Cisco ASA 冗長構成でのもろもろ

Cisco ASA の Failover 構成 (シングルコンテキスト) についての補足です。 7.2 で動作確認しています。 以前書いた関連記事は最後にリストしています。

Management インターフェイスの扱い

予想に反して Failover 構成の場合、 Management 用インターフェイス (management-only の指定をしているインターフェイス) も Primary/Secondary 用ではなく Active/Standby 用としてアドレスを用意しなければなりません。 つまり、Failover 時はアドレスがスワップされてしまうということです。 管理用ならば、障害発生時もアドレスがスワップされない方が良いように思えるのですが、そのような設定をする方法は見つかりませんでした。

ただし、Management インターフェイスの障害による Failover の発生を防ぐことはできます。 以下のコマンドでインターフェイス名 management を持つインターフェイスを監視対象からはずし、このインターフェイスの障害による Failover が発生しないようにできます。

no monitor-interface management

Failover 関連のタイマー値

polltime unit で設定するタイマー値は Failover インターフェイスでの HELLO メッセージの間隔で、polltime interface で設定するタイマー値は間隔は各データ用インターフェイスでの HELLO メッセージの送出間隔です。

failover polltime unit 1 holdtime 10
failover polltime interface 3 holdtime 15

上の例では以下の通りとなります。

  • Failover インターフェイスで 1秒間隔で HELLO を送出し、10秒届かないと相手が死んだと判断する。
  • データ用インターフェイスで 3秒間隔で HELLO を送出し、15秒届かないと相手が死んだと判断する。

ただし、これらの設定を入れても、データ用インターフェイスダウンの場合はダウンを検知するとすぐに Failover します。 failover polltime interface の設定はインターフェイスがアップしているが HELLO が届かないという場合のタイマーです。

また、Failover リンクや Stateful リンクが切れた (該当インターフェイスがダウンした) だけでは Failover しません。 電源断等で相手が死んだときは polltime unit の設定値に従って Failover することになります。

ステートフルフェイルオーバーで同期される情報

これは本当に覚書で http://www.cisco.com/JP/support/public/ht/tac/102/1020859/pixfailover-j.shtml からの引用です。

スタンバイ ユニットには次のようなステート情報が渡されます。
NAT 変換テーブル
TCP 接続状態
UDP 接続状態
ARP テーブル
レイヤ 2 ブリッジ テーブル(透過フェールオーバー モードで稼働している場合)
HTTP 接続状態(HTTP 複製が有効になっている場合)
ISAKMP および IPSec の SA テーブル
GTP PDP 接続データベース
ステートフル フェールオーバーが有効になっていても、次の情報はスタンバイ ユニットには渡されません。
HTTP 接続テーブル(HTTP 複製が有効になっていない場合)
ユーザ認証(uauth)テーブル
ルーティング テーブル
セキュリティ サービス モジュールのステート情報

関連記事

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です


*