フェールオーバーについて
フェールオーバーを使用すると、同一の 2 台のセキュリティ アプライアンスで、一方に障害が発生した場合にもう一方がファイアウォール動作を引き継げるように設定できます。セキュリティ アプライアンスのペアを使用すると、オペレータの介入なしに、システムのハイ アベイラビリティが実現されます。
リンクされたこれらのセキュリティ アプライアンスは、専用リンクを介してフェールオーバー情報をやり取りします。このフェールオーバー リンクは、LAN ベースの接続であるか、または PIX セキュリティ アプライアンスの場合は専用シリアル フェールオーバー ケーブルです。次の情報がフェールオーバー リンク経由で伝達されています。
-
現在のフェールオーバー状態(アクティブまたはスタンバイ)
-
「Hello」メッセージ(「キープアライブ」とも呼ばれる)
-
ネットワーク リンクの状態
-
MAC アドレス交換
-
設定の複製
-
接続ごとの状態情報(ステートフル フェールオーバーの場合)
注意 |
フェールオーバー リンクを介して送信されたすべての情報は、フェールオーバー キーで通信を保護しないかぎり、クリア テキストで送信されます。VPN トンネルの終端にセキュリティ アプライアンスを使用している場合、この情報には、トンネルの確立に使用されたユーザ名、パスワード、および事前共有キーが含まれます。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。特に、VPN トンネルの終端にセキュリティ アプライアンスを使用している場合は、フェールオーバー キーを使用してフェールオーバー通信を保護することを推奨します。 |
Cisco セキュリティ アプライアンスは、次の 2 つのタイプのフェールオーバーをサポートします。
-
アクティブ/スタンバイ:アクティブ セキュリティ アプライアンスは、すべてのネットワークトラフィックを検査し、一方スタンバイ セキュリティ アプライアンスは、アクティブアプライアンスで障害が発生するまでアイドル状態のままとなります。アクティブ セキュリティ アプライアンスの設定に加えた変更は、フェールオーバー リンクを介してスタンバイ セキュリティ アプライアンスに送信されます。
フェールオーバーが発生すると、スタンバイ セキュリティ アプライアンスがアクティブ装置になり、前にアクティブであった装置の IP アドレスと MAC アドレスを引き継ぎます。IP アドレスまたは MAC アドレスのこの変更はネットワーク上の他のデバイスには認識されないため、ARP エントリがネットワーク上で変更されたりタイムアウトしたりすることはありません。
アクティブ/スタンバイ フェールオーバーを使用できるのは、シングル コンテキスト モードまたはマルチ コンテキスト モードで動作しているセキュリティ アプライアンスです。シングル コンテキスト モードでは、アクティブ/スタンバイ フェールオーバーだけを使用でき、すべてのフェールオーバー設定が [Failover] ページを使用して行われます。
(注) |
アクティブ/スタンバイ フェールオーバーを使用する場合、設定の変更はすべてアクティブ装置に対して行う必要があります。アクティブ装置は、これらの変更内容をスタンバイ装置に自動的に複製します。スタンバイ装置は、Security Manager デバイス リストにインポートまたは追加されません。また、認証証明書をアクティブ デバイスからスタンバイ デバイスに手動でコピーする必要があります。詳細については、アクティブ/スタンバイ フェールオーバー設定の追加手順を参照してください。 |
-
アクティブ/アクティブ:両方のセキュリティアプライアンスが、一方がアクティブでもう一方がスタンバイになるようにそれぞれのロールを切り替えて、ネットワークトラフィックをコンテキストベースで検査します。これは、アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作するセキュリティ アプライアンスだけで使用できることを意味します。
ただし、アクティブ/アクティブ フェールオーバーが、マルチ コンテキスト モードでの必須のフェールオーバーというわけではありません。つまり、マルチ コンテキスト モードで動作しているデバイスでは、アクティブ/スタンバイ フェールオーバーまたはアクティブ/アクティブ フェールオーバーを設定できます。いずれの場合も、システム コンテキストでシステムレベルのフェールオーバー設定を指定し、個々のセキュリティ コンテキストでコンテキストレベルのフェールオーバー設定を指定します。
この項目の詳細については、アクティブ/アクティブ フェールオーバーを参照してください。
さらに、フェールオーバーは、ステートレスまたはステートフルにすることができます。
-
ステートレス:「通常」フェールオーバーとも呼ばれます。ステートレス フェールオーバーでは、フェールオーバーが発生すると、アクティブな接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。
-
ステートフル:フェールオーバーペアのアクティブ装置は、接続ごとの状態情報をスタンバイ装置に継続的に渡します。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報を使用できます。サポートされるエンドユーザ アプリケーションは、現在の通信セッションを保持するために再接続する必要はありません。
詳細については、ステートフル フェールオーバーを参照してください。
関連項目
アクティブ/アクティブ フェールオーバー
アクティブ/アクティブ フェールオーバーは、マルチ コンテキスト モードで動作するセキュリティ アプライアンスだけで使用できます。アクティブ/アクティブ フェールオーバー設定では、両方のセキュリティ アプライアンスがコンテキストごとにネットワーク トラフィックを検査します。つまり、各コンテキストで、一方のアプライアンスがアクティブ デバイスで、もう一方のアプライアンスがスタンバイ デバイスとなります。
アクティブロールとスタンバイロールは、セキュリティコンテキストのセット全体でほぼ任意で割り当てられます。
セキュリティ アプライアンスでアクティブ/アクティブ フェールオーバーをイネーブルにするには、2 つのフェールオーバー グループのいずれかにセキュリティ コンテキストを割り当てる必要があります。フェールオーバー グループは、単に 1 つ以上のセキュリティ コンテキストの論理グループです。フェールオーバー グループ 1 がアクティブ状態になる装置にフェールオーバー グループ割り当てを指定する必要があります。管理コンテキストは、常にフェールオーバー グループ 1 のメンバです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバです。
アクティブ/スタンバイ フェールオーバーと同様、アクティブ/アクティブ フェールオーバー ペアの各装置には、プライマリまたはセカンダリのどちらかが指定されます。アクティブ/スタンバイ フェールオーバーとは異なり、両方の装置が同時に起動した場合にどちらの装置がアクティブになるかは指示されていません。設定の各フェールオーバー グループには、プライマリまたはセカンダリ ロール プリファレンスが設定されます。このプリファレンスにより、両方の装置が同時に起動したときに、フェールオーバー グループのコンテキストがアクティブ状態で表示される装置が決まります。ペアの一方の装置にアクティブ状態の両方のフェールオーバー グループを含めて、もう一方の装置にスタンバイ状態のフェールオーバー グループを含めることができます。ただし、一般的な設定では、各フェールオーバー グループに別々のロール プリファレンスを割り当てて、それぞれを別の装置上でアクティブにすることでデバイスにトラフィックを分散させます。
(注) |
Cisco Security Manager は、アクティブ/アクティブ フェールオーバー モードのセキュリティ コンテキストを確実に管理するために、各コンテキストの管理インターフェイス用の IP アドレスを要求して、フェールオーバー ペアのアクティブなセキュリティ コンテキストと直接通信できるようにします。 |
初期設定同期は、一方または両方の装置が起動すると実行されます。この同期は、次のように実行されます。
-
両方の装置が同時に起動した場合、設定はプライマリ装置からセカンダリ装置に同期されます。
-
一方の装置がすでにアクティブであるときに、もう一方の装置が起動した場合は、起動した装置が、すでにアクティブな装置から設定を受信します。
両方の装置が動作中になった後で、次のように、コマンドが一方の装置からもう一方の装置に複製されます。
-
セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。
(注) |
あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。 |
-
システム実行スペースに入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。
-
管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態である装置から、フェールオーバー グループ 1 がスタンバイ状態である装置に複製されます。
コマンドの複製の実行に適切な装置上でコマンドを入力しなかった場合は、設定が非同期になります。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。
(注) |
アクティブ/アクティブ フェールオーバー設定のピア デバイスをブートストラップすると、そのブートストラップ設定は、それぞれのフェールオーバー ピア デバイスのシステム コンテキストにだけ適用されます。 |
アクティブ/アクティブ フェールオーバー コンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバー グループごとに行われます。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定した場合にフェールオーバー グループ 1 で障害が発生すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。
(注) |
アクティブ/アクティブ フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。 |
ステートフル フェールオーバー
(注) |
ステートフル フェールオーバーは、ASA 5505 アプライアンスではサポートされていません。 |
ステートフル フェールオーバーがイネーブルになっている場合、フェールオーバー ペアのアクティブ装置は、引き続きスタンバイ装置上の現在の接続状態情報を更新します。フェールオーバーの発生時、サポートされるエンドユーザ アプリケーションは、現在の通信セッションを保持するために再接続する必要がありません。
(注) |
ステート リンクおよび LAN フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。 |
ステートフル フェールオーバーを使用するには、すべての状態情報をスタンバイ装置に渡すようにリンクを設定する必要があります。シリアル フェールオーバー インターフェイス(PIX プラットフォームでだけ使用可能)ではなく、LAN フェールオーバー接続を使用している場合、ステート リンクおよびフェールオーバー リンクに同じインターフェイスを使用できます。ただし、スタンバイ装置に状態情報を渡すときは、専用のインターフェイスを使用することを推奨します。
ステートフル フェールオーバーがイネーブルになっている場合、次の情報がスタンバイ装置に渡されます。
-
NAT 変換テーブル
-
タイムアウト接続を含む、TCP 接続テーブル(HTTP を除く)
-
HTTP 接続状態(HTTP レプリケーションがイネーブルの場合)
-
H.323、SIP、および MGCP UDP メディア接続
-
システム クロック
-
ISAKMP および IPSec SA テーブル
ステートフル フェールオーバーがイネーブルになっている場合、次の情報はスタンバイ装置にコピーされません。
-
HTTP 接続テーブル(HTTP レプリケーションがイネーブルでない場合)
-
ユーザ認証(UAUTH)テーブル
-
ARP テーブル
-
ルーティング テーブル