフェイスがエラー表示されるのを防ぐことができます。

    変更された画面はありません。

    内部障害発生後に自動的にクラスタに再参加する

    9.9(2)

    以前は、多くのエラー状態によりクラスタ ユニットがクラスタから削除されていました。この問題を解決した後、手動でクラスタに再参加する必要がありました。現在は、ユニットはデフォルトで 5 分、10 分、および 20 分の間隔でクラスタに自動的に再参加を試行します。これらの値は設定できます。内部の障害には、アプリケーション同期のタイムアウト、矛盾したアプリケーション ステータスなどがあります。

    新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

    クラスタの信頼性の高いトランスポート プロトコル メッセージのトランスポートに関連する統計情報の表示

    9.9(2)

    ユニットごとのクラスタの信頼性の高いトランスポート バッファ使用率を確認して、バッファがコントロール プレーンでいっぱいになったときにパケット ドロップの問題を特定できるようになりました。

    新規または変更されたコマンド:show cluster info transport cp detail

    Firepower シャーシのシャーシ ヘルス チェックの障害検出の向上

    9.9(1)

    シャーシ ヘルス チェックの保留時間をより低い値(100 ms)に設定できるようになりました。以前の最小値は 300 ms でした。最小の結合時間(interval x retry-count)は、600 ミリ秒未満にすることはできないことに注意してください。

    新規または変更されたコマンド:app-agent heartbeat interval

    ASDM サポートはありません。

    クラスタリングのサイト間冗長性

    9.9(1)

    サイト間の冗長性により、トラフィック フローのバックアップ オーナーは常にオーナーとは別のサイトに置かれます。この機能によって、サイトの障害から保護されます。

    新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

    Firepower 9300 上のクラスタリングによる分散型サイト間 VPN

    9.9(1)

    Firepower 9300 上の ASA クラスタは、分散モードでサイト間 VPN をサポートします。分散モードでは、(集中モードなどの)マスター ユニットだけでなく、ASA クラスタのメンバー間で多数のサイト間 IPsec IKEv2 VPN 接続を分散させることができます。これにより、集中型 VPN の機能を超えて VPN サポートが大幅に拡張され、高可用性が実現します。分散型 S2S VPN は、それぞれ最大 3 つのモジュールを含む最大 2 つのシャーシのクラスタ(合計 6 つのクラスタ メンバー)上で動作し、各モジュールは最大約 36,000 のアクティブ セッション(合計 72,000)に対し、最大 6,000 のアクティブ セッション(合計 12,000)をサポートします。

    新規または変更された画面:

    [Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

    [Monitoring] > [VPN] > [VPN Statistics] > [Sessions] > [Slave]

    [Configuration] > [Device Management] > [High Availablility and Scalability] > [ASA Cluster]

    [Wizards] > [Site-to-Site]

    [Monitoring] > [VPN] > [VPN Statistics] > [Sessions]

    [Monitoring] > [ASA Cluster] > [ASA Cluster] > [VPN Cluster Summary]

    [Monitoring] > [ASA Cluster] > [ASA Cluster] > [System Resource Graphs] > [CPU/Memory]

    [Monitoring] > [Logging] > [Real-Time Log Viewer]

    クラスタ ユニット ヘルス チェック障害検出の改善

    9.8(1)

    ユニット ヘルスチェックの保留時間をより低めの値に設定できます(最小値は .3 秒)以前の最小値は .8 秒でした。この機能は、ユニット ヘルス チェック メッセージング スキームを、コントロール プレーンのキープアライブからデータ プレーンのハートビートに変更します。ハートビートを使用すると、コントロール プレーン CPU のホッギングやスケジューリングの遅延の影響を受けないため、クラスタリングの信頼性と応答性が向上します。保留時間を短く設定すると、クラスタ制御リンクのメッセージング アクティビティが増加することに注意してください。保留時間を短く設定する前にネットワークを分析することをお勧めします。たとえば、ある保留時間間隔の間に 3 つのハートビート メッセージが存在するため、クラスタ制御リンクを介してあるユニットから別のユニットへの ping が保留時間/3 以内に戻ることを確認します。保留時間を 0.3 ~ 0.7 に設定した後に ASA ソフトウェアをダウングレードした場合、新しい設定がサポートされていないので、この設定はデフォルトの 3 秒に戻ります。

    次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

    に対してインターフェイスを障害としてマークするために設定可能なデバウンス時間 Firepower 4100/9300 シャーシ

    9.8(1)

    ASA がインターフェイスを障害が発生していると見なし、クラスタからユニットが削除されるまでのデバウンス時間を設定できるようになりました。この機能により、インターフェイスの障害をより迅速に検出できます。デバウンス時間を短くすると、誤検出の可能性が高くなることに注意してください。インターフェイスのステータス更新が発生すると、ASA はインターフェイスを障害としてマークし、クラスタからユニットを削除するまで指定されたミリ秒数待機します。デフォルトのデバウンス時間は 500 ms で、有効な値の範囲は 300 ms ~ 9 秒です。

    新規または変更された画面:[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster]

    Firepower 4100/9300 シャーシ 上の ASA のサイト間クラスタリングの改良

    9.7(1)

    ASA クラスタを展開すると、それぞれの Firepower 4100/9300 シャーシのサイト ID を設定できます。以前は、ASA アプリケーション内でサイト ID を設定する必要がありました。この新機能により初期展開が簡単になります。ASA 構成内でサイト ID を設定することはできないことに注意してください。また、サイト間クラスタリングとの互換性を高めるために、安定性とパフォーマンスに関する複数の改善が含まれる ASA 9.7(1) および FXOS 2.1.1 にアップグレードすることを推奨します。

    次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

    ディレクタ ローカリゼーション:データセンターのサイト間クラスタリングの改善

    9.7(1)

    データ センターのパフォーマンスを向上し、サイト間クラスタリングのトラフィックを維持するために、ディレクタ ローカリゼーションを有効にできます。通常、新しい接続は特定のサイト内のクラスタ メンバーによってロード バランスされ、所有されています。しかし、ASA は任意のサイトのメンバーにディレクタ ロールを割り当てます。ディレクタ ローカリゼーションにより、所有者と同じサイトのローカル ディレクタ、どのサイトにも存在可能なグローバル ディレクタという追加のディレクタ ロールが有効になります。所有者とディレクタが同一サイトに存在すると、パフォーマンスが向上します。また、元の所有者が失敗した場合、ローカルなディレクタは同じサイトで新しい接続の所有者を選択します。グローバルなディレクタは、クラスタ メンバーが別のサイトで所有される接続のパケットを受信する場合に使用されます。

    次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Cluster Configuration]

    の 16 個のシャーシのサポート Firepower 4100 シリーズ

    9.6(2)

    Firepower 4100 シリーズ では最大 16 個のシャーシをクラスタに追加できるようになりました。

    変更された画面はありません。

    Firepower 4100 シリーズ のサポート

    9.6(1)

    FXOS 1.1.4 では、ASA は最大 6 個のシャーシの Firepower 4100 シリーズ でサイト間クラスタリングをサポートします。

    変更された画面はありません。

    ルーテッドおよびスパンド EtherChannel モードのサイト固有の IP アドレスのポート

    9.6(1)

    スパンド EtherChannel のルーテッド モードでのサイト間クラスタリングの場合、サイト個別の MAC アドレスに加えて、サイト個別の IP アドレスを設定できるようになりました。サイト IP アドレスを追加することにより、グローバル MAC アドレスからの ARP 応答を防止するために、ルーティング問題の原因になりかねない Data Center Interconnect(DCI)経由の移動によるオーバーレイ トランスポート仮想化(OTV)デバイスの ARP 検査を使用することができます。MAC アドレスをフィルタ処理するために VACL を使用できないスイッチには、ARP 検査が必要です。

    次の画面を変更しました。[Configuration] > [Device Setup] > [Interface Settings] > [Interfaces] > [Add/Edit EtherChannel Interface] > [Advanced]

    16 のモジュールのシャーシ間クラスタリング、および Firepower 9300 ASA アプリケーションのサイト間クラスタリング

    9.5(2.1)

    FXOS 1.1.3 では、シャーシ間、さらにサイト間クラスタリングを有効にできます。最大 16 のモジュールを搭載することができます。たとえば、16 のシャーシで 1 つのモジュールを使用したり、8 つのシャーシで 2 つのモジュールを使用して、最大 16 のモジュールを組み合わせることができます。

    変更された画面はありません。

    ルーテッド ファイアウォール モードのスパンド EtherChannel のサイト間クラスタリング サポートのサイト別 MAC アドレス

    9.5(2)

    ルーテッド モードでは、スパンド EtherChannel サイト間クラスタリングを使用することができます。MAC アドレスのフラッピングを防ぐには、各インターフェイスのサイト別の MAC アドレスがサイトのユニット上で共有できるように、各クラスタ メンバーのサイト ID を設定します。

    次の画面を変更しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

    インターフェイスまたはクラスタ制御リンクが失敗した場合の auto-rejoin 動作の ASA クラスタ のカスタマイズ

    9.5(2)

    インターフェイスまたはクラスタ制御リンクが失敗した場合、auto-rejoin 動作をカスタマイズできます。

    次の画面を導入しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Auto Rejoin]

    ASA クラスタは、GTPv1 と GTPv2 をサポートします

    9.5(2)

    ASA クラスタは、GTPv1 および GTPv2 インスペクションをサポートします。

    変更された画面はありません。

    TCP 接続のクラスタ複製遅延

    9.5(2)

    この機能で、ディレクタ/バックアップ フロー作成の遅延による存続期間が短いフローに関連する「不要な作業」を排除できます。

    次の画面を導入しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication]

    サイト間フロー モビリティの LISP インスペクション

    9.5(2)

    Cisco Locator/ID Separation Protocol(LISP)のアーキテクチャは、デバイス ID をその場所から 2 つの異なるナンバリング スペースに分離し、サーバの移行をクライアントに対して透過的にします。ASA は、場所変更の LISP トラフィックを検査し、その情報をシームレスなクラスタリング運用に活用できます。ASA クラスタ メンバーは、最初のホップ ルータと出力トンネル ルータまたは入力トンネル ルータの間の LISP トラフィックを検査し、フロー オーナーの所在場所を新規サイトに変更します。

    次の画面が導入または変更されました。

    [Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster] > [Cluster Configuration]

    [Configuration] > [Firewall] > [Objects] > [Inspect Maps] > [LISP]

    [Configuration] > [Firewall] > [Service Policy Rules] > [Protocol Inspection]

    [Configuration] > [Firewall] > [Service Policy Rules] > [Cluster]

    [Monitoring] > [Routing] > [LISP-EID Table]

    キャリア グレード NAT の強化がフェールオーバーおよび ASA クラスタリングでサポート

    9.5(2)

    キャリア グレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます(RFC 6888 を参照してください)。この機能は、フェールオーバーおよび ASA クラスタの導入でサポートされます。

    変更された画面はありません。

    クラスタリング トレース エントリの設定可能なレベル

    9.5(2)

    デフォルトで、すべてのレベルクラスタリング イベントは、多くの下位レベルのイベント以外に、トレース バッファに含まれます。より上位レベルのイベントへのトレースを制限するために、クラスタの最小トレース レベルを設定できます。

    変更された画面はありません。

    Firepower 9300 用シャーシ内 ASA クラスタリング

    9.4(1.150)

    FirePOWER 9300 シャーシ内では、最大 3 つセキュリティ モジュールをクラスタ化できます。シャーシ内のすべてのモジュールは、クラスタに属している必要があります。

    次の画面を導入しました。[Configuration] > [Device Management] > [High Availability and Scalability] > [ASA Cluster Replication]