-
- cache コマンド~ clear compression コマンド
- clear configuration session through clear isis コマ ンド
- clear lisp eid コマンド ~ clear xlate コマンド
- client コマンド ~ crl enforcenextupdate コマンド
- crypto am-disable コマンド ~ crypto ipsec security-association replay コマンド
- crypto isakmp disconnect-notify コマンド~ cxsc auth-proxy port コマンド
Cisco ASA シリーズ コマンドリファレンス、A ~ H コマンド
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2021年1月8日
章のタイトル: failover コマンド ~ fast-flood コマンド
- failover
- failover active
- failover cloud authentication
- failover cloud peer
- failover cloud polltime
- failover cloud port
- failover cloud route-table
- failover cloud route-table rg
- failover cloud route-table route
- failover cloud subscription-id
- failover cloud unit
- failover exec
- failover group
- failover health-check bfd
- failover interface ip
- failover interface-policy
- failover ipsec pre-shared-key
- failover key
- failover lan interface
- failover lan unit
- failover link
- failover mac address
- failover polltime
- failover polltime interface
- failover poll-time link-state
- failover reload-standby
- failover replication http
- failover replication rate
- failover reset
- failover standby config-lock
- failover timeout
- fallback(廃止)
- fast-flood
failover コマンド ~ fast-flood コマンド
failover
フェールオーバーをイネーブルにするには、グローバル コンフィギュレーション モードで failover コマンドを使用します。フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドは、コンフィギュレーションでのフェールオーバーのイネーブルまたはディセーブルに限定されました( failover active コマンドを参照)。 |
使用上のガイドライン
フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。
フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。
ASA 5505 デバイスでは、ステートレス フェールオーバーのみが、Easy VPN ハードウェア クライアントとして動作していないときにのみ許可されます。
例
関連コマンド
|
|
|
|---|---|
failover active
スタンバイの ASA またはフェールオーバー グループをアクティブ ステートに切り替えるには、特権 EXEC モードで failover active コマンドを使用します。アクティブな ASA またはフェールオーバー グループをスタンバイに切り替えるには、このコマンドの no 形式を使用します。
failover active [ group group_id ]
no failover active [ group group_id ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スタンバイ ユニットからのフェールオーバー切り替えを開始するには failover active コマンドを使用し、アクティブ ユニットからのフェールオーバー切り替えを開始するには no failover active コマンドを使用します。この機能を使用して、障害が発生したユニットを稼働させたり、メンテナンスのためにアクティブ ユニットをオフラインにしたりできます。ステートフル フェールオーバーを使用していない場合、すべてのアクティブ接続がドロップされるため、クライアントはフェールオーバーの発生後、接続を再確立する必要があります。
フェールオーバー グループの切り替えは、Active/Active フェールオーバーでのみ使用できます。Active/Active フェールオーバー ユニットでフェールオーバー グループを指定しないで failover active コマンドを入力すると、ユニットのすべてのグループがアクティブになります。
例
次に、スタンバイ グループ 1 をアクティブに切り替える例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud authentication
ASAv でサービス プリンシパルを使用した Microsoft Azure への認証ができるようにするには、グローバル コンフィギュレーション モードで failover cloud authentication コマンドを使用します。Microsoft Azure 認証を無効にするには、このコマンドの no 形式を使用します。
failover cloud authentication { application-id appl-id | directory-id dir-id | key secret-key }
no failover cloud authentication { application-id appl-id | directory-id dir-id | key secret-key [ encrypt ]}
構文の説明
Azure インフラストラクチャからアクセス キーを要求するときに必要な秘密キーを指定します。 encrypt キーワードが存在する場合、この秘密キーは実行コンフィギュレーションで暗号化されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
自動的に API 呼び出しによって Azure ルート テーブルが変更されるようにするには、ASAv HA ユニットに Azure Active Directory のクレデンシャルが必要です。Azure は、簡単に言えばサービス アカウントであるサービス プリンシパルの概念を採用しています。サービス プリンシパルを使用すると、あらかじめ定義された Azure リソース セット内でタスクを実行するのに十分な権限と範囲のみを持つアカウントをプロビジョニングできます。
Azure リソース(ルート テーブルなど)へのアクセスまたはリソースの変更が必要となるアプリケーションがある場合は、Azure Active Directory(AD)アプリケーションを設定し、必要な権限を割り当てる必要があります。
Azure ポータルに Azure AD アプリケーションを登録すると、アプリケーション オブジェクトとサービス プリンシパル オブジェクトの 2 つのオブジェクトが Azure AD テナントに作成されます。サービス プリンシパル オブジェクトは、特定のテナントでのアプリケーションの使用に関するポリシーと権限を定義し、アプリケーション実行時のセキュリティ プリンシパルの基礎を提供します。
サービス プリンシパルを設定したら、 ディレクトリ ID 、 アプリケーション ID 、および 秘密キー を取得します。これらは、Azure 認証クレデンシャルを設定するために必要です。
(注) Azure は、『Azure Resource Manager Documentation』で Azure AD アプリケーションとサービス プリンシパルを作成する方法について説明しています。
例
次に、パブリック クラウド フェールオーバー コンフィギュレーションに Azure 認証クレデンシャルを追加する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud peer
パブリック クラウド フェールオーバー ピアを設定するには、グローバル コンフィギュレーション モードで failover cloud peer コマンドを使用します。フェールオーバー ピアを無効にするには、このコマンドの no 形式を使用します。
failover cloud peer { ip ip-address | port port-number }
構文の説明
パブリック クラウド HA ピアへの TCP フェールオーバー制御接続を確立するために使用する IP アドレスを指定します。 |
|
デフォルト
デフォルトは、 failover cloud port control コマンドによって指定されたポート番号(指定されていない場合はデフォルトのポート番号)です。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
パブリック クラウド HA ピアへの TCP フェールオーバー制御接続を確立するには、IP アドレスが使用されます。すでにアクティブ ユニットである可能性がある HA ピアへのフェールオーバー接続を開こうとする場合は、ポートが使用されます。HA ピア間で NAT が 実行されている場合は、ここでのポートの設定が必要となる場合があります。この設定は、ほとんどの場合不要です。
このコマンドの no 形式を使用すると、ピアとなる IP アドレスが削除され、ポート番号がそのデフォルト値に設定されます。ポートが指定されていない場合、ポート番号は、以前にこのコマンドを使用して別の値が設定されていた場合であってもデフォルト値に設定されます。
例
次に、パブリック クラウド フェールオーバー ピアを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud polltime
パブリック クラウドのフェールオーバー ユニットのポーリング タイムおよびホールド タイムを指定するには、グローバル コンフィギュレーション モードで failover cloud polltime コマンドを使用します。デフォルトのポーリング期間およびホールド タイムに戻すには、このコマンドの no 形式を使用します。
failover cloud polltime poll_time [ holdtime time ]
構文の説明
(任意)ユニットが制御ポートで hello メッセージを受信する間隔を設定します。この時間を経過すると、ピア ユニットで障害が発生したと見なされます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
バックアップ ユニットがアクティブ ユニットの存在をモニタするために使用するポーリング間隔を設定するために使用されます。必要に応じ、アクティブ ユニットからの応答がない場合に、バックアップ ユニットがアクティブなロールを取る前に待機する時間(ホールド タイム)も設定できます。ホールド タイムは、強制的にポーリング タイムの 3 倍以上となります。ポーリング間隔を短くすると、ASA で障害を検出し、フェールオーバーをトリガーする速度が速くなります。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。
例
次に、パブリック クラウド フェールオーバー コンフィギュレーションでフェールオーバー ポーリングを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud port
パブリック クラウド フェールオーバーのペアによって使用される 2 つの TCP ポート、2 つのピア間のフェールオーバー通信に使用するポート、および Azure ロード バランサのプローブに使用するポートを指定するには、グローバル コンフィギュレーション モードで failover cloud port コマンドを使用します。これらのポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。
failover cloud port { control port-number | probe port-number [ interface if-name]}
no failover cloud port { control | probe }
構文の説明
(任意)Azure ロード バランサ プローブを受け入れるプローブ ポート用に設定するインターフェイスを指定します。省略すると、プローブは、プローブによって使用されるよく知られた送信元 IP アドレス(168.63.129.16)に到達するために最適であると、ASAv 内の IP ルーティング機能によって判断されるインターフェイスに受け入れられます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトのポート値に戻すには、このコマンドの no 形式を使用します。
物理 ASA および非パブリック クラウドの仮想 ASA では、Gratuitous ARP 要求を使用してフェールオーバー条件を処理しますが、バックアップ ASA は、アクティブな IP アドレスと MAC アドレスに関連付けられていることを示す Gratuitous ARPP を送信します。ほとんどのパブリック クラウド環境では、このようなブロードキャスト トラフィックは許可されていません。このため、パブリック クラウドの HA 設定では、フェールオーバーが発生したときに通信中の接続を再起動する必要があります。
アクティブ装置の状態がバックアップ装置によってモニタされ、所定のフェールオーバー条件に一致しているかどうかが判別されます。所定の条件に一致すると、フェールオーバーが行われます。フェールオーバー時間は、パブリック クラウド インフラストラクチャの応答性に応じて、数秒~ 1 分を超える場合があります。
例
次に、パブリック クラウド フェールオーバー コンフィギュレーションに対し、フェールオーバー通信および Azure ロード バランサ プローブのための TCP ポートを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud route-table
内部ルートをアクティブ ユニットに向ける Azure ルート テーブルを設定するには、グローバル コンフィギュレーション モードで failover cloud route-table コマンドを使用します。ルート テーブル コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
failover cloud route-table table-name [ subscription-id sub-id ]
構文の説明
(任意)Azure リソースを変更する際に必要な Azure サブスクリプション ID を指定します。ルート テーブル内にこのパラメータが存在する場合、それは、ルート テーブルを参照する際に使用される Azure サブスクリプションです。省略すると、グローバル コンフィギュレーション モードで設定されているサブスクリプション ID が使用されます。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバーでは、内部ルートをアクティブ装置に向ける必要があります。アクティブ装置は、設定されたルート テーブル情報を使用して自動的にルートを自身に向けます。
プライマリ装置とセカンダリ装置の両方でこれらの設定を構成します。プライマリ装置からセカンダリ装置への設定の同期はありません。
2 つ以上の Azure サブスクリプションでユーザ定義のルートを更新するには、オプションの subscription-id パラメータを使用します。 route-table コマンド レベルの subscription-id は、グローバル レベルで指定された Azure サブスクリプション ID を上書きします。 subscription-id を指定せずに route-table コマンドを入力すると、グローバル パラメータが使用されます。
ルート テーブル コンフィギュレーションを削除するには、このコマンドの no 形式を使用します。
(注) このコマンドを入力すると、ASAv は cfg-fover-cloud-rt モードに切り替わります。
例
次の例では、パブリック クラウド フェールオーバーのルート テーブル コンフィギュレーションで cfg-fover-cloud-rt モードを有効にする方法を示します。
関連コマンド
|
|
|
|---|---|
failover cloud route-table rg
ルート テーブル更新要求に必要な Azure リソース グループを設定するには、cfg-fover-cloud-rt コンフィギュレーション モードで rg コマンドを使用します。コンフィギュレーションからリソース グループ情報を削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Azure リソース グループは、Azure ソリューション用の関連リソースを保持するコンテナです。リソース グループには、ソリューション用のすべてのリソースを含めるか、またはグループとして管理するリソースのみを含めることができます。リソース グループにリソースを割り当てる方法は、どうすれば組織にとって最も合理的になるかを考慮して決定します。
プライマリ装置とセカンダリ装置の両方でこれらの設定を構成します。プライマリ装置からセカンダリ装置への設定の同期はありません。
コンフィギュレーションからリソース グループ情報を削除するには、このコマンドの no 形式を使用します。
(注) Azure は、『Azure Resource Manager Documentation』でリソース グループについて説明しています。
例
次に、パブリック クラウド フェールオーバー コンフィギュレーションに Azure リソース グループを追加する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud route-table route
フェールオーバー中に更新を必要とするルートを設定するには、cfg-fover-cloud-rt コンフィギュレーション モードで route コマンドを使用します。コンフィギュレーションからルート情報を削除するには、このコマンドの no 形式を使用します。
route { name route-name prefix address-prefix nexthop ip-address }
構文の説明
IP アドレス プレフィックス、スラッシュ(「/」)、および数字のネットマスクとして設定されるアドレス プレフィックスを指定します。例:192.120.0.0/16。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバーでは、内部ルートをアクティブ装置に向ける必要があります。アクティブ装置は、設定されたルート テーブル情報を使用して自動的にルートを自身に向けます。
プライマリ装置とセカンダリ装置の両方でこれらの設定を構成します。プライマリ装置からセカンダリ装置への設定の同期はありません。
コンフィギュレーションからルート情報を削除するには、このコマンドの no 形式を使用します。
(注) Azure は、『Azure Resource Manager Documentation』でルーティングの要件について説明しています。
例
次に、パブリック クラウド フェールオーバー コンフィギュレーションに更新が必要なルートを追加する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud subscription-id
Azure サービス プリンシパル用の Azure サブスクリプション ID を設定するには、グローバル コンフィギュレーション モードで failover cloud subscription-id コマンドを使用します。このコマンドの no 形式は、コンフィギュレーションからサブスクリプション情報を削除します。
failover cloud subscription-id sub-id
no failover cloud subscription-id
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Azure サブスクリプション ID は、内部ルートをアクティブ ユニットに向ける場合など、Azure ルート テーブルを変更するために必要です。
(注) サブスクリプション ID は、Azure ポータル(https://portal.azure.com)の「サブスクリプション(Subscriptions)」タブで参照できます。
例
次に、パブリック クラウド フェールオーバー コンフィギュレーションに Azure サブスクリプション ID を追加する例を示します。
関連コマンド
|
|
|
|---|---|
failover cloud unit
パブリック クラウド フェールオーバー コンフィギュレーションで ASAv をプライマリ ユニットまたはセカンダリ ユニットのいずれかに設定するには、グローバル コンフィギュレーション モードで failover lan unit コマンドを使用します。ユニットのロールの設定を削除するには、このコマンドの no 形式を使用します。
failover cloud unit { primary | secondary }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
冗長性を確保するために、ASAv をアクティブ/バックアップ高可用性(HA)設定でパブリック クラウド環境に展開します。パブリック クラウドでの HA は、アクティブな ASAv の障害がバックアップ ASAv へのシステムの自動フェールオーバーをトリガーするのを許可するステートレスなアクティブ/バックアップ ソリューションを実装します。
アクティブ/バックアップ フェールオーバーを設定する場合、1 つの装置をプライマリとして設定し、もう 1 つの装置をセカンダリとして設定します。この時点で、2 つのユニットは、デバイスとポリシーの設定、およびイベント、ダッシュボード、レポート、ヘルス モニタリングで、2 つの個別のデバイスとして機能します。
フェールオーバー ペアの 2 つの装置の主な相違点は、どちらの装置がアクティブでどちらの装置がバックアップであるか、つまりどちらの装置がアクティブにトラフィックを渡すかということに関連します。両方のユニットがトラフィックを渡すことができますが、プライマリ ユニットだけがロード バランサ プローブに応答し、構成済みのルートをプログラミングしてルートの接続先として使用します。バックアップ装置の主な機能は、プライマリ装置の正常性を監視することです。両方の装置が同時にスタート アップした場合(さらに動作ヘルスが等しい場合)、プライマリ装置が常にアクティブ装置になります。
例
次に、ASAv をパブリック クラウド フェールオーバー コンフィギュレーションにおけるプライマリ ユニットとして設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover exec
フェールオーバー ペアの特定のユニットに対してコマンドを実行するには、特権 EXEC モードまたはグローバル コンフィギュレーション モードで failover exec コマンドを使用します。
failover exec { active | standby | mate } cmd_string
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
failover exec コマンドを使用して、フェールオーバー ペアの特定のユニットに対してコマンドを送信できます。
コンフィギュレーション コマンドはアクティブ装置またはコンテキストからスタンバイ装置またはコンテキストに複製されるため、いずれの装置にログインしているかにかかわらず、 failover exec コマンドを使用して正しい装置にコンフィギュレーション コマンドを入力できます。たとえば、スタンバイ装置にログインしている場合、 failover exec active コマンドを使用して、コンフィギュレーションの変更をアクティブ装置に送信できます。その後、これらの変更はスタンバイ装置に複製されます。スタンバイ装置またはコンテキストへのコンフィギュレーション コマンドの送信には、 failover exec コマンドを使用しないでください。これらのコンフィギュレーションの変更はアクティブ装置に複製されないため、2 つのコンフィギュレーションが同期されなくなります。
コンフィギュレーション、exec、および show コマンドの出力は、現在のターミナル セッションで表示されます。したがって、 failover exec コマンドを使用して、ピア装置で show コマンドを発行し、その結果を現在のターミナルに表示することができます。
ピア装置でコマンドを実行するには、ローカル装置でコマンドを実行できるだけの十分な権限を持っている必要があります。
failover exec コマンドは、お使いのターミナル セッションのコマンド モードとは異なるコマンド モード状態を維持します。デフォルトで、 failover exec のコマンド モードは、指定したデバイスに対するグローバル コンフィギュレーション モードです。このコマンド モードを変更するには、 failover exec コマンドを使用して適切なコマンド( interface コマンドなど)を送信します。
指定されたデバイスの failover exec コマンド モードを変更しても、デバイスへのアクセスに使用しているセッションのコマンド モードは変更されません。たとえば、フェールオーバー ペアのアクティブ ユニットにログインしており、グローバル コンフィギュレーション モードで次のコマンドを発行した場合、セッションのコマンド モードはグローバル コンフィギュレーション モードのままですが、 failover exec コマンドを使用して送信されるすべてのコマンドはインターフェイス コンフィギュレーション モードで実行されます。
デバイスとの現在のセッションのコマンド モードを変更しても、 failover exec コマンドで使用されるコマンド モードには影響しません。たとえば、アクティブ ユニットでインターフェイス コンフィギュレーション モードであるときに、 failover exec のコマンド モードを変更していない場合、次のコマンドはグローバル コンフィギュレーション モードで実行されます。
show failover exec コマンドを使用すると、指定したデバイスにコマンド モードが表示されます。 failover exec コマンドを使用して送信されたコマンドは、このモードで実行されます。
failover exec コマンドは、フェールオーバー リンクを使用してコマンドをピア装置に送信し、実行されたコマンドの出力をピア装置から受信します。盗聴や中間者攻撃を防止するには、 failover key コマンドを使用してフェールオーバー リンクを暗号化する必要があります。
- ゼロダウンタイム アップグレード手順を使用して 1 台の装置だけをアップグレードする場合は、機能するコマンドとして failover exec コマンドをサポートしているソフトウェアが両方の装置で動作している必要があります。
- コマンドの完成およびコンテキスト ヘルプは、 cmd_string 引数のコマンドでは使用できません。
- マルチ コンテキスト モードでは、ピア装置のピア コンテキストだけにコマンドを送信できます。異なるコンテキストにコマンドを送信するには、まずログインしているユニットでそのコンテキストに変更する必要があります。
- 次のコマンドと failover exec コマンドを一緒に使用することはできません。
- スタンバイ装置が故障状態の場合、故障の原因がサービス カードの不具合であれば、 failover exec コマンドからのコマンドは受信できます。それ以外の場合、リモート コマンドの実行は失敗します。
- failover exec コマンドを使用して、フェールオーバー ピアで特権 EXEC モードをグローバル コンフィギュレーション モードに切り替えることはできません。たとえば、現在のユニットが特権 EXEC モードのときに failover exec mate configure terminal コマンドを入力すると、 show failover exec mate コマンドの出力に、failover exec セッションがグローバル コンフィギュレーション モードであることが示されます。ただし、ピア ユニットで failover exec コマンドを使用してコンフィギュレーション コマンドを入力した場合、現在のユニットでグローバル コンフィギュレーション モードを開始しない限り、その処理は失敗します。
- failover exec mate failover exec mate コマンドのような、再帰的な failover exec コマンドは入力できません。
- ユーザの入力または確認が必要なコマンドでは、 /nonconfirm オプションを使用する必要があります。
例
次に、 failover exec コマンドを使用して、アクティブ ユニットのフェールオーバー情報を表示する例を示します。コマンドはアクティブ ユニットで実行されるため、コマンドはローカルで実行されます。
次に、 failover exec コマンドを使用して、ピア ユニットのフェールオーバー ステータスを表示する例を示します。コマンドはアクティブ ユニットであるプライマリ ユニットで実行されるため、セカンダリのスタンバイ ユニットの情報が表示されます。
次に、 failover exec コマンドを使用して、フェールオーバー ピアのフェールオーバー コンフィギュレーションを表示する例を示します。コマンドはアクティブ ユニットであるプライマリ ユニットで実行されるため、セカンダリのスタンバイ ユニットの情報が表示されます。
次に、 failover exec コマンドを使用して、スタンバイ ユニットからアクティブ ユニットにコンテキストを作成する例を示します。コマンドは、アクティブ ユニットからスタンバイ ユニットに複製されます。2 つの「Creating context…」メッセージに注目してください。1 回めは、コンテキスト作成時に failover exec コマンドによってピア ユニットから出力されたものであり、2 回めは複製されたコマンドによってローカルにコンテキストが作成されたときにローカル ユニットから出力されたものです。
次に、 failover exec コマンドを使用してスタンバイ ステートのフェールオーバー ピアにコンフィギュレーション コマンドを送信したときに警告が返され、その警告が表示される例を示します。
次に、 failover exec コマンドを使用して、 show interface コマンドをスタンバイ ユニットに送信する例を示します。
次に、ピア ユニットに対して不正なコマンドを発行したときにエラー メッセージが返され、そのエラー メッセージが表示される例を示します。
次に、フェールオーバーがディセーブルの場合に failover exec コマンドを使用してエラー メッセージが返され、そのエラー メッセージが表示される例を示します。
関連コマンド
|
|
|
|---|---|
failover group
Active/Active フェールオーバー グループを設定するには、グローバル コンフィギュレーション モードで failover group コマンドを使用します。フェールオーバー グループを削除するには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
最大 2 つのフェールオーバー グループを定義できます。 failover group コマンドは、マルチ コンテキスト モードが設定されたデバイスのシステム コンテキストにのみ追加できます。フェールオーバー グループは、フェールオーバーがディセーブルになっているときに限り作成および削除できます。
このコマンドを入力すると、フェールオーバー グループ コマンド モードが開始されます。フェールオーバー グループ コンフィギュレーション モードでは、 primary 、 secondary 、 preempt 、 replication http 、 interface-policy 、 mac address 、および polltime interface コマンドを使用できます。グローバル コンフィギュレーション モードに戻るには、 exit コマンドを使用します。
(注) failover polltime interface、failover interface-policy、failover replication http、failover mac address の各コマンドは、Active/Active フェールオーバー コンフィギュレーションでは何も行いません。これらは、polltime interface、interface-policy、replication http、および mac address の各フェールオーバー グループ コンフィギュレーション モード コマンドによって上書きされます。
フェールオーバー グループを削除するときは、フェールオーバー グループ 1 を最後に削除する必要があります。フェールオーバー グループ 1 には、常に管理コンテキストが含まれています。フェールオーバー グループに割り当てられていないすべてのコンテキストは、デフォルトでフェールオーバー グループ 1 に割り当てられます。コンテキストが明示的に割り当てられているフェールオーバー グループは削除できません。
(注) 同じネットワーク上にアクティブ/アクティブ フェールオーバー ペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上に重複した MAC アドレスが存在しないようにするには、mac address コマンドを使用して、各物理インターフェイスに対して仮想アクティブ MAC アドレスおよび仮想スタンバイ MAC アドレスを割り当てる必要があります。
例
次に、2 つのフェールオーバー グループのコンフィギュレーションの例(抜粋)を示します。
関連コマンド
|
|
|
|---|---|
failover health-check bfd
ユニット ヘルス モニタリングに Bidirectional Forwarding Detection(BFD)を設定するには、グローバル コンフィギュレーション モードで failover health-check bfd コマンドを使用します。BFD をディセーブルにするには、このコマンドの no 形式を使用します。
failover health-check bfd template_name
no failover health-check bfd template_name
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
CPU の使用率が高い場合、通常のユニットのモニタリングにより誤ってアラームが発生する可能性があります。BFD メソッドは分散されていてるため、CPU の使用率が高い場合でも動作に影響はありません。
最初に、パケット レートを定義するための BFD シングルホップ テンプレートを設定する必要があります。
bfd-template single-hop template_name
bfd interval min-tx milliseconds min-rx milliseconds multiplier multiplier_value
例
次に、BFD ユニット ヘルス検出を有効にする例を示します。
関連コマンド
|
|
|
|---|---|
failover interface ip
フェールオーバー インターフェイスとステートフル フェールオーバー インターフェイスに対して、IPv4 アドレスとマスク、または IPv6 アドレスとプレフィックスを指定するには、グローバル コンフィギュレーション モードで failover interface ip コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。
failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]
no failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address / prefix standby ipv6_address ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
スタンバイ アドレスは、プライマリ アドレスと同じサブネットにある必要があります。
コンフィギュレーションに適用できる failvover interface ip コマンドは 1 つだけです。そのため、フェールオーバー インターフェイスには IPv6 アドレスまたは IPv4 アドレスのいずれか 1 つを割り当てることができます。IPv6 アドレスおよび IPv4 アドレスの両方をインターフェイスに割り当てることはできません。
フェールオーバーおよびステートフル フェールオーバー インターフェイスは、ASA がトランスペアレント ファイアウォール モードで稼働し、システムに対してグローバルであっても、レイヤ 3 で動作します。
マルチ コンテキスト モードでは、システム コンテキストにフェールオーバーを設定します( monitor-interface コマンドを除く)。
このコマンドは、ASA を LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。
例
次に、フェールオーバー インターフェイスに IPv4 アドレスとマスクを指定する方法の例を示します。
次に、フェールオーバー インターフェイスに IPv6 アドレスとプレフィックスを指定する方法の例を示します。
関連コマンド
|
|
|
|---|---|
failover interface-policy
モニタリングによってインターフェイスの障害が検出された場合のフェールオーバーのポリシーを指定するには、グローバル コンフィギュレーション モードで failover interface-policy コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を入力します。
failover interface-policy num [ % ]
no failover interface-policy num [ % ]
構文の説明
パーセンテージとして使用される場合は 1 ~ 100 の数値を、数値として使用される場合は 1 ~インターフェイスの最大数を指定します。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
num 引数とオプションの % キーワードの間にはスペースを挿入しません。
障害が発生したインターフェイスの数が、設定されているポリシーの基準を満たし、他方の ASA が正しく機能している場合、ASA は自身を障害発生状態とマークして、フェールオーバーが行われる可能性があります(アクティブな ASA で障害が発生した場合)。ポリシーでカウントされるのは、 monitor-interface コマンドでモニタ対象として指定したインターフェイスのみです。
(注) このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで interface-policy コマンドを使用して、各フェールオーバー グループのインターフェイス ポリシーを設定します。
例
次に、2 通りの方法でフェールオーバー ポリシーを指定する例を示します。
関連コマンド
|
|
|
|---|---|
failover ipsec pre-shared-key
フェールオーバーの IPsec LAN-to-LAN トンネルと、ユニット間のステート リンクを確立してすべてのフェールオーバー通信を暗号化するには、グローバル コンフィギュレーション モードで failover ipsec pre-shared-key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。
failover ipsec pre-shared-key key
no failover ipsec pre-shared-key
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバー通信をセキュリティ保護しない限り、フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、すべてクリア テキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をセキュリティ保護することをお勧めします。
暗号化方法として、レガシーの failover key 方式よりも、 failover ipsec pre-shared-key 方式を使用することをお勧めします。
IPsec 暗号化とレガシーの failover key 暗号化の両方を使用することはできません。両方の方法を設定した場合は、IPsec が使用されます。ただし、マスター パスフレーズを使用する場合は( password encryption aes および key config-key password-encryption コマンドを参照)、IPsec 暗号化を設定する前に、 no failover key コマンドを使用してフェールオーバー キーを削除する必要があります。
(注) フェールオーバー LAN-to-LAN トンネルは、IPsec(その他の VPN)ライセンスには適用されません。
例
ciscoasa(config)# failover ipsec pre-shared-key a3rynsun
関連コマンド
|
|
|
|---|---|
failover key
フェールオーバー ペアのユニット間での暗号化および認証された通信(フェールオーバー リンクとステート リンクによる)用のキーを指定するには、グローバル コンフィギュレーション モードで failover key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。
failover key [ 0 | 8 ] { hex key | shared_secret }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバー通信をセキュリティ保護しない限り、フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、すべてクリア テキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をセキュリティ保護することをお勧めします。
暗号化方法として、レガシーの failover key 方式よりも、 failover ipsec pre-shared-key 方式を使用することをお勧めします。
IPsec 暗号化( failover ipsec pre-shared-key コマンド)とレガシーの failover key 暗号化の両方を使用することはできません。両方の方法を設定した場合は、IPsec が使用されます。ただし、マスター パスフレーズを使用する場合は( password encryption aes および key config-key password-encryption コマンドを参照)、IPsec 暗号化を設定する前に、 no failover key コマンドを使用してフェールオーバー キーを削除する必要があります。
例
次に、フェールオーバー ペアのユニット間でフェールオーバー通信をセキュリティ保護するための共有秘密を指定する例を示します。
次に、フェールオーバー ペアの 2 つのユニット間でフェールオーバー通信をセキュリティ保護するための 16 進キーを指定する例を示します。
次に、 more system:running-config 出力から、暗号化されたパスワードをコピーして貼り付けた例を示します。
関連コマンド
|
|
|
|---|---|
failover lan interface
フェールオーバー通信に使用されるインターフェイスを指定するには、グローバル コンフィギュレーション モードで failover lan interface コマンドを使用します。フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。
failover lan interface if_name { phy_if [. sub_if ] | vlan_if ]}
no failover lan interface [ if_name { phy_if [. sub_if ] | vlan_if ]}]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバー ペアの 2 台の装置は、フェールオーバー リンク経由で常に通信して、各装置の動作ステータスを確認しています。
使用されていないデータ インターフェイス(物理、冗長、または EtherChannel)はどれでも、フェールオーバー リンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバー リンク インターフェイスは、通常のネットワーク インターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバー リンク用にのみ使用できます(ステート リンク用としても使用できます)。ASA は、ユーザ データ用とフェールオーバー用に異なるサブインターフェイスが設定されている場合でも、ユーザ データとフェールオーバー リンク間でのインターフェイスの共有はサポートしません。フェールオーバー リンクには、別の物理、EtherChannel、または冗長インターフェイスを使用する必要があります。
フェールオーバー リンクについては、次のガイドラインを参照してください。
- 5506-X ~ 5555-X:管理インターフェイスをフェールオーバー リンクとして使用できません。データ インターフェイスを使用する必要があります。5506H-X は唯一の例外で、フェールオーバー リンクとして管理インターフェイスを使用できます。
- 5506H-X:フェールオーバー リンクとして管理 1/1 インターフェイスを使用できます。フェールオーバー用に設定した場合は、デバイスをリロードして変更を反映させる必要があります。この場合、管理プロセスに管理インターフェイスが必要であるため、ASA Firepower モジュールも使用できません。
- 5585-X:データ インターフェイスとしては使用できますが、管理 0/0 インターフェイスは使用しないでください。この用途で必要とされるパフォーマンスをサポートしていません。
- Firepower 9300 ASA セキュリティ モジュール:管理タイプまたはデータ タイプのどちらかのインターフェイスをフェールオーバー リンクとして使用できます。インターフェイスを節約し、同じシャーシ内のモジュール間でフェールオーバー リンクを共有するには、管理タイプのインターフェイスを使用します。たとえば、それぞれ 3 つのセキュリティ モジュールを備えた 2 台のシャーシがあるとします。シャーシ間で 3 つのフェールオーバー ペアを作成できます。1 つの 10 GigabitEthernet 管理インターフェイスをシャーシ間で使用して、フェールオーバー リンクとして機能させることができます。各モジュール内で一意の VLAN サブインターフェイスを設定するだけです。
- すべてのモデル:1 GB インターフェイスは、フェールオーバーとステート リンクを組み合わせるには十分な大きさです。
フェールオーバー リンクとして使用される冗長インターフェイスについては、冗長性の増強による次の利点を参照してください:
- フェールオーバー ユニットが起動すると、メンバー インターフェイスを交互に実行し、アクティブ ユニットを検出します。
- メンバー インターフェイスの 1 つにあるピアからのキープアライブ メッセージの受信をフェールオーバー ユニットが停止した場合、別のメンバー インターフェイスに切り替えます。
フェールオーバー リンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバー リンクとして使用中の EtherChannel の設定は変更できません。
フェールオーバー リンクを次の 2 つの方法のいずれかで接続します。
- ASA のフェールオーバー インターフェイスと同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)に他の装置のないスイッチを使用する。
- イーサネット ケーブルを使用して装置を直接接続します。外部スイッチは必要ありません。
装置間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらの装置のものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。
ASA は、銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているため、クロスオーバー ケーブルまたはストレート ケーブルのいずれかを使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。
- 接続中のスイッチで VLAN を使用する場合は、フェールオーバー リンク専用の VLAN を使用します。フェールオーバー リンクの VLAN を他の VLAN と共有すると、断続的にトラフィックの問題が発生したり、ping や ARP の障害が発生したりすることがあります。フェールオーバー リンクの接続にスイッチを使用する場合は、スイッチおよび ASA でフェールオーバー リンク専用のインターフェイスを使用します。インターフェイスを、通常のネットワーク トラフィックを伝送するサブインターフェイスと共有しないでください。
- マルチ コンテキスト モードで動作するシステムでは、フェールオーバー リンクはシステム コンテキストにあります。システム コンテキストに設定できるインターフェイスは、このインターフェイス、および使用されている場合はステート リンクのみです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。
- フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。
フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。
例
次に、共有フェールオーバーおよびステート リンクを含むプライマリ ユニットのフェールオーバー パラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover lan unit
LAN フェールオーバー設定で ASA をプライマリ装置またはセカンダリ装置のいずれかに設定するには、グローバル コンフィギュレーション モードで failover lan unit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
failover lan unit { primary | secondary }
no failover lan unit { primary | secondary }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Active/Standby フェールオーバーでは、フェールオーバー ユニットに対するプライマリとセカンダリの指定によって、起動時にどのユニットがアクティブになるかが決まります。次の場合に、起動時にプライマリ ユニットがアクティブ ユニットになります。
- 最初のフェールオーバー ポーリング チェックの間に、プライマリ ユニットとセカンダリ ユニットの両方がブート シーケンスを完了している。
- プライマリ ユニットがセカンダリ ユニットよりも前に起動している。
プライマリ ユニットの起動時にすでにセカンダリ ユニットがアクティブになっている場合、プライマリ ユニットはアクティブにはならずに、スタンバイ ユニットとなります。この場合、プライマリ ユニットを強制的にアクティブ ステータスに戻すには、セカンダリ(アクティブ)ユニットで no failover active コマンドを入力する必要があります。
Active/Active フェールオーバーでは、各フェールオーバー グループにプライマリまたはセカンダリのユニット プリファレンスが割り当てられます。このプリファレンスによって、両方のユニットが(フェールオーバー ポーリング期間内に)同時に起動されたときに、起動時にフェールオーバー ペアのどのユニットでフェールオーバー グループのコンテキストがアクティブになるかが決まります。
このコマンドは、ASA を LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。
例
次に、ASA を LAN ベースのフェールオーバーのプライマリ ユニットとして設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover link
ステートフル フェールオーバー インターフェイスを指定し、ステートフル フェールオーバーをイネーブルにするには、グローバル コンフィギュレーション モードで、 failover link コマンドを使用します。ステートフル フェールオーバー インターフェイスを削除するには、このコマンドの no 形式を使用します。
failover link if_name [ phy_if ]
構文の説明
(任意)物理インターフェイス ポートまたは論理インターフェイス ポートを指定します。ステートフル フェールオーバー インターフェイスが、フェールオーバー通信に割り当てられているインターフェイスを共有しているか、または標準ファイアウォール インターフェイスを共有している場合、この引数は必要ありません。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ステートフル フェールオーバーを使用するには、接続ステート情報を渡すためのステートフル フェールオーバー リンク(ステート リンクとも呼ばれる)を設定する必要があります。
インターフェイスを節約するための最適な方法はフェールオーバー リンクの共有です。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステート リンク専用にすることを検討してください。
ステート リンク専用のデータ インターフェイス(物理、冗長、または EtherChannel)を使用できます。ステート リンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。
次の 2 つの方法のいずれかで、専用のステート リンクを接続します。
- ASA のフェールオーバー インターフェイスと同じネットワーク セグメント(ブロードキャスト ドメインまたは VLAN)に他の装置のないスイッチを使用する。
- イーサネット ケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。
装置間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらの装置のものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。
ASA は、銅線イーサネット ポートで Auto-MDI/MDIX をサポートしているため、クロスオーバー ケーブルまたはストレート ケーブルのいずれかを使用できます。ストレート ケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。
長距離のフェールオーバーを使用する場合のステート リンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバー メッセージの再送信により、どうしてもパフォーマンスが低下します。
- マルチ コンテキスト モードでは、ステートフル フェールオーバー リンクはシステム コンテキストに存在します。このインターフェイスとフェールオーバー インターフェイスが、システム コンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティ コンテキストに割り当てられ、セキュリティ コンテキスト内から設定されます。
- ステートフル フェールオーバー リンクが通常のデータ インターフェイスに設定されていない限り、ステートフル フェールオーバー リンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。
フェールオーバー リンクおよびステートフル フェールオーバー リンク経由で送信される情報は、フェールオーバー キーを使用して通信をセキュリティで保護しない限り、すべてクリア テキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザ名、パスワード、および事前共有キーが含まれています。この機密データをクリア テキストで転送することは、非常に大きなセキュリティ リスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバー キーによってセキュリティで保護することをお勧めします。
例
次に、共有フェールオーバーおよびステート リンクを含むプライマリ ユニットのフェールオーバー パラメータを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover mac address
物理インターフェイスのフェールオーバー仮想 MAC アドレスを指定するには、グローバル コンフィギュレーション モードで failover mac address コマンドを使用します。仮想 MAC アドレスを削除するには、このコマンドの no 形式を使用します。
failover mac address phy_if active_mac standby_mac
no failover mac address phy_if active_mac standby_mac
構文の説明
アクティブな ASA の指定したインターフェイスに割り当てられた MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。 |
|
スタンバイの ASA の指定したインターフェイスに割り当てられた MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
failover mac address コマンドを使用すると、Active/Standby フェールオーバー ペアの仮想 MAC アドレスを設定できます。仮想 MAC アドレスが定義されていない場合は、各フェールオーバー ユニットが起動したときに、それらのユニットではインターフェイスのバーンドイン MAC アドレスが使用され、それらのアドレスがフェールオーバー ピアと交換されます。プライマリ ユニットのインターフェイスの MAC アドレスが、アクティブ ユニットのインターフェイスに使用されます。
ただし、両方のユニットが同時にオンラインにならず、セカンダリ ユニットが最初に起動してアクティブになった場合、セカンダリ ユニットは、自身のインターフェイスにバーンドイン MAC アドレスを使用します。その後プライマリ ユニットがオンラインになると、セカンダリ ユニットはプライマリ ユニットから MAC アドレスを取得します。この変更によりネットワーク トラフィックが中断される可能性があります。インターフェイスに仮想 MAC アドレスを設定すると、セカンダリ ユニットがプライマリ ユニットよりも前にオンラインになり、アクティブ ユニットとなった場合でも、正しい MAC アドレスが使用されるようになります。
failover lan interface コマンドでは、フェールオーバーが発生した場合に IP アドレスおよび MAC アドレスが変更されないため、LAN ベースのフェールオーバーに設定されたインターフェイスでは、 failover mac address コマンドは不要であり、使用できません。このコマンドは、ASA が Active/Active フェールオーバーに設定されている場合には何も行いません。
コンフィギュレーションに failover mac address コマンドを追加する場合は、仮想 MAC アドレスを設定し、コンフィギュレーションをフラッシュ メモリに保存して、フェールオーバー ペアをリロードすることを推奨します。アクティブな接続が存在するときに仮想 MAC アドレスを追加すると、これらの接続は停止します。また、仮想 MAC アドレス指定を有効にするには、 failover mac address コマンドを含むコンフィギュレーション全体を、セカンダリ ASA のフラッシュ メモリに書き込む必要があります。
failover mac address がプライマリ ユニットのコンフィギュレーションに指定されている場合は、セカンダリ ユニットのブートストラップ コンフィギュレーションにも指定する必要があります。
(注) このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで mac address コマンドを使用して、フェールオーバー グループの各インターフェイスの仮想 MAC アドレスを設定します。
他のコマンドまたは方法を使用して MAC アドレスを設定することもできますが、1 つの方法だけを使用することを推奨します。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。
例
次に、intf2 という名前のインターフェイスのアクティブ MAC アドレスおよびスタンバイ MAC アドレスを設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover polltime
フェールオーバー ユニットのポーリング タイムおよびホールド タイムを指定するには、グローバル コンフィギュレーション モードで failover polltime コマンドを使用します。デフォルトのポーリング期間およびホールド タイムに戻すには、このコマンドの no 形式を使用します。
failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]
no failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec ] time ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
使用上のガイドライン
ユニットのポーリング タイムの 3 倍未満の値を holdtime の値として入力することはできません。ポーリング時間が短いほど、ASA は短時間で故障を検出し、フェールオーバーをトリガーできます。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要なスイッチオーバーが発生する可能性があります。
1 回のポーリング期間中に装置がフェールオーバー リンクで hello パケットを受信しなかった場合、残りのインターフェイスで追加テストが実行されます。それでも保持時間内にピア装置から応答がない場合、その装置は故障していると見なされ、故障した装置がアクティブ装置の場合は、スタンバイ装置がアクティブ装置を引き継ぎます。
failover polltime [ unit ] コマンドおよび failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。
(注) フェールオーバー設定で、CTIQBE トラフィックが ASA を通過する場合には、ASA のフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。
例
次に、ユニットのポーリング タイムの頻度を 3 秒に変更する例を示します。
次に、200 ミリ秒ごとに hello パケットを送信し、800 ミリ秒以内にフェールオーバー インターフェイスで hello パケットを受信しないとフェールオーバーを実行するように ASA を設定する例を示します。オプションの unit キーワードがコマンドに含まれています。
関連コマンド
|
|
|
|---|---|
Active/Standby フェールオーバー コンフィギュレーションのインターフェイス ポーリング期間およびホールド タイムを指定します。 |
|
Active/Active フェールオーバー コンフィギュレーションのインターフェイス ポーリング タイムおよびホールド タイムを指定します。 |
|
failover polltime interface
Active/Standby フェールオーバー コンフィギュレーションのデータ インターフェイスの polltime および holdtime を指定するには、グローバル コンフィギュレーション モードで failover polltime interface コマンドを使用します。デフォルトの polltime および holdtime を復元するには、このコマンドの no 形式を使用します。
failover polltime interface [ msec ] polltime [ holdtime time ]
no failover polltime interface [ msec ] polltime [ holdtime time ]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 failover poll コマンドから failover polltime コマンドに変更され、 unit キーワード、 interface キーワード、および holdtime キーワードが含まれるようになりました。 |
|
使用上のガイドライン
このコマンドは、Active/Standby フェールオーバーにのみ使用可能です。Active/Active フェールオーバーでは、フェールオーバー グループ コンフィギュレーション モードで polltime interface コマンドを使用します。
ポーリング時間が短いほど、ASA は短時間で故障を検出し、フェールオーバーをトリガーできます。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。
failover polltime unit コマンドと failover polltime interface コマンドの両方をコンフィギュレーションに含めることができます。
(注) フェールオーバー設定で、CTIQBE トラフィックが ASA を通過する場合には、ASA のフェールオーバー ホールド タイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブ タイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。
例
次に、インターフェイスの polltime の頻度を 15 秒に設定する例を示します。
次に、インターフェイスの polltime の頻度を 500 ミリ秒に、holdtime を 5 秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
Active/Active フェールオーバー コンフィギュレーションのインターフェイス ポーリング タイムを指定します。 |
|
failover poll-time link-state
インターフェイス リンク ステートのポーリング時間を変更するには、グローバル コンフィギュレーション モードで failover polltime link-state コマンドを使用します。リンクステート ポールをディセーブルにするには、このコマンドの no 形式を使用します。
failover polltime link-state msec poll_time
no failover polltime link-state msec poll_time
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
デフォルトでは、フェールオーバーのペアの ASA では、インターフェイスのリンク ステートが 500 ミリ秒ごとに確認されます。polltime はカスタマイズできます。たとえば、polltime を 300 ミリ秒に設定すると、ASA ではインターフェイスの障害やトリガーのフェールオーバーをより早く検出できるようになります。
アクティブ/アクティブ モードでは、システムに対してこのレートを設定します。フェールオーバー グループごとにこのレートを設定することはできません。
例
次に、リンクステートのポーリング時間を 300 ミリ秒に設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover reload-standby
スタンバイ ユニットを強制的にリブートするには、特権 EXEC モードで failover reload-standby コマンドを使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
フェールオーバー ユニットが同期化されないときにこのコマンドを使用します。スタンバイ ユニットが再起動し、起動終了後にアクティブ ユニットと再同期化されます。
例
次に、アクティブ ユニットで failover reload-standby コマンドを使用して、スタンバイ ユニットを強制的にリブートする例を示します。
関連コマンド
|
|
|
|---|---|
failover replication http
HTTP(ポート 80)接続のレプリケーションをイネーブルにするには、グローバル コンフィギュレーション モードで failover replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
このコマンドが、 failover replicate http から failover replication http に変更されました。 |
使用上のガイドライン
デフォルトでは、ステートフル フェールオーバーがイネーブルの場合、ASA は HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。 failover replication http コマンドを使用すると、ステートフル フェールオーバー環境において HTTP セッションのステートフル レプリケーションが可能になりますが、システムのパフォーマンスに悪影響がある可能性があります。
Active/Active フェールオーバー コンフィギュレーションでは、フェールオーバー グループ コンフィギュレーション モードで replication http コマンドを使用して、フェールオーバー グループごとに HTTP セッションのレプリケーションを制御します。
例
次に、HTTP 接続のレプリケーションをイネーブルにする例を示します。
関連コマンド
|
|
|
|---|---|
failover replication rate
バルク同期接続レプリケーション レートを設定するには、グローバル コンフィギュレーション モードで failover replication rate コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。
failover replication rate rate
構文の説明
コマンド デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
ステートフル フェールオーバーを使用したときの、ASA がスタンバイ ユニットへ接続を複製するレートを設定できます。デフォルトでは、接続は 15 秒間隔でスタンバイ装置に複製されます。ただし、バルク同期が発生すると(たとえば、フェールオーバーを最初にイネーブルにしたときなど)、1 秒あたりの最大接続数の制限のために、大量の接続を同期するのに 15 秒では不十分な場合があります。たとえば、ASASM での最大接続数を 800 万とします。800 万の接続を 15 秒間で複製するということは、1 秒あたり約 53 万 3 千の接続を作成するということです。ただし、1 秒あたりに許可される最大接続数は 30 万です。複製レートが 1 秒あたりの最大接続数以下になるように指定できるようになり、同期期間はすべての接続が同期されるまで調整されます。
例
次に、フェールオーバー レプリケーション レートを 1 秒あたり 20000 接続に設定する例を示します。
関連コマンド
|
|
|
|---|---|
failover reset
障害が発生した ASA を障害が発生していない状態に復元するには、特権 EXEC モードで failover reset コマンドを使用します。
failover reset [ group group_id ]
構文の説明
(任意)フェールオーバー グループを指定します。 group キーワードは、Active/Active フェールオーバーに対してのみ適用されます。 |
|
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
failover reset コマンドを使用すると、障害が発生したユニットまたはグループを、障害が発生していない状態に変更できます。 failover reset コマンドはいずれのユニットでも入力できますが、常にアクティブ ユニットでコマンドを入力することを推奨します。アクティブ ユニットで failover reset コマンドを入力すると、スタンバイ ユニットが障害が発生していない状態に復元されます。
show failover コマンドまたは show failover state コマンドを使用して、ユニットのフェールオーバー ステータスを表示できます。
Active/Active フェールオーバーでは、 failover reset を入力すると、ユニット全体がリセットされます。コマンドにフェールオーバー グループを指定すると、指定したグループのみがリセットされます。
例
次に、障害が発生したユニットを障害が発生していない状態に変更する例を示します。
関連コマンド
|
|
|
|---|---|
failover standby config-lock
フェールオーバー ペアのスタンバイ ユニットまたはスタンバイ コンテキストに対するコンフィギュレーションの変更をロックするには、グローバル コンフィギュレーション モードで failover standby config-lock コマンドを使用します。スタンバイ ユニットでのコンフィギュレーションを許可するには、このコマンドの no 形式を使用します。
no failover standby config-lock
構文の説明
コマンド デフォルト
デフォルトでは、スタンバイ ユニットまたはスタンバイ コンテキストに対するコンフィギュレーションは、警告メッセージ付きで許可されます。
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
通常のコンフィギュレーション同期以外の変更をスタンバイ ユニットに加えることができないように、スタンバイ ユニット(Active/Standby フェールオーバー)またはスタンバイ コンテキスト(Active/Active フェールオーバー)に対するコンフィギュレーション変更をロックできます。
例
次に、スタンバイ ユニットに対するコンフィギュレーションを許可しない例を示します。
関連コマンド
|
|
|
|---|---|
failover timeout
非対称ルーテッド セッションのフェールオーバー再接続タイムアウト値を指定するには、グローバル コンフィギュレーション モードで failover timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。
failover timeout hh [ : mm :[ : ss ]
no failover timeout [ hh [ : mm :[ : ss ]]
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
このコマンドは、 nailed オプションを指定した static コマンドとともに使用されます。 nailed オプションを指定すると、起動後、またはシステムがアクティブになった後、指定した時間内に接続を再確立できます。 failover timeout コマンドでは、その時間を指定します。設定しない場合は、接続を再確立できません。 failover timeout コマンドは、 asr-group コマンドには影響しません。
(注) nailed オプションを static コマンドに追加すると、その接続で TCP ステート トラッキングとシーケンス チェックがスキップされます。
このコマンドの no 形式を使用すると、デフォルト値に戻ります。 failover timeout 0 を入力しても、デフォルト値に戻ります。デフォルト値に設定すると、このコマンドは実行コンフィギュレーションに表示されません。
例
次に、スタンバイ グループ 1 をアクティブに切り替える例を示します。
関連コマンド
|
|
|
|---|---|
ローカル IP アドレスをグローバル IP アドレスにマッピングすることによって、固定の 1 対 1 のアドレス変換ルールを設定します。 |
fallback(廃止)
接続の整合性が低下した場合に Cisco Intercompany Media Engine が VoIP から PSTN へフォールバックするために使用するフォールバック タイマーを設定するには、uc-ime コンフィギュレーション モードで fallback コマンドを使用します。フォールバックの設定を削除するには、このコマンドの no 形式を使用します。
fallback { sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec }
no fallback fallback { sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec }
構文の説明
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
Cisco Intercompany Media Engine のフォールバック タイマーを指定します。
インターネット接続は、時間とともに品質が大幅に変化する可能性があります。そのため、接続の品質が良くてコールが VoIP 上で送信されたとしても、その接続品質は通話中に低下する可能性があります。エンド ユーザに対して全体にわたって良好な通話を保証するために、Cisco Intercompany Media Engine では通話中のフォールバックの実行が試みられます。
通話中のフォールバックを実行するには、インターネットから着信する RTP パケットを ASA でモニタし、情報を RTP Monitoring Algorithm(RMA)API に送信する必要があります。これにより、フォールバックが必要かどうかが ASA に示されます。フォールバックが必要になると、コールを PSTN へフォールバックする必要があることを通知するために、ASA から Cisco UCM に REFER メッセージが送信されます。
(注) SIP インスペクションに対して Cisco Intercompany Media Engine プロキシがイネーブルの場合、フォールバック タイマーは変更できません。フォールバック タイマーを変更する前に、Cisco Intercompany Media Engine プロキシを SIP インスペクションから削除します。
例
次に、フォールバック タイマーを指定するとともに、Cisco Intercompany Media Engine を設定する方法の例を示します。
ciscoasa(config)# uc-ime local_uc-ime_proxy
次に、感度ファイルを指定するとともに、Cisco Intercompany Media Engine を設定する方法の例を示します。
ciscoasa(config)# uc-ime local_uc-ime_proxy
関連コマンド
|
|
|
フォールバック通知、マッピング サービス セッション、およびシグナリング セッションに関する統計情報または詳細情報を表示します。 |
|
fast-flood
IS-IS リンクステート パケット(LSP)をフラッディングするには、ルータ ISIS コンフィギュレーション モードで fast-flood コマンドを使用します。高速フラッディングをディセーブルにするには、このコマンドの no 形式を使用します。
構文の説明
(任意)SPF の開始前にフラッディングする LSP の数です。指定できる範囲は 1 ~ 15 です。デフォルトは 5 分です。 |
デフォルト
コマンド モード
|
|
|
|
|||
|---|---|---|---|---|---|
|
|
|
|
|
||
|
|
|
||||
コマンド履歴
|
|
|
|---|---|
使用上のガイドライン
fast-flood コマンドでは、指定した数の LSP が ASA から送信されます。LSP 数を指定しない場合、デフォルトとして 5 が使用されます。LSP は、SPF の実行前に SPF を呼び出します。LSP フラッディング プロセスを高速化すると、ネットワークの全体的なコンバージェンス時間が向上します。
ASA は SPF 計算を実行する前に、少なくとも SPF をトリガーした LSP を常にフラッディングする必要があります。
コンバージェンス時間を短縮するために、ASA が SPF 計算を実行する前に、LSP の高速フラッディングをイネーブルにしておくことをお勧めします。
例
次の例では、 fast-flood コマンドを入力して、SPF 計算が開始される前に、SPF を呼び出す最初の 7 個の LSP をフラッディングするようにルータを設定しています。 show running-configuration コマンドを入力すると、出力から、ASA で高速フラッディングがイネーブルにされていることがわかります。
フィードバック