この章

CHAPTER
33
Active/Standby フェールオーバーの設定
この章では、Active/Standby フェールオーバーを設定する方法について説明します。次の項目を取り
上げます。
• 「Active/Standby フェールオーバー設定値の設定」（P.33-1）
• 「オプションの Active/Standby フェールオーバー設定値の設定」（P.33-12）
Active/Standby フェールオーバー設定値の設定
この項は、次の内容で構成されています。
• 「Active/Standby フェールオーバーに関する情報」（P.33-1）
• 「Active/Standby フェールオーバーのライセンス要件」（P.33-5）
• 「Active/Standby フェールオーバーの前提条件」（P.33-6）
• 「ガイドラインと制限事項」（P.33-6）
• 「LAN ベースの Active/Standby フェールオーバーの設定」（P.33-7）
• 「Active/Standby フェールオーバーの監視」（P.33-11）
Active/Standby フェールオーバーに関する情報
この項では、Active/Standby フェールオーバーについて次の項目で説明します。
• 「Active/Standby フェールオーバーの概要」（P.33-1）
• 「Primary/Secondary ステータスと Active/Standby ステータス」（P.33-2）
• 「装置の初期化とコンフィギュレーションの同期」（P.33-2）
• 「コマンドの複製」（P.33-3）
• 「フェールオーバーのトリガー」（P.33-4）
• 「フェールオーバーのアクション」（P.33-4）
Active/Standby フェールオーバーの概要
Active/Standby フェールオーバーでは、スタンバイ適応型セキュリティアプライアンスを使用して、
障害の発生した装置の機能を引き継ぐことができます。アクティブ装置が故障すると、スタンバイ状態
に変わり、そしてスタンバイ装置がアクティブ状態に変わります。アクティブになる装置が、障害の発
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-1
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
生した装置の IP アドレス（または、透過ファイアウォールの場合は管理 IP アドレス）および MAC ア
ドレスを引き継いで、トラフィックの転送を開始します。現在スタンバイになっている装置が、スタン
バイの IP アドレスと MAC アドレスを引き継ぎます。ネットワーク装置は、MAC と IP アドレスの組
み合せについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更さ
れたり、タイムアウトが生じたりすることはありません。
（注）
マルチコンテキストモードの場合、適応型セキュリティアプライアンスは装置全体（すべてのコンテ
キストを含む）をフェールオーバーできますが、個々のコンテキストを別々にフェールオーバーするこ
とはできません。
Primary/Secondary ステータスと Active/Standby ステータス
フェールオーバーペアの 2 台の装置の主な相違点は、どちらの装置がアクティブでどちらの装置がス
タンバイであるか、つまりどちらの IP アドレスを使用するかおよびどちらの装置がアクティブにトラ
フィックを渡すかということに関連します。
しかし、プライマリである装置（コンフィギュレーションで指定）とセカンダリである装置との間で、
いくつかの相違点があります。
• 両方の装置が同時にスタートアップした場合（さらに動作ヘルスが等しい場合）、プライマリ装置
が常にアクティブ装置になります。
• プライマリ装置の MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。この
規則の例外は、セカンダリ装置がアクティブであり、フェールオーバーリンク経由でプライマリ
装置の MAC アドレスを取得できない場合に発生します。この場合、セカンダリ装置の MAC アド
レスが使用されます。
装置の初期化とコンフィギュレーションの同期
コンフィギュレーションの同期は、フェールオーバーペアの一方または両方の装置がブートされると
行われます。コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。
スタンバイ装置は、その初期スタートアップを完了すると、自分の実行コンフィギュレーションを削除
し（アクティブ装置との通信に必要なフェールオーバーコマンドを除く）、アクティブ装置は自分のコ
ンフィギュレーション全体をスタンバイ装置に送信します。
アクティブ装置は、次の条件で判別されます。
• 装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はス
タンバイ装置になります。
• 装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。
• 両方の装置が同時にブートされた場合は、プライマリ装置がアクティブ装置になり、セカンダリ装
置がスタンバイ装置になります。
（注）
セカンダリ装置がブートされてプライマリ装置を検出できないと、その装置はアクティブ装置になりま
す。アクティブ IP アドレスには、セカンダリ装置自体の MAC アドレスを使用します。しかし、プラ
イマリ装置が使用可能になると、セカンダリ装置は MAC アドレスをプライマリ装置の MAC アドレス
に変更します。これによって、ネットワークトラフィックが中断されることがあります。これを回避
するには、フェールオーバーペアを仮想 MAC アドレスで設定します。詳細については、「仮想 MAC
アドレスの設定」（P.33-17）を参照してください。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-2
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
複製が開始されると、アクティブ装置の適応型セキュリティアプライアンスコンソールに「Beginning
configuration replication: Sending to mate」というメッセージが表示され、複製が完了すると、適応型
セキュリティアプライアンスに「End Configuration Replication to mate」というメッセージが表示さ
れます。複製中、アクティブ装置に入力されたコマンドがスタンバイ装置に適切に複製されないことが
あり、またスタンバイ装置に入力されたコマンドが、アクティブ装置から複製されているコンフィギュ
レーションによって上書きされることがあります。コンフィギュレーションの複製処理中には、フェー
ルオーバーペアのどちらの装置にもコマンドを入力しないでください。コンフィギュレーションのサ
イズによって、複製は数秒で済むことも数分かかることもあります。
（注）
crypto ca server コマンドおよび関連するサブコマンドは、フェールオーバーピアに同期化されません。
スタンバイ装置の場合、コンフィギュレーションは実行メモリにだけ存在します。同期化後にコンフィ
ギュレーションをフラッシュメモリに保存するには、次のようにします。
• シングルコンテキストモードの場合は、アクティブ装置で write memory コマンドを入力します。
コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッシュメモリに書き込ま
れます。
• マルチコンテキストモードの場合は、システム実行スペースからアクティブ装置で write memory
all コマンドを入力します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフ
ラッシュメモリに書き込まれます。このコマンドで all キーワードを使用すると、システムとすべ
てのコンテキストコンフィギュレーションが保存されます。
（注）
外部のサーバに保存されたスタートアップコンフィギュレーションは、ネットワーク経由で両方の装置
からアクセスできます。そのため、各装置で個別に保存する必要はありません。または、ディスク上の
コンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバイ装置のディスクにコ
ピーできます。スタンバイ装置で、装置がリロードされると、そのコンテキストが使用可能になります。
コマンドの複製
コマンドの複製は常に、アクティブ装置からスタンバイ装置の方向に行われます。アクティブ装置にコ
マンドを入力すると、そのコマンドがフェールオーバーリンクを通してスタンバイ装置に送信されま
す。コマンドを複製する場合、アクティブコンフィギュレーションをフラッシュメモリに保存する必
要はありません。
表 33-1 は、スタンバイ装置に複製されるコマンドと複製されないコマンドです。
表 33-1
コマンドの複製
スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド
mode、firewall、および failover lan unit コマン copy running-config startup-config を除く、す
ドを除く、すべてのコンフィギュレーションのコべての形式の copy コマンド
マンド
copy running-config startup-config
write memory を除く、すべての形式の write コ
マンド
delete
mkdir
crypto ca server および関連するサブコマンド
debug
rename
failover lan unit
rmdir
firewall
write memory
mode
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-3
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
表 33-1
（注）
コマンドの複製
スタンバイ装置に複製されるコマンド
スタンバイ装置に複製されないコマンド
—
show
—
terminal pager および pager
スタンバイ装置上で行った変更は、アクティブ装置に複製されません。スタンバイ装置にコマンドを入
力すると、適応型セキュリティアプライアンスに「**** WARNING **** Configuration Replication
is NOT performed from Standby unit to Active unit. Configurations are no longer
synchronized」というメッセージが表示されます。このメッセージは、コンフィギュレーションに影
響しない数多くのコマンドを入力したときにも表示されます。
アクティブ装置に write standby コマンドを入力すると、スタンバイ装置で実行コンフィギュレーショ
ンが削除され（アクティブ装置との通信に使用するフェールオーバーコマンドを除く）、アクティブ装
置のコンフィギュレーション全体がスタンバイ装置に送信されます。
マルチコンテキストモードの場合、システム実行スペースに write standby コマンドを入力すると、
すべてのコンテキストが複製されます。あるコンテキスト内で write standby コマンドを入力すると、
コマンドはそのコンテキストコンフィギュレーションだけを複製します。
複製されたコマンドは、実行コンフィギュレーションに保存されます。スタンバイ装置のフラッシュ
メモリに複製されたコマンドを保存するには、次のように行います。
• シングルコンテキストモードの場合は、アクティブ装置で copy running-config startup-config コ
マンドを使用します。コマンドはスタンバイ装置に複製され、コンフィギュレーションがフラッ
シュメモリに書き込まれます。
• マルチコンテキストモードの場合は、システム実行スペースおよびディスク上の各コンテキスト
内からアクティブ装置に copy running-config startup-config コマンドを入力します。コマンドは
スタンバイ装置に複製され、コンフィギュレーションがフラッシュメモリに書き込まれます。外
部のサーバにスタートアップコンフィギュレーションがあるコンテキストは、ネットワーク経由
で両方の装置からアクセスできます。そのため、各装置で個別に保存する必要はありません。また
は、ディスク上のコンテキストを、アクティブ装置から外部サーバにコピーし、それからスタンバ
イ装置のディスクにコピーできます。
フェールオーバーのトリガー
次のいずれかのイベントが発生した場合、装置が故障する可能性があります。
• 装置でハードウェア障害または電源断が発生した。
• 装置でソフトウェア障害が発生した。
• 多くの監視対象インターフェイスが故障した。
• no failover active コマンドがアクティブ装置に入力されたか、failover active コマンドがスタンバ
イ装置に入力された。
フェールオーバーのアクション
Active/Standby フェールオーバーでは、フェールオーバーは装置ごとに行われます。マルチコンテキ
ストモードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェール
オーバーすることはできません。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-4
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
表 33-2 に、各障害イベントに対するフェールオーバーアクションを示します。この表には、各フェー
ルオーバーイベントに対して、フェールオーバーポリシー（フェールオーバーまたはフェールオー
バーなし）、アクティブ装置が行うアクション、スタンバイ装置が行うアクション、およびフェール
オーバー条件とアクションに関する特別な注意事項を示します。
表 33-2
フェールオーバー動作
アクティブアク
ション
スタンバイアク
ション
障害の状況
ポリシー
アクティブ装置が故障（電
源またはハードウェア）
フェールオー該当なし
バー
アクティブになる
以前にアクティブであった
装置の復旧
フェールオースタンバイになる
バーなし
動作なし
スタンバイ装置が故障（電
源またはハードウェア）
フェールオースタンバイに故障と該当なし
バーなし
マークする
スタンバイ装置が故障とマークさ
れている場合、インターフェイス
障害しきい値を超えても、アク
ティブ装置はフェールオーバーを
行いません。
動作中にフェールオーバー
リンクに障害が発生した
フェールオーフェールオーバー
フェールオーバー
バーなし
インターフェイスにインターフェイス
故障とマークする
に故障とマークす
る
フェールオーバーリンクがダウン
している間、装置はスタンバイ装
置にフェールオーバーできないた
め、できるだけ早くフェールオー
バーリンクを復元する必要があり
ます。
スタートアップ時にフェー
ルオーバーリンクに障害が
発生した
フェールオーフェールオーバー
アクティブになる
バーなし
インターフェイスに
故障とマークする
スタートアップ時にフェールオー
バーリンクがダウンしていると、
両方の装置がアクティブになりま
す。
ステートフルフェールオー
バーリンクに障害が発生し
た
フェールオー動作なし
バーなし
ステート情報が古くなり、フェー
ルオーバーが発生するとセッショ
ンが終了します。
アクティブ装置におけるし
きい値を超えたインター
フェイス障害
フェールオーアクティブに故障とアクティブになる
バー
マークする
なし
スタンバイ装置におけるし
きい値を超えたインター
フェイス障害
フェールオー動作なし
バーなし
スタンバイ装置が故障とマークさ
れている場合、インターフェイス
障害しきい値を超えても、アク
ティブ装置はフェールオーバーを
行いません。
アクティブに故障
とマークする
動作なし
スタンバイに故障
とマークする
注
監視対象インターフェイスまたは
フェールオーバーリンクで hello
メッセージは受信されません。
なし
Active/Standby フェールオーバーのライセンス要件
次の表に、この機能のライセンス要件を示します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-5
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
モデル
ライセンス要件
ASA 5505
Security Plus ライセンス（ステートフルフェールオーバーはサポートされません）
他のすべてのモデル
基本ライセンス
Active/Standby フェールオーバーの前提条件
Active/Standby フェールオーバーには、次の前提条件があります。
• 両方の装置が同じセキュリティアプライアンスであり、専用のフェールオーバーリンク（オプ
ションで、ステートフルフェールオーバーリンク）で相互に接続されている必要があります。
• 両方の装置が、同じソフトウェアコンフィギュレーションと適切なライセンスを備えている必要
があります。
• 両方の装置のモード（シングルまたはマルチ、透過またはルーテッド）が同じである必要があります。
ガイドラインと制限事項
この項では、この機能のガイドラインと制限事項について説明します。
コンテキストモードのガイドライン
• シングルコンテキストモードとマルチコンテキストモードでサポートされています。
• マルチコンテキストモードでは、特に注記がない限り、手順はすべてシステム実行スペースで実
行します。
ファイアウォールモードのガイドライン
• 透過ファイアウォールモードまたはルーテッドファイアウォールモードでだけサポートされます。
IPv6 のガイドライン
• このリリースでは IPv6 フェールオーバーはサポートされません。
モデルのガイドライン
• ステートフルフェールオーバーは、Cisco ASA 5505 適応型セキュリティアプライアンスでサポー
トされません。
その他のガイドラインと制限事項
Active/Standby フェールオーバーには、次のガイドラインと制限事項が適用されます。
• フェールオーバーペアの両方の装置からパケットを受信するには、すべてのインターフェイスに
スタンバイ IP アドレスを設定する必要があります。
• スタンバイ IP アドレスは、現在スタンバイ装置であるセキュリティアプライアンスで使用され、
アクティブ IP アドレスと同じサブネットに存在する必要があります。
• フェールオーバーペアのアクティブ装置で terminal pager コマンドまたは pager コマンドを入力
した場合、アクティブなコンソール端末のページ設定は変更されますが、スタンバイ装置の設定は
変更されません。アクティブ装置で発行されたデフォルトコンフィギュレーションは、スタンバ
イ装置の動作にも影響を与えます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-6
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
LAN ベースの Active/Standby フェールオーバーの設定
ここでは、イーサネットフェールオーバーリンクを使用して Active/Standby フェールオーバーを設定
する方法について説明します。
（注）
ケーブルベースのフェールオーバーから LAN ベースのフェールオーバーに変更する場合、ケーブル
ベースのフェールオーバーコンフィギュレーションで完了している手順（各インターフェイスのアク
ティブ IP アドレスおよびスタンバイ IP アドレスの割り当てなど）はスキップできます。
この項は、次の内容で構成されています。
• 「Active/Standby フェールオーバーの設定のタスクフロー」（P.33-7）
• 「プライマリ装置の設定」（P.33-7）
• 「セカンダリ装置の設定」（P.33-10）
Active/Standby フェールオーバーの設定のタスクフロー
Active/Standby フェールオーバーを設定するには、次の手順を実行します。
ステップ 1
「プライマリ装置の設定」（P.33-7）に従って、プライマリ装置を設定します。
ステップ 2
「セカンダリ装置の設定」（P.33-10）に従って、セカンダリ装置を設定します。
ステップ 3
（オプション）「オプションの Active/Standby フェールオーバー設定値の設定」（P.33-12）に従って、
オプションの Active/Standby フェールオーバー設定を行います。
プライマリ装置の設定
この項の手順に従って、LAN ベースの Active/Standby フェールオーバーコンフィギュレーションでプ
ライマリ装置を設定します。この手順では、プライマリ装置でフェールオーバーをイネーブルにするた
めに必要な最小のコンフィギュレーションが用意されています。
制限事項
専用のステートフルフェールオーバーインターフェイスを使用する場合は、ステートフルフェール
オーバーリンクの IP アドレスは設定しないでください。専用のステートフルフェールオーバーイン
ターフェイスを設定するには、後述の手順の failover interface ip コマンドを使用します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-7
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
詳細な手順
ステップ 1
コマンド
目的
ip address active_addr netmask standby
standby_addr
各データインターフェイス（ルーテッドモード）、管理 IP アドレ
ス（トランスペアレントモード）、または管理専用インターフェ
イスのアクティブおよびスタンバイ IP アドレスを設定します。
例:
hostname/context(config-if)# ip address
10.1.1.1 255.255.255.0 standby 10.1.1.2
ルーテッドファイアウォールモードおよび管理専用インター
フェイスでは、このコマンドを各インターフェイスのコンフィ
ギュレーションモードで入力します。
透過ファイアウォールモードでは、このコマンドをグローバル
コンフィギュレーションモードで入力します。
マルチコンテキストモードでは、各コンテキストからインター
フェイスアドレスを設定します。change to context コマンドを
使用して、コンテキストを切り替えます。コマンドプロンプト
が hostname/context(config-if)# に変わります。ここで、
context は、現在のコンテキスト名です。透過ファイアウォール
マルチコンテキストモードで各コンテキストの管理 IP アドレス
を入力する必要があります。
ステップ 2
failover lan unit primary
装置をプライマリ装置に指定します。
ステップ 3
failover lan interface if_name phy_if
フェールオーバーインターフェイスとして使用するインター
フェイスを指定します。
hostname(config)# failover lan interface
folink vlan100
if_name 引数は、phy_if 引数で指定されたインターフェイスに名
前を割り当てます。
phy_if 引数は、物理ポート名（Ethernet1 など）にすることも、
すでに作成されているサブインターフェイス（Ethernet0/2.3 な
ど）にすることもできます。ASA 5505 適応型セキュリティア
プライアンスでは、phy_if は VLAN を指定します。このイン
ターフェイスは、他の目的に使用しないでください（オプショ
ンのステートフルフェールオーバーリンクは除く）。
ステップ 4
failover interface ip if_name ip_addr
mask standby ip_addr
アクティブおよびスタンバイ IP アドレスをフェールオーバーリ
ンクに割り当てます。
例:
hostname(config)# failover interface ip
folink 172.27.48.1 255.255.255.0 standby
172.27.48.2
スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブ
ネットである必要があります。スタンバイアドレスのサブネッ
トマスクを指定する必要はありません。
フェールオーバーリンクの IP アドレスおよび MAC アドレス
は、フェールオーバー時に変更されません。フェールオーバー
リンクのアクティブ IP アドレスは、常にプライマリ装置にあり
ます。スタンバイ IP アドレスは、セカンダリ装置にあります。
ステップ 5
interface phy_if
インターフェイスをイネーブルにします。
例:
hostname(config)# interface vlan100
hostname(config-if)# no shutdown
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-8
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
コマンド
ステップ 6
目的
failover link if_name phy_if
xample:
hostname(config)# failover link folink
vlan100
（オプション）ステートフルフェールオーバーリンクとして使用
するインターフェイスを指定します。
（注）
ステートフルフェールオーバーリンクがフェールオー
バーリンクまたはデータインターフェイスを使用する
場合は、if_name 引数を指定することだけが必要です。
if_name 引数は、phy_if 引数で指定されたインターフェイスに論
理名を割り当てます。phy_if 引数は、物理ポート名（Ethernet1
など）にすることも、すでに作成されているサブインターフェ
イス（Ethernet0/2.3 など）にすることもできます。このイン
ターフェイスは、他の目的に使用しないでください（オプショ
ンのフェールオーバーリンクは除く）。
ステップ 7
failover interface ip if_name ip_addr
mask standby ip_addr
（オプション）アクティブおよびスタンバイ IP アドレスをステー
トフルフェールオーバーリンクに割り当てます。
例:
hostname(config)# failover interface ip
folink 172.27.48.1 255.255.255.0 standby
172.27.48.2
（注）
ステートフルフェールオーバーリンクがフェールオー
バーリンクまたはデータインターフェイスを使用する
場合は、この手順をスキップします。インターフェイス
のアクティブおよびスタンバイ IP アドレスは、すでに
定義しています。
スタンバイ IP アドレスは、アクティブ IP アドレスと同じサブ
ネットである必要があります。スタンバイアドレスのサブネッ
トマスクを指定する必要はありません。
ステートフルフェールオーバーリンク IP アドレスおよび MAC
アドレスは、データインターフェイスを使用しない限り、
フェールオーバー時に変更されません。アクティブ IP アドレス
は、常にプライマリ装置にあります。スタンバイ IP アドレスは、
セカンダリ装置にあります。
ステップ 8
interface phy_if
（オプション）インターフェイスをイネーブルにします。
no shutdown
（注）
例:
hostname(config)# interface vlan100
hostname(config-if)# no shutdown
ステップ 9
failover
ステートフルフェールオーバーリンクがフェールオー
バーリンクまたはデータインターフェイスを使用する
場合は、この手順をスキップします。インターフェイス
は、すでにイネーブルです。
フェールオーバーをイネーブルにします。
例:
hostname(config)# failover
ステップ 10 copy running-config startup-config
例:
hostname(config)# copy running-config
startup-config
システムコンフィギュレーションをフラッシュメモリに保存し
ます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-9
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
セカンダリ装置の設定
セカンダリ装置に必要なコンフィギュレーションは、フェールオーバーインターフェイス用のコン
フィギュレーションだけです。セカンダリ装置には、プライマリ装置と初期に通信するために、これら
のコマンドが必要です。プライマリ装置がセカンダリ装置にコンフィギュレーションを送信した後、2
つのコンフィギュレーション間で唯一、不変の相違点は failover lan unit コマンドです。このコマンド
で各装置がプライマリかセカンダリかを識別します。
前提条件
LAN ベースのフェールオーバーを設定するときは、セカンダリ装置がプライマリ装置から実行コン
フィギュレーションを取得する前に、セカンダリ装置をブートストラップしてフェールオーバーリン
クを認識させる必要があります。
詳細な手順
コマンド
ステップ 1 failover lan interface if_name phy_if
例:
hostname(config)# failover lan interface
folink vlan100
ステップ 2 failover interface ip if_name ip_addr mask
standby ip_addr
例:
hostname(config)# failover interface ip
folink 172.27.48.1 255.255.255.0 standby
172.27.48.2
目的
フェールオーバーインターフェイスとして使用するインター
フェイスを指定します。プライマリ装置に使用したものと同じ
設定を使用します。
if_name 引数は、phy_if 引数で指定されたインターフェイスに名
前を割り当てます。
アクティブおよびスタンバイ IP アドレスをフェールオーバーリ
ンクに割り当てます。フェールオーバーペアの両方の装置から
パケットを受信するには、すべてのインターフェイスにスタン
バイ IP アドレスを設定する必要があります。
（注）
ステップ 3 interface phy_if
プライマリ装置にフェールオーバーインターフェイスを
設定する場合（同じ IP アドレスを含む）、プライマリ装
置でこのコマンドを入力するときは、正確に入力してく
ださい。
インターフェイスをイネーブルにします。
no shutdown
例:
hostname(config)# interface vlan100
hostname(config-if)# no shutdown
ステップ 4 failover lan unit secondary
例:
hostname(config)# failover lan unit
secondary
（オプション）この装置をセカンダリ装置に指定します。
（注）
以前に設定されていない場合、装置はデフォルトでセカ
ンダリに指定されているので、この手順はオプションで
す。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-10
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
Active/Standby フェールオーバー設定値の設定
コマンド
目的
ステップ 5 failover
フェールオーバーをイネーブルにします。
例:
hostname(config)# failover
ステップ 6 copy running-config startup-config
例:
hostname(config)# copy running-config
startup-config
フェールオーバーをイネーブルにすると、実行メモリのコン
フィギュレーションがアクティブ装置からスタンバイ装置に送
信されます。コンフィギュレーションが同期すると、メッセー
ジ「Beginning configuration replication: Sending to mate」およ
び「End Configuration Replication to mate」がアクティブ装置
のコンソールに表示されます。
コンフィギュレーションをフラッシュメモリに保存します。
実行コンフィギュレーションの複製が完了した後で、コマンド
を入力します。
Active/Standby フェールオーバーの監視
Active/Standby フェールオーバーを監視するには、次のいずれかのコマンドを入力します。
コマンド
目的
show failover
装置のフェールオーバーステータスについての
情報を表示します。
show ip address
インターフェイスに割り当てられている IP アド
レスを表示します。
次に、Active/Standby フェールオーバーの show failover コマンドの出力例を示します。適応型セキュ
リティアプライアンスは ASA 5500 シリーズの適応型セキュリティアプライアンスであり、各適応型
セキュリティアプライアンスのスロット 1 の詳細で示されているように、それぞれが CSC SSM を備
えています。
hostname# show failover
Failover On
Cable status: N/A - LAN-based failover enabled
Failover unit Primary
Failover LAN Interface: fover Ethernet2 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
failover replication http
Last Failover at: 22:44:03 UTC Dec 8 2004
This host: Primary - Active
Active time: 13434 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.3): Normal
Interface outside (10.132.9.3): Normal
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.3/24
CSC-SSM, 5.0 (Build#1176)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5520 hw/sw rev (1.0/7.1(0)10) status (Up Sys)
Interface inside (10.130.9.4): Normal
Interface outside (10.132.9.4): Normal
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-11
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
slot 1: ASA-SSM-20 hw/sw rev (1.0/CSC-SSM 5.0 (Build#1176)) status (Up/Up)
Logging port IP: 10.0.0.4/24
CSC-SSM, 5.0 (Build#1176)
Stateful Failover Logical Update Statistics
Link : fover Ethernet2 (up)
Stateful Obj
xmit
xerr
rcv
General
0
0
0
sys cmd
1733
0
1733
up time
0
0
0
RPC services
0
0
0
TCP conn
6
0
0
UDP conn
0
0
0
ARP tbl
106
0
0
Xlate_Timeout
0
0
0
VPN IKE upd
15
0
0
VPN IPSEC upd
90
0
0
VPN CTCP upd
0
0
0
VPN SDI upd
0
0
0
VPN DHCP upd
0
0
0
SIP Session
0
0
0
rerr
0
0
0
0
0
0
0
0
0
0
0
0
0
0
Logical Update Queue Information
Cur
Max
Total
Recv Q:
0
2
1733
Xmit Q:
0
2
15225
オプションの Active/Standby フェールオーバー設定値の設定
オプションの Active/Standby フェールオーバー設定値は、最初にフェールオーバーを設定するときで
も、フェールオーバーがすでに設定された後でも設定できます。特に注記がない限り、コマンドはアク
ティブ装置で入力する必要があります。
この項は、次の内容で構成されています。
• 「オプションの Active/Standby フェールオーバー設定に関する情報」（P.33-13）
• 「オプションの Active/Standby フェールオーバー設定のライセンス要件」（P.33-13）
• 「オプションの Active/Standby フェールオーバー設定のガイドラインと制限事項」（P.33-13）
• 「オプションの Active/Standby フェールオーバー設定値の設定」（P.33-14）
• 「オプションの Active/Standby フェールオーバー設定の監視」（P.33-18）
• 「オプションの Active/Standby フェールオーバー設定の機能履歴」（P.33-19）
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-12
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
オプションの Active/Standby フェールオーバー設定に関する情報
次の Active/Standby フェールオーバーオプションは、最初にフェールオーバーを設定するときに、ま
たはフェールオーバーを設定した後で設定できます。
• ステートフルフェールオーバーでの HTTP 複製：ステート情報の複製に接続を含めることができ
ます。
• インターフェイスモニタリング：装置の最大 250 のインターフェイスを監視し、フェールオー
バーに影響を与えるインターフェイスを制御できます。
• インターフェイスヘルスモニタリング：セキュリティアプライアンスがより早くインターフェイ
スの障害を検出して対応できるようにします。
• フェールオーバー基準の設定：インターフェイス数または監視されているインターフェイスの割合
を指定して、この数または割合を超えたインターフェイスに障害が発生した場合にフェールオー
バーが発生するようにできます。
• 仮想 MAC アドレスの設定：セカンダリ装置がプライマリ装置よりも前にオンラインになっても、
セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用するようにします。
オプションの Active/Standby フェールオーバー設定のライセンス要件
次の表に、この機能のライセンス要件を示します。
モデル
ライセンス要件
ASA 5505
Security Plus ライセンス（ステートフルフェールオーバーはサポートされません）
他のすべてのモデル
基本ライセンス
オプションの Active/Standby フェールオーバー設定のガイドラインと制
限事項
この項は、次の内容で構成されています。
• 「コンテキストモードのガイドライン」（P.33-13）
• 「ファイアウォールモードのガイドライン」（P.33-13）
• 「モデルのガイドライン」（P.33-14）
• 「その他のガイドラインと制限事項」（P.33-14）
コンテキストモードのガイドライン
• シングルコンテキストモードとマルチコンテキストモードでサポートされています。
• マルチコンテキストモードでは、特に注記がない限り、手順はすべてシステム実行スペースで実
行します。
ファイアウォールモードのガイドライン
• 透過ファイアウォールモードまたはルーテッドファイアウォールモードでサポートされます。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-13
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
モデルのガイドライン
• ステートフルフェールオーバーは、Cisco ASA 5505 適応型セキュリティアプライアンスでサポー
トされません。
IPv6 のガイドライン
• このリリースでは IPv6 フェールオーバーはサポートされません。
その他のガイドラインと制限事項
オプションの Active/Standby フェールオーバー設定には、次のガイドラインと制限事項が適用されます。
• インターフェイスモニタリングをイネーブルにすると、1 台の装置で最大 250 のインターフェイス
を監視できます。
• デフォルトでは、セキュリティアプライアンスは、ステートフルフェールオーバーがイネーブル
のときに THTTP セッションの情報を複製しません。HTTP セッションは一般に存続期間が短く、
また通常 HTTP クライアントは接続試行が失敗すると通常はリトライするため、HTTP セッション
を複製しなくてもデータや接続に重大な損失が発生することはなく、システムのパフォーマンスが
向上します。failover replication http コマンドを使用するとステートフルフェールオーバー環境で
HTTP セッションのステートフルな複製がイネーブルになりますが、システムのパフォーマンスが
低下する可能性があります。
オプションの Active/Standby フェールオーバー設定値の設定
この項は、次の内容で構成されています。
• 「ステートフルフェールオーバーでの HTTP 複製のイネーブル化」（P.33-14）
• 「インターフェイスモニタリングのディセーブル化とイネーブル化」（P.33-15）
• 「インターフェイスヘルスモニタリングの設定」（P.33-16）
• 「フェールオーバー基準の設定」（P.33-17）
• 「仮想 MAC アドレスの設定」（P.33-17）
ステートフルフェールオーバーでの HTTP 複製のイネーブル化
HTTP 接続がステート情報複製に含まれるようにするには、HTTP 複製をイネーブルにする必要があり
ます。THTTP 接続は通常は存続期間が短く、HTTP クライアントは接続試行が失敗すると通常はリト
ライするため、HTTP 接続は複製されるステート情報に自動的には含まれません。
次のコマンドをグローバルコンフィギュレーションモードで入力して、ステートフルフェールオー
バーがイネーブル状態の場合に、HTTP ステート複製をイネーブルにします。
コマンド
目的
failover replication http
HTTP ステート複製をイネーブルにします。
例:
hostname (config)# failover replication
http
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-14
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
インターフェイスモニタリングのディセーブル化とイネーブル化
特定のインターフェイスのモニタリングをディセーブルにし、別のモニタリングをイネーブルにするこ
とで、フェールオーバーポリシーに影響を与えるインターフェイスを制御できます。この機能を使用
すると、重要度の低いネットワークに接続されているインターフェイスがフェールオーバーポリシー
に影響を与えないようにできます。
1 台の装置で最大 250 のインターフェイスを監視できます。デフォルトでは、物理インターフェイスの
モニタリングはイネーブルに、サブインターフェイスのモニタリングはディセーブルになっています。
インターフェイスのポーリング周期期間ごとに、セキュリティアプライアンスフェールオーバーペア
の間で、hello メッセージが交換されます。フェールオーバーインターフェイスのポーリング時間は 3
～ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、あるインターフェイスで 5 回連続して
hello が検出されないと（25 秒間）、そのインターフェイスでテストが開始します。
監視対象のフェールオーバーインターフェイスには、次のステータスが設定されます。
• Unknown：初期ステータスです。このステータスは、ステータスを特定できないことを意味する
場合もあります。
• Normal：インターフェイスはトラフィックを受信しています。
• Testing：ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。
• Link Down：インターフェイスまたは VLAN は管理のためにダウンしています。
• No Link：インターフェイスの物理リンクがダウンしています。
• Failed：インターフェイスではトラフィックを受信していませんが、ピアインターフェイスではト
ラフィックを検出しています。
Active/Active フェールオーバーでは、このコマンドはコンテキスト内でだけ有効です。
マルチコンフィギュレーションモードの装置の場合は、次のコマンドを入力して特定のインターフェ
イスのインターフェイスモニタリングをイネーブルまたはディセーブルにします。
次のいずれかを実行します。
no monitor-interface if_name
インターフェイスのヘルスモニタリングをディセーブルにします。
例:
hostname/context (config)# no
monitor-interface lanlink
monitor-interface if_name
インターフェイスのヘルスモニタリングをイネーブルにします。
例:
hostname/context (config)#
monitor-interface lanlink
シングルコンフィギュレーションモードの装置の場合は、次のコマンドを入力して特定のインター
フェイスのヘルスモニタリングをイネーブルまたはディセーブルにします。
次のいずれかを実行します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-15
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
no monitor-interface if_name
インターフェイスのヘルスモニタリングをディセーブルにします。
例:
hostname/context (config)# no
monitor-interface lanlink
monitor-interface if_name
インターフェイスのヘルスモニタリングをイネーブルにします。
例:
hostname/context (config)#
monitor-interface lanlink
インターフェイスヘルスモニタリングの設定
適応型セキュリティアプライアンスは、各データインターフェイスから hello パケットを送信して、
インターフェイスヘルスを監視します。保持時間の半分以上が経過しても適応型セキュリティアプラ
イアンスがピア装置の対応するインターフェイスから hello パケットを受信しない場合、追加のイン
ターフェイスのテストが開始されます。hello パケットまたはテストの正常終了の結果が指定した保持
時間内に受信されない場合、インターフェイスは失敗としてマークされます。失敗したインターフェイ
スの数がフェールオーバー基準を満たしている場合、フェールオーバーが発生します。
ポーリング時間および保持時間を短縮すると、適応型セキュリティアプライアンスはインターフェイ
スの障害に対してより迅速な検出と応答を実行できますが、多くのシステムリソースを消費すること
があります。
マルチコンフィギュレーションモードの装置の場合は、次のコマンドを入力して特定のインターフェ
イスのヘルスモニタリングをイネーブルまたはディセーブルにします。
コマンド
目的
failover polltime interface [msec] time
[holdtime time]
インターフェイスのポーリング時間を変更します。
例:
hostname (config): failover polltime
interface msec 500 holdtime 5
ポーリング時間の有効な値は 1 ～ 15 秒で、オプションの msec キーワー
ドを使用すると、500 ～ 999 ミリ秒です。hello パケットを受信できな
かったときからインターフェイスが失敗としてマークされるまでの時間
が、保持時間によって決まります。保持時間に有効な値は、5 ～ 75 秒で
す。ポーリング時間の 5 倍に満たない保持時間は入力できません。
インターフェイスリンクがダウンしていると、インターフェイスのテス
トは実行されず、設定されたフェールオーバー基準に障害のあるインター
フェイスの数が合致するか、または基準を超過している場合、スタンバイ
装置は、1 つのインターフェイスポーリング期間内でアクティブになりま
す。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-16
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
フェールオーバー基準の設定
インターフェイス数または監視されているインターフェイスの割合を指定して、この数または割合を超
えたインターフェイスに障害が発生した場合にフェールオーバーが発生するようにできます。デフォル
トでは、1 つのインターフェイス障害でフェールオーバーが行われます。
デフォルトのフェールオーバー基準を変更するには、グローバルコンフィギュレーションモードで次
のコマンドを入力します。
コマンド
目的
failover interface-policy num[%]
デフォルトのフェールオーバー基準を変更します。
例:
hostname (config)# failover
interface-policy 20%
インターフェイスの具体的な数を指定するときは、num 引数に 1 ～ 250
を設定できます。
インターフェイスの割合を指定するときは、num 引数に 1 ～ 100 を設定
できます。
仮想 MAC アドレスの設定
Active/Standby フェールオーバーでは、プライマリ装置の MAC アドレスは常にアクティブ IP アドレ
スに関連付けられています。セカンダリ装置は、最初にブートされてアクティブになると、そのイン
ターフェイスの焼き付け済み MAC アドレスを使用します。プライマリ装置がオンラインになると、セ
カンダリ装置はプライマリ装置から MAC アドレスを取得します。この変更によって、ネットワーク
トラフィックが中断することがあります。
各インターフェイスに仮想 MAC アドレスを設定して、セカンダリ装置がプライマリ装置よりも前にオ
ンラインになっても、セカンダリ装置がアクティブ装置である場合、正しい MAC アドレスを使用する
ようにします。仮想 MAC アドレスを使用しない場合、フェールオーバーペアは焼き付け済み NIC ア
ドレスを MAC アドレスとして使用します。
（注）
フェールオーバーまたはステートフルフェールオーバーリンクには、仮想 MAC アドレスは設定でき
ません。これらのリンクの MAC アドレスおよび IP アドレスは、フェールオーバー中に変更されませ
ん。
アクティブ装置で次のコマンドを入力して、インターフェイスの仮想 MAC アドレスを設定します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-17
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
コマンド
目的
failover mac address phy_if active_mac
standby_mac
インターフェイスの仮想 MAC アドレスを設定します。
例:
hostname (config): failover mac address
Ethernet0/2 00a0.c969.87c8 00a0.c918.95d8
phy_if 引数は、インターフェイスの物理名（Ethernet1 など）です。
active_mac および standby_mac 引数は、H.H.H 形式（H は 16 ビットの
16 進数）の MAC アドレスです。たとえば、MAC アドレス
00-0C-F1-42-4C-DE は、000C.F142.4CDE と入力します。
active_mac アドレスはインターフェイスのアクティブ IP アドレスに関連
付けられ、standby_mac はインターフェイスのスタンバイ IP アドレスに
関連付けられます。
適応型セキュリティアプライアンスに仮想 MAC アドレスを設定するに
は複数の方法があります。仮想 MAC アドレスを設定するために複数の方
式を使用した場合、適応型セキュリティアプライアンスは次の優先順位
で、インターフェイスに割り当てる仮想 MAC アドレスを決定します。
1. mac-address コマンド（インターフェイスコンフィギュレーション
モード）のアドレス
2. failover mac address コマンドのアドレス
3. mac-address auto コマンドが生成したアドレス
4. 焼き付け済み MAC アドレス
show interface コマンドを使用して、インターフェイスが使用している
MAC アドレスを表示します。
オプションの Active/Standby フェールオーバー設定の監視
オプションの Active/Standby 設定を監視するには、次のいずれかのタスクを実行します。
コマンド
目的
failover reset
障害が発生した装置を、障害のない状態に復元し
ます。
monitor-interface
フェールオーバーを監視する対象のインターフェ
イスを指定します。
show failover
装置のフェールオーバー状態についての情報を表
示します。
show running-config failover
実行コンフィギュレーション内のフェールオー
バーコマンドを表示します。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-18
OL-18970-01-J
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
オプションの Active/Standby フェールオーバー設定の機能履歴
表 33-3 に、この機能のリリース履歴の一覧を示します（この項では、1 行に各サブ機能を示していま
す）。
表 33-3
オプションの Active/Standby フェールオーバー設定の機能履歴
機能名
リリース
機能情報
オプションの Active/Standby フェールオー
バー設定
7.0
次のオプションの Active/Standby フェールオーバー設定が
使用できるようになりました。
• ステートフルフェールオーバーでの HTTP 複製
• インターフェイスのモニタリング
• インターフェイスヘルスモニタリング
• フェールオーバー基準の設定
• 仮想 MAC アドレスの設定
command1、command2、および command3 コマンドが
導入または変更されました。
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
OL-18970-01-J
33-19
第 33 章
Active/Standby フェールオーバーの設定
オプションの Active/Standby フェールオーバー設定値の設定
Cisco ASA 5500 シリーズコンフィギュレーションガイド（CLI を使用）
33-20
OL-18970-01-J

Download Report

この章

Paperzz.com

Your Paperzz