Failover - Cisco Support Community

Cisco Support Community Expert Series Webcast
イチから学ぶ ASA の HA 構成
- Failover の設定 -
鈴木新 (Arata Suzuki)
グローバルナレッジネットワーク（株), Cisco 認定インストラクター
2017/2/20
ご参加ありがとうございます
本日の資料はこちらからダウンロードいただけます
http://supportforums.cisco.com/ja/community/5356/webcast
資料を直接ダウンロードする場合はこちら
https://supportforums.cisco.com/ja/document/13219506
Audio Broadcast（音声ブロードキャスト）について
[Audio Broadcast（音声ブロードキャスト）] ウィンドウが
自動的に表示され、コンピュータのスピーカーから音声が流れます。
[Audio Broadcast（音声ブロードキャスト）] ウィンドウが
表示されない場合は、[Communicate（通話）] メニュー
から [Audio Broadcast（音声ブロードキャスト）] を選択します。
イベントが開始されると自動的に音声が流れ始めます。
音声接続に関する詳細はこちらをご参照ください。解決しない場合
は、Q&A ウィンドウより All Panelist （すべてのパネリスト）宛にお知
らせください。
[重要] Webcast 登録後のご注意や視聴環境の事前設定について
https://supportforums.cisco.com/ja/document/82876
ご質問方法
Webcast 中のご質問は、全て画面右側の Q&A ウィンドウより All Panelist （すべてのパネリスト）
宛に送信してください
エキスパートスピーカー
鈴木新 (Arata Suzuki)
グローバルナレッジネットワーク（株）
Cisco 認定インストラクター
グローバルナレッジネットワークの講師として、ネットワーク技術、
Cisco 資格対策コース（Routing & Switching、Security) を主に担当。
グローバルナレッジネットワーク株式会社
会社紹介とご案内
会社案内
（グローバルナレッジネットワーク）
• ITとビジネストレーニングのリーディングカンパニー
提供コース1,000以上
年間提供クラス6,000以上
• Global Knowledge Asiaグループとしてアジア9ヶ国に展開
• シスコダイレクトラーニングパートナー
集合研修
集合研修
(定期開催)
(一社向け)
Virtual
Classroom
Virtual
Classroom
NEW TRAIN
MIX TRAIN
(新入社員研修)
入門～ハイエンドスキル、R&Sから各種専門分野まで
幅広くシスコ認定トレーニングコースを取り揃えて実施
・シスコよりアワード受賞実績多数
・「Learning Partner of the Year for Asia Pacific and
Japan 2016」
・「CCSI Instructor Excellence Award 2016」 4名
(定期開催)
eラーニング
(ASP)
(一社向け)
オンライン
配信
(一社向け)
Worldwide
Training
Service
テスト
センター
推奨コースとおすすめ情報
http://gknet.jp/nabc2
グローバルナレッジの資格取得支援コース「CCNA BOOT CAMP」の特長
講義、演習、確認問題集、試験がセット、
5日間で効果的に資格取得できるプログラム
ICND1/ICND2/CCNA R&S v3.0対応
4日間で講義と演習を行い、最終日の15:00から受験
「Cisco Learning Labs」を使用した豊富な演習
確認問題集が付属しており、効率よく学習が可能
豊富な受講形態
9:30
（集合研修/オンライン研修、
オリエンテーション
1日目
試験バウチャー付き/なし、など）
朝テスト
2日目
資格取得だけでなく、実務スキルの修得も
朝テスト
3日目
目的としたプログラム
4日目
朝テスト
5日目
朝テスト
18:00
講義＋演習＋章末の振り返り
講義＋演習＋章末の振り返り
講義＋演習＋章末の振り返り
講義＋演習＋章末の振り返り
復習＋自習
15:00
試験
Cisco ASA 関連トレーニングのご案内
◆Cisco ASAの概要から各種機能の設定方法までを2日間で学習するグローバルナレッジオリジナルコースです。
ファイアウォール、IPSec VPN、SSL VPNなど、Cisco ASAが提供する多くの機能について設計、構築方法
を修得することができます。
Cisco ASAによるセキュアネットワークの構築
◆Cisco ASAの新機能「FirePOWER」について学習します。
Cisco ASAの提案、設計、構築、保守を行っている方を対象として、1日でFirePOWERの全体像を学習
するグローバルナレッジオリジナルコースです。
Cisco ASA with FirePOWER Services概要
Cisco ASA関連トレーニングの詳細はWebへ
http://gknet.jp/asaf
CCNA Security 関連トレーニングのご案内
◆ Cisco認定コース「Implementing Cisco Network Security ≪IINS≫ v3.0」に対応しています。
通常5日間の内容を、3日間で効率良く修得できます。
Cisco ルータ、Cisco Catalystスイッチ、Cisco ASAを用いたセキュリティの設定を学習します。
速習CCNA Security
～Implementing Cisco Network Security ≪IINS≫ v3.0対応～
Cisco 関連トレーニングの詳細はWebへ
http://gknet.jp/csitg
キャンペーン情報
http://gknet.jp/chance
名古屋LC開設記念ダブルチャンスキャンペーン
2017年3月7日、名古屋ラーニングセンターを開設します
キャンペーン期間中に、名古屋ラーニングセンターで当社主催の定期開催コースをご受講の方
にダブルチャンス！
1. 対象コースの受講料が20%割引
2. ご受講いただいた方全員に記念品(モバイルバッテリーチャージャー)の進呈
Cisco Support Community Expert Series Webcast
イチから学ぶ ASA の HA 構成
- Failover の設定 -
鈴木新 (Arata Suzuki)
グローバルナレッジネットワーク（株）, Cisco 認定インストラクター
2017/ 2/20
ASA の HA 構成について、どの程度知識が
ありますか？
投票質問 1
a. HA 構成について知識がない
b. HA 構成について知識はあるが設定し
たことがない
c.
ASAではないデバイスで HA 構成を設
定したことはある
d. ASA の HA 構成を設定したことがある
アジェンダ
1. Active/Standby Failover
2. Active/Active Failover
14
Cisco ASA（Adaptive Security Appliance）
ASA5500シリーズ
主な機能
• ファイアウォール
• VPN
• Security Context
• ハイアベイラビリティ
ASA5500-Xシリーズ
追加機能
 CLI、もしくはASDMによる管理
ASA FirePOWER Servicesを提供
• NGIPS
• AMP (Advanced Malware Protection)
• AVC (Application Visibility and Control)
• URLフィルタリング
Cisco FirePOWER Management Centerによる
管理
HA（High Availability）構成とは
冗長構成やバックアップ体制をとり、可用性が高い構
成のこと
今回は下記の冗長構成について学習する
Failover Active/Standby
Failover Active/Active
Failoverとはシステムに異常が発生した時に自動的に
待機系システムに切り替える仕組みのこと
16
アジェンダ
1. Active/Standby Failover
2. Active/Active Failover
17
冗長構成 Failover Active / Standby
• 常にActive側のみが利用される
Failover:
Active/Standby
Secondary:
Standby
Primary:
Active
Internet
18
Failover:
Active/Standby
Primary:
Failed
Secondary:
Active
Internet
Failover を利用するための要件
•
•
•
•
•
•
同一のモデル
同一H/W構成
同一のS/Wバージョン
OSの同一動作モード
同一のFlash memoryとRAMのサイズ
ライセンス
• 一方が持つ機能は、他方がActiveになった場合、その機能のライセンス
は引継がれる。（２台で同じ機能のライセンスを購入する必要なし）
• Security-Plusライセンスは除く。Security-Plusの無いASA5510/5505は、FOにな
れない。
• SSL VPNやSecurity Contextのように数に依存するライセンスは、２台分を
合算する。
• 例： SSL VPN 500セッションのライセンスを持つASA5520が２台なら、合計1000
セッション。ただし、プラットホーム制限があるので、750まで有効になる。
19
LAN-Based Failover
• Failoverリンクには、専用のLAN I/Fが必要
• Ethernet ケーブルを使用
• Failoverリンク上のメッセージは暗号化可能
Primary
ASA
e0/1
e0/0
e0/2
Internet
192.168.1.0
10.0.1.0
LAN
Failover
e0/2
e0/0
Secondary
ASA
20
e0/1
Failover リンクで伝達される情報
• デバイスのステータス（Active/Standby）
• Helloメッセージ（キープアライブ）
• リンクの状態（up/down）
• コンフィギュレーションの複製と同期など
21
プライマリ側での Failover の設定
• プライマリ側での設定
Failover用のI/F
ASA1(config)# failover lan interface LANFAIL e0/2
INFO: Non-failover interface config is cleared on Ethernet0/2 and its sub-interfaces
ASA1(config)# failover interface ip LANFAIL 172.16.1.1 255.255.255.0 standby 172.16.1.7
ASA1(config)# failover lan unit primary
ASA1(config)# failover key 1234567
ASA1(config)# failover
Primary
ASA
e0/1
e0/0
Failoverの有効化
e0/2
192.168.1.0
LAN
Failover
e0/2
• 通信用I/Fに、スタンバイ用IPを設定
ASA1(config)# int e0/0
ASA1(config-if)# ip address 192.168.1.2 255.255.255.0 standby 192.168.1.7
ASA1(config)# int e0/1
ASA1(config-if)# ip address 10.0.1.1 255.255.255.0 standby 10.0.1.7
22
10.0.1.0
e0/0
Secondary
ASA
e0/1
プライマリ側での確認
ASA1# show failover（一部抜粋）
Failover On
Failover unit Primary
Failover LAN Interface: LANFAIL Ethernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
This host: Primary - Negotiation
Active time: 0 (sec)
slot 0: ASA5510 hw/sw rev (1.0/8.0(4)) status (Up Sys)
Interface outside (192.168.1.2): No Link (Waiting)
Interface inside (10.0.1.1): No Link (Waiting)
Other host: Secondary - Not Detected
Active time: 0 (sec)
slot 0: empty
Interface outside (0.0.0.0): Unknown (Waiting)
23
Interface inside (0.0.0.0): Unknown (Waiting)
セカンダリ側での Failover の設定
 セカンダリは、Failover I/Fを使ってプライマリからコンフィグをダウンロード
 セカンダリには、Failoverの設定のみ必要
ciscoasa(config)# int e0/2
ciscoasa(config-if)# no shutdown
ciscoasa(config)# failover lan interface LANFAIL e0/2
INFO: Non-failover interface config is cleared on Ethernet0/2 and its sub-interfaces
ciscoasa(config)# failover interface ip LANFAIL 172.16.1.1 255.255.255.0 standby 172.16.1.7
ciscoasa(config)# failover lan unit secondary
Primary
e0/0
ciscoasa(config)# failover key 1234567
ciscoasa(config)# failover
Failoverの有効化
Detected an Active mate
コンフィグ
のロード
e0/1
e0/2
LAN
Failover
e0/2
Beginning configuration replication from mate.
End configuration replication from mate.
ASA1(config)#
24
ホスト名がPrimaryと同期
e0/1
e0/0
Secondary
プライマリ側での確認（セカンダリ設定後）
ASA1# show failover
Failover On
Failover unit Primary
Failover LAN Interface: LANFAIL Ethernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
This host: Primary - Active
Active time: 780 (sec)
slot 0: ASA5510 hw/sw rev (1.0/8.4(1)) status (Up Sys)
Interface outside (192.168.1.2): Normal (Monitored)
Interface inside (10.0.1.1): Normal (Monitored)
Other host: Secondary - Standby Ready
Active time: 0 (sec)
slot 0: ASA5510 hw/sw rev (2.0/8.4(1)) status (Up Sys)
Interface outside (192.168.1.7): Normal (Monitored)
25
Interface inside (10.0.1.7): Normal (Monitored)
アドレスの確認
ASA1# show ip address
System IP Addresses:
Interface
Ethernet0/0
Ethernet0/1
Ethernet0/2
Current IP Addresses:
Interface
Ethernet0/0
Ethernet0/1
Ethernet0/2
26
ASA1# show ip address
System IP Addresses:
Interface
Ethernet0/0
Ethernet0/1
Ethernet0/2
Current IP Addresses:
Interface
Ethernet0/0
Ethernet0/1
Ethernet0/2
Primary側で実行
Name
outside
inside
LANFAIL
IP address
192.168.1.2
10.0.1.1
172.16.1.1
Subnet mask
255.255.255.0
255.255.255.0
255.255.255.0
Method
manual
manual
unset
Name
outside
inside
LANFAIL
IP address
192.168.1.2
10.0.1.1
172.16.1.1
Subnet mask
255.255.255.0
255.255.255.0
255.255.255.0
Method
manual
manual
unset
Secondary側で実行
Name
outside
inside
LANFAIL
IP address
192.168.1.2
10.0.1.1
172.16.1.1
Subnet mask
255.255.255.0
255.255.255.0
255.255.255.0
Method
manual
manual
unset
Name
outside
inside
LANFAIL
IP address
192.168.1.7
10.0.1.7
172.16.1.7
Subnet mask
255.255.255.0
255.255.255.0
255.255.255.0
Method
manual
manual
unset
設定の同期
ASA1# show failover | include This
This host: Secondary - Standby Ready
ASA1# conf t
**** WARNING ****
Configuration Replication is NOT performed from Standby unit to Active unit.
Configurations are no longer synchronized.
※Standby側で設定変更しても、Active側には反映されないため、
設定の同期が取れなくなる。
27
Failover で便利なコマンド
ASA1(config)# prompt hostname state priority
ASA1/act/pri(config)# failover exec active show run
: Saved
:
active
standby
ASA Version 8.4(1)
mate
!
hostname asa1
Standby側でActive側
の設定変更
ASA1/stby/sec(config)# failover exec active int e0/0
ASA1/stby/sec(config)# failover exec active security-level 10
ASA1/stby/sec(config)# failover exec active show run int e0/0
!
interface Ethernet0/0
nameif outside
security-level 10
ip address 192.168.1.2 255.255.255.0 standby 192.168.1.7
28
Active / Standby の手動切り替え
 StandbyをActiveに変更する
ASA1/stby(config)# failover active
Switching to Active
ASA1/act(config)# show failover | include This
This host: Primary - Active
Primary
ASA Active ⇒ Standby
e0/1
e0/0
 ActiveにStandbyに変更する場合は、
no failover activeコマンドを
Active側で実行する
e0/2
192.168.1.0
LAN
Failover
10.0.1.0
e0/2
e0/0
e0/1
Secondary
ASA Standby ⇒ Active
29
failover mac address
 デフォルトで、プライマリ側のI/FのMACアドレスがActive側の仮想MACとなる
ASA1/act/pri(config)# show int e0/0 | include MAC
MAC address 0012.d949.0960, MTU 1500
ASA1/act/pri(config)# no failover active
ASA1/stby/pri(config)# show int e0/0 | include MAC
MAC address 0012.d949.0964, MTU 1500
 但し、セカンダリ側が先に起動し単体でActiveになると、セカンダリ側のMACがActiveな仮想MACとし
て利用される。続いてプライマリが起動してFailoverのメンバーに加わると、Activeな仮想MACがプラ
イマリ側のものに置き換わり、一時的に通信ができないことがある。
 プライマリ・セカンダリに関わらず、Active・Standby側のMACアドレスを手動でデータ通信用I/Fに設定
ASA1/act/pri(config)# failover mac address e0/0
30
0012.1111.1111 0012.2222.2222
Failover polltime オプション
ASA1# show failover
Failover On
Failover unit Primary
Failover LAN Interface: LANFAIL Ethernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
（略）
Failoverリンクでの
ハローメッセージ
ASA1(config)# failover polltime unit 2 holdtime 6
ASA1(config)# failover polltime interface 3 holdtime 15
※msecオプションで、ミリセカンド単位の指定が可能
31
データ用I/Fでのハロー
メッセージ
（Active/Active Failover
では利用できません）
冗長構成 Failover Active / Standby
• 常にActive側のみが利用される
Failover:
Active/Standby
Secondary:
Standby
Primary:
Active
Internet
32
Failover:
Active/Standby
Primary:
Failed
Secondary:
Active
Internet
ASA の仮想ファイアウォール機能を知ってい
ますか？
投票質問 2
a. 聞いたことがない、初めて聞いた
b. 聞いたことがあるがよく知らない
c.
知識はあるが設定したことはない
d. 設定したことがある
アジェンダ
1. Active/Standby Failover
2. Active/Active Failover
34
仮想ファイアウォール(Security Context)とは
• 1台のASAの内部に、仮想的なASAを
構築する技術
X社用セキュリティ
ポリシー
Y社用セキュリティ
ポリシー
Security Context A
Security Context B
Security Context C
Z社用セキュリティ
ポリシー
35
System Configuration と Security Context
System Configuration
ASA1# show running-config
! （略）
interface Ethernet0/0
!
interface Ethernet0/1
! （略）
context admin
allocate-interface Ethernet0/0
allocate-interface Ethernet0/1
config-url disk0:/admin.cfg
! （略）
Security Context
ASA1/admin(config)# show run
! （略）
interface Ethernet0/0
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
!
interface Ethernet0/1
nameif inside
security-level 100
ip address 10.0.1.1 255.255.255.0
! （略）
System Configuration と Security Context 間の移動
System Configuration
ASA1# show running-config
! （略）
interface Ethernet0/0
! （略）
context admin
allocate-interface Ethernet0/0
allocate-interface Ethernet0/1
config-url disk0:/admin.cfg
! （略）
ASA1(config)# changeto context admin
Security Context
37
ASA1/admin(config)# show run
! （略）
interface Ethernet0/0
nameif outside
security-level 0
ip address 192.168.1.2 255.255.255.0
ASA1/admin(config)# changeto system
新しい Security Context の作成
System Configuration
ASA1(config)# context CTX1
ASA1(config-ctx)# allocate-interface e0/2
ASA1(config-ctx)# allocate-interface m0/0
ASA1(config-ctx)# config-url disk0:/CTX1.cfg
ASA1(config-ctx)# changeto context CTX1
38
新コンテキスト名
利用I/F
startup-config
Security Context
ASA1/CTX1(config)# interface e0/2
ASA1/CTX1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1/CTX1(config-if)# ip address 192.168.2.2 255.255.255.0
ASA1/CTX1(config-if)# no shutdown
ASA1/CTX1(config-if)# write memory
：
Security Context のインターフェイス
1. 各 Security Context が異なる I/F を利用する場合
Security Context A
A宛
e0
e1
Security Context B
B宛
39
e2
m0
パケットによる Security Context の識別（続き）
2. 複数の Security Context で I/F を共有する場合
Security Context A
A宛
e0
e1
MAC:A
B宛
Security Context B
e0
MAC:B
e1
設定の保存
Security Context単位での設定保存
ASA1(config)# changeto context admin
ASA1/admin(config)# write memory
 すべて一括保存
ASA1(config)# write memory all
Building configuration...
Saving context :
system : (000/002 Contexts saved)
Cryptochecksum: 1bc699e7 64464880 a0d6ebea 1ab43a70
1089 bytes copied in 3.300 secs (363 bytes/sec)
Saving context :
admin : (001/002 Contexts saved)
Cryptochecksum: 7f55b085 f8a4fdec 5bf9ab2c e56f52f7
1941 bytes copied in 0.190 secs
Saving context :
CTX1 : (002/002 Contexts saved)
Cryptochecksum: b043bb75 4a07c421 93eaa72f b850e6c9
1602 bytes copied in 0.220 secs
Admin Context
• Admin Contextは、管理用のSecurity Context （デフォルトはadmin）
• System Configurationには通信用のI/Fが存在しないため、Systemが外部への
アクセス（Contextのダウンロードなど）を必要とする場合に利用される
• Admin Contextは、通常のSecurity Contextと同様に利用可能
ASA1(config)# show context
Context Name
Class
Interfaces
URL
*admin
Gold
Ethernet0/0,Ethernet0/1, disk0:/admin.cfg
CTX1
Silver
Ethernet0/2,Management0/0 disk0:/CTX1.cfg
Total active Security Contexts: 2
ASA5520
ASA1(config)# admin-context CTX1
admin
Admin ContextをCTX1に変更
CTX1
Security Context の確認
ASA1# show context
Context Name
Class
*admin
Gold
CTX1
Silver
Interfaces
URL
Ethernet0/0,Ethernet0/1, disk0:/admin.cfg
Ethernet0/2,Management0/0 disk0:/CTX1.cfg
Total active Security Contexts: 2
ASA1# show context detail
Context "system", is a system resource
Config URL: startup-config
Real Interfaces:
Mapped Interfaces: Ethernet0/0, Ethernet0/1, Ethernet0/2,
Ethernet0/3, Internal-Control0/0, Internal-Data0/0, Management0/0,
Virtual254
Class: default, Flags: 0x00000819, ID: 0
43
Context "admin", has been created
Config URL: disk0:/admin.cfg
Real Interfaces: Ethernet0/0, Ethernet0/1, Ethernet0/2
（略）
Security Context の削除
個々のSecurity Contextの削除
ASA1(config)# no context CTX1
WARNING: Removing context 'CTX1'
Proceed with removing the context? [confirm]
Removing context 'CTX1' (2)... Done
 すべてのSecurity Contextの削除
ASA1(config)# clear configure context
WARNING: Removing all contexts in the system
Proceed with removing the contexts? [confirm]
Removing context 'CTX2' (3)... Done
Removing context 'admin' (1)... Done
※Flash上のコンフィグファイル(admin.cfgなど）は、そのまま残ります。
44
Active / Active Failover
Security Context と Failover の機能を組合せて利用
Internet
e0/0
CTX1Active
e0/1
m0/0
CTX2Standby
e0/3
Traffic
e0/2
1
2
1
2
e0/2
CTX1Standby
e0/1
m0/0
CTX2Active
e0/3
Traffic
Unit A
Active/Standby
45
e0/0
Unit B
Standby/Active
Failover 時の動作
Internet
Internet
Primary:
1
2
Active/Standby
46
1
2 Secondary:
Standby/Active
Primary:
1
2
1
2
Secondary:
Failed/Standby Active/Active
プライマリ側での Active/Active Failover の設定
• Multi モードにする
ASA1(config)# mode multi
• プライマリ側での設定
• Failoverの設定は、System Configurationで行う
ASA1(config)# failover lan interface LANFAIL e0/2
INFO: Non-failover interface config is cleared on Ethernet0/2 and its sub-interfaces
ASA1(config)# failover interface ip LANFAIL 172.16.1.1 255.255.255.0 standby 172.16.1.7
ASA1(config)# failover lan unit primary
ASA1(config)# failover key 1234567
e0/0
m0/0
ASA1(config)# failover
CTX1Active
e0/1
47
CTX2Standby
e0/3
Unit A
Active/Standby
e0/2
1
2
プライマリ側での Active/Active Failover の設定
• Failover groupに、Primary/Secondaryをマッピング
ASA1(config)# failover group 1
ASA1(config-fover-group)# primary
ASA1(config)# failover group 2
ASA1(config-fover-group)# secondary
• Contextとグループをマッピング
ASA1(config)# context CTX1
Security Context上での
Primary/Secondary
Secondary(G2)
Primary(G1)
ASA1(config-ctx)# allocate-interface e0/0
ASA1(config-ctx)# allocate-interface e0/1
ASA1(config-ctx)# config-url disk0:/CTX1.cfg
1
2
1
2
ASA1(config-ctx)# join-failover-group 1
ASA1(config)# context CTX2
ASA1(config-ctx)# allocate-interface e0/3
ASA1(config-ctx)# allocate-interface m0/0
ASA1(config-ctx)# config-url disk0:/CTX2.cfg
48
ASA1(config-ctx)# join-failover-group 2
Primary:
UNIT上での
Primary/Secondary
Secondary:
各 Security Context での基本設定
• プライマリ側で、各Security Contextの基本設定を行う
ASA1(config)# changeto context CTX1
ASA1/CTX1(config)# interface e0/0
ASA1/CTX1(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
ASA1/CTX1(config-if)# ip address 192.168.1.1 255.255.255.0 standby 192.168.1.7
ASA1/CTX1(config)# interface e0/1
ASA1/CTX1(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
ASA1/CTX1(config-if)# ip address 10.0.1.1 255.255.255.0 standby 10.0.1.7
e0/0
• 同様にして、CTX2の設定を行う
ASA1/CTX1(config-if)# changeto context CTX2
CTX1Active
e0/1
49
m0/0
CTX2Standby
e0/3
e0/2
セカンダリ側での Active/Active Failover の設定
• Multi モードにする
ciscoasa(config)# mode multi
• セカンダリ側でのFailoverの設定
ciscoasa(config)# failover lan interface LANFAIL e0/2
INFO: Non-failover interface config is cleared on Ethernet0/2 and its sub-interfaces
ciscoasa(config)# failover interface ip LANFAIL 172.16.1.1 255.255.255.0 standby 172.16.1.7
ciscoasa(config)# failover lan unit secondary
ciscoasa(config)# failover key 1234567
ciscoasa(config)# failover
1
.
2
1
2
Detected an Active mate
Beginning configuration replication from mate.
WARNING: Unable to delete admin context, because it doesn't exist.
INFO: Admin context is required to get the interfaces
50
Creating context 'CTX1'... Done. (1)
ASA1(config)#
Primaryと同期完了
Primary:
UNIT上での
Primary/Secondary
Secondary:
Active/Active Failover の確認
ASA1# show failover
Failover On
Failover unit Primary
Failover LAN Interface: LANFAIL Ethernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.4(1), Mate 8.4(1)
Group 1 last failover at: 05:46:32 UTC Sep 11 2008
Group 2 last failover at: 06:27:35 UTC Sep 11 2008
1
2
1
2
：
51
Primary:
Secondary:
投票質問 3
Active/Active の Failover ではどの Security
Context が Active になるのでしょうか？
a. プライマリ側で先に設定した
SecutiryContext が1つ Active、セカン
ダリ側でもう片方が Active（aとd）
b. プライマリ側で後に設定した
SecutiryContext が1つ Active、セカン
ダリ側でもう片方が Active(bとc)
a
Primary:
b
c
d
Secondary:
c.
プライマリ側の2つの SecurityContext
が Active、セカンダリ側は両方とも
Standby(aとb)
d. 追加コマンドを入れないとどれも
Active にならない(なし)
Active/Active Failover の確認（続き）
This host:
Primary
Group 1
State:
Active
Active time:
2483 (sec)
State:
Active
Active time:
2193 (sec)
Group 2
slot 0: ASA5510 hw/sw rev (1.0/8.4(1)) status (Up Sys)
CTX1 Interface outside (192.168.1.1): Normal
CTX1 Interface inside (10.0.1.1): Normal
CTX2 Interface outside (192.168.31.1): Normal
CTX2 Interface inside (10.0.31.1): Normal
Other host:
Secondary
Group 1
State:
Standby Ready
Active time:
0 (sec)
State:
Standby Ready
Active time:
290 (sec)
Group 2
slot 0: ASA5510 hw/sw rev (1.0/8.4(1)) status (Up Sys)
CTX1 Interface outside (192.168.1.7): Normal
53
CTX1 Interface inside (10.0.1.7): Normal
1
2
1
2
A
A
S
S
Primary:
Secondary:
手動による Active /Active Failover の調整
ASA1(config)# no failover active group 2
ASA1(config)# show failover
Failover On
Failover unit Primary
Failover LAN Interface: LANFAIL Ethernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.4(1), Mate 8.4(1)
Group 1 last failover at: 05:46:32 UTC Sep 11 2008
Group 2 last failover at: 06:30:04 UTC Sep 11 2008
This host:
Group 1
Group 2
54
Primary
State:
Active time:
State:
Active time:
Active
2615 (sec)
Standby Ready
2321 (sec)
1
2
1
2
A
S
S
A
Primary:
Secondary:
Preempt による自動 Failover 調整
• Failover groupは、Primaryの方がSecondaryよりプライオリティが高くなる
• デフォルトでは、先に起動したASA内のSecurity ContextがすべてActiveになり、
後から起動したASA内のSecurity ContextはすべてStandbyになる
• Preemptを設定すると、プライオリティの高いFailover groupが後から起動した場
合、Activeに格上げされる
ASA1(config)# failover group 1
ASA1(config-fover-group)# primary
ASA1(config-fover-group)# preempt 60
ASA1(config)# failover group 2
ASA1(config-fover-group)# secondary
ASA1(config-fover-group)# preempt 60
55
ASA1# reload
Preemptするまでの
Delay時間（秒）
Preempt による自動 Failover 調整（続き）
• 再起動の60秒後に確認
ASA1# show failover
Failover On
Failover unit Primary
Failover LAN Interface: LANFAIL Ethernet0/2 (up)
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 4 of 250 maximum
Version: Ours 8.0(4), Mate 8.0(4)
Group 1 last failover at: 06:45:23 UTC Sep 11 2008
Group 2 last failover at: 06:43:30 UTC Sep 11 2008
56
This host: Primary
Group 1
State:
Active
Active time: 12 (sec)
Group 2
State:
Standby Ready
Active time: 0 (sec)
Active / Active Failover
Security ContextとFailoverの機能を組合せて利用
Internet
e0/0
CTX1Active
e0/1
m0/0
CTX2Standby
e0/3
Traffic
e0/2
1
2
1
2
e0/2
CTX1Standby
e0/1
m0/0
CTX2Active
e0/3
Traffic
Unit A
Active/Standby
57
e0/0
Unit B
Standby/Active
Q&A
画面右側の Q&A ウィンドウから All Panelist（すべてのパネリスト）宛に送信してください
Ask the Expert
今日聞けなかった質問は、今回のエキスパートが担当するエキスパートに質問
（期間: 2月21日～28日）へお寄せください！
「イチから学ぶ ASA の HA 構成」フォローアップ
https://supportforums.cisco.com/ja/discussion/13225416
Webcast の内容や Q&A ドキュメントは、本日より5営業日以内に下記サイトに掲載いたします。
オンラインセミナー
https://supportforums.cisco.com/ja/community/5356/webcast
コンテンツに関するご意見を募集しています！
掲載してほしい情報、あったら役に立つ情報、
英語ではなく日本語でほしい情報などのリクエストをお寄せください！
Facebook
http://www.facebook.com/CiscoSupportCommunityJapan
Twitter
http://bit.ly/csc-twitterhttps://twitter.com/cscjapan
ソーシャルメディアで
サポートコミュニティ
と繋がろう
YouTube
https://www.youtube.com/user/CSCJapanModerator
Google+
http://bit.ly/csc-googleplus
LinkedIn
http://bit.ly/csc-linked-in
Instgram
http://bit.ly/csc-instagram
Newsletter Subscription
http://bit.ly/csc-newsletter
ご参加ありがとうございました。
アンケートにもご協力ください。

Download Report