キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
3094
閲覧回数
25
いいね!
10
返信

アクセスリストが適用されたASAとL3-SWの経路冗長化

お世話になります。

 

機器情報は以下となります。

--------------------------------------------------------------
★機器★

・ASA5506 1台
・C3560CX 2台 (Active/StandbyのHSRP構成)
--------------------------------------------------------------
★ケーブル接続構成★

・ASA5506 Gi1/1 ⇔ C3560CX(Active) Gi1/0/5
・C3560CX(Active) Gi1/0/11 ⇔ C3560CX(Standby) Gi1/0/11
・C3560CX(Active) Gi1/0/12 ⇔ C3560CX(Standby) Gi1/0/12
--------------------------------------------------------------
★コンフィグ設定★

・ASA5506

 interface GigabitEthernet1/1
   nameif inside
   security-level 100
   ip address 10.10.2.246 255.255.255.248

 

 access-group INBOUND in interface inside
 access-list INBOUND extended permit ~(省略)

 

 

・C3560CX(Active)

 interface Port-channel1
   switchport mode trunk

 

 interface GigabitEthernet1/0/5
   switchport access vlan 10
   switchport mode access
   spanning-tree portfast edge

 

 interface GigabitEthernet1/0/11
   switchport mode trunk
   spanning-tree portfast edge
   channel-group 1 mode active

 

 interface GigabitEthernet1/0/12
   switchport mode trunk
   spanning-tree portfast edge
   channel-group 1 mode active

 

 interface Vlan10
   ip address 10.10.2.242 255.255.255.248
   standby 10 ip 10.10.2.243
   standby 10 priority 120

 

 

・C3560CX(Standby)

 interface Port-channel1
   switchport mode trunk

 

 interface GigabitEthernet1/0/11
   switchport mode trunk
   spanning-tree portfast edge
   channel-group 1 mode active

 

 interface GigabitEthernet1/0/12
   switchport mode trunk
   spanning-tree portfast edge
   channel-group 1 mode active

 

 interface Vlan10
   ip address 10.10.2.241 255.255.255.248
   standby 10 ip 10.10.2.243
--------------------------------------------------------------------------------------------------

※ASA5506 Gi1/1のINBOUND側にアクセスリストが適用されています。


実現したい事は以下です。

--------------------------------------------------------------------------------------------------
★実現したい事★

ASA5506 Gi1/4にGi1/1と同じアクセスリストをINBOUND側に適用し、
ASA⇔L3-SW間をケーブル冗長構成にしたい。

「追加するケーブル接続」と「追加するコンフィグ設定」は以下です。

 

①追加するケーブル接続

・ASA5506 Gi1/4 ⇔ C3560CX(Standby) Gi1/0/5

 

②追加するコンフィグ設定

・ASA5506

 interface GigabitEthernet1/4
   nameif inside
   security-level 100
   ip address 10.10.2.245 255.255.255.248

 

・C3560CX(Standby)

 interface GigabitEthernet1/0/5
   switchport access vlan 10
   switchport mode access
   spanning-tree portfast edge
--------------------------------------------------------------------------------------------------

しかし、ASA5506 Gi1/4にアクセスリストが適用出来ませんでした。
原因は、同じセグメント内のIPアドレスを使用して複数のポートにアクセスリストが適用出来ないという
ASA5506の仕様によるものでした。


このままだと、アップリンク接続が「C3560CX(Active) → ASA5506」のみのシングル構成となり
「C3560CX(Standby) → ASA5506」が追加された冗長構成が実現出来ません。

 

どのようにすれば、ケーブルの冗長化が実現出来ますでしょうか?

 

ご教示いただければ、幸いでございます。

 

以上、宜しくお願い致します。

10件の返信10

Akira Muranaka
Level 8
Level 8

こんにちは。 

 

以下ドキュメントのRedundant Interfaceの設定を利用してみるのは如何でしょうか。

https://community.cisco.com/t5/-/-/ta-p/3164055

 

Redundant Interfaceは1つの論理インターフェイスとして動作し、

対向機器(Active)のダウンや ケーブル障害などによる物理的なインターフェイスダウン時に、

対向機器(旧Standby)に物理接続の自動切り替えが可能です。

お世話になっております。

 

ご返信ありがとうございます。

 

参照URLの設定をみると、ASA側のIPアドレスも増やさず、アクセスリストが

論理的なmember-interfaceに適用されてますね。

 

設定はASA側のみで、対抗L3-SWの設定を変更せずに済みそうです(VLANアクセスポートのため)。

 

ちなみに、仮に当設定をした場合、事実上ケーブル構成がトライアングルとなりますが

ループは発生しないのですか?

 

-------------------------------------------------------------------------

※トライアングル構成

・ASA ⇔ L3-SW(Active)

・ASA ⇔ L3-SW(Standby)

・L3-SW(Active) ⇔ L3-SW(Standby) ←ここでは2つのポートを使ってLAG構成

-------------------------------------------------------------------------

 

またループが発生する場合、ASAのINBOUND側のアクセスリストにBPDU通信を許可する設定は必要なのでしょうか?

 

お手数ですが、ご回答の程

宜しくお願い致します。

こんばんは!

 

Redundant Interfaceの member-interfaceは、standbyの待機時は パケット/フレームは通さず、仮にペアの片側インターフェイスの障害などで activeに昇格したらパケットを通しだします。ので、ループフリーな物理リンク冗長化技術です。

 

詳しくは以下ドキュメントなど参考になるかと思います。

https://community.cisco.com/t5/-/-/ta-p/3149206

お世話なります。

 

お返事ありがとうございます。


すいません、以下2点追加で確認させて下さい。

 

①ASA設定手順

 

前述で共有しました通り、[ASAのGi1/4 と L3-SW(Standby)のGi1/0/5] 間にStandby回線用のケーブルを結線する予定です。

現状、ASAのGi1/1 と Gi1/4のポート設定は以下です。
※現在、Gi1/4は未使用。

 

----------------------------------------------------
・ASA5506

 

 interface GigabitEthernet1/1
   nameif inside
   security-level 100
   ip address 10.10.2.246 255.255.255.248

 

 interface GigabitEthernet1/4
   shutdown
   bridge-group 1
   no nameif
   no security-level

----------------------------------------------------


上記状態からどの順番で設定すれば良いでしょうか?

 

まず前提準備として、[ASAのGi1/4 と L3-SW(Standby)のGi1/0/5] 間にStandby回線用のケーブルを結線します。

 

次からの設定に悩んでいます。

 

member-interfaceの設定をする前に、以下のように Gi1/1 と Gi1/4のポート設定を変更するのでしょうか?
※ここでは「余計なものを削除」する事になります。

 

 interface GigabitEthernet1/1
   no nameif inside
   no security-level 100
   no ip address 10.10.2.246 255.255.255.248
 exit

 

 interface GigabitEthernet1/4
    no bridge-group 1
    no nameif
    no security-level
      no shutdown
 exit

 

上記を実施後、通信ダウンが発生するかと思いますので
以下コマンドを即座に実施します。

 

 interface redundant 1
   member-interface GigabitEthernet 1/1
   member-interface GigabitEthernet 1/4
   nameif inside
   security-level 100
   ip address 10.10.2.246 255.255.255.248
   no shutdown
 exit

 

上記手順で一通りの設定は完了しますが、どうしても通信ダウンが発生します。
この通信ダウンは発生させたくないのですが、発生させない方法・手順があるのでしょうか?


②冗長構成後の障害時/復旧時

 例えばActive側がダウンした場合、Standby側がActiveに昇格するかと思いますが、
 この切り替わり時のダウン時間は瞬断的なものでしょうか?
 それとも数分レベルのダウンが発生するのでしょうか?


 また仮にActive側がダウンしてフェールオーバーする時に、

 セッションを張っていたユーザがいた場合(Ex:ユーザが外部→内部サーバとセッションを張っている場合)、
 セッションはそのまま引き継がれる仕様でしょうか?

 それとも一度セッションが切断され、再接続する必要があるのでしょうか?
 復旧(フェールバック)も同様の質問となります

 ※ここでいう「復旧」とは障害があったASAのGi1/1が復旧したことなります。

  おそらく手動作業 [shutdown → no shutdown] は不要という認識です。


お手数ですが、ご回答の程
宜しくお願い致します。

こんばんは!

 

①ですがASAの全く使ってないポート 2つで新規のRedundant interfaceを作成し、nameifを inside02などと設定し IPアドレスを適当な別セグメントIPを割り当て、インターフェイス切り替えてテストなど動作をまずはされてはいかがですか?特に既存ネットワークに影響なしに通信や member-interface切り替え試験ができると思います。

 

構成例:
192.168.10.254                                                      192.168.10.1
[ASA5506]inside02=======[適当スイッチやHUB]------[試験PC]

 

上記の試験が問題なさそうなら、既存のinsideインターフェイスのIPをnoコマンドで消してから、inside02にその既存インターフェイスIP(今回なら10.10.2.246)や、あとはinsideに適用してたACLなども移行すれば、最低限の設定変更で isnide02を新Gateway構成移行できるかとおもいます。しばらく運用して問題なければ nameif insideを設定してたインターフェイスの設定は完全に消せばいいですし、万が一何か問題が発生した場合は inside側に再度IPアドレスを戻せばすぐ復旧できるはずです。

 

構成にもよりますが、ダウンタイムは上記のinside02→insideへのIPアドレス付け替え時くらいかと思いますが、特に構成変更時は通信影響はつきものなので、構成変更時はダウンタイムを考慮して行うのが一般的ですよ!甘えすぎはよくありません! ;-) 

仮に僕のお客様がそんなこと言いだしたら「え、何言ってるんですか?」となだめます。そもそも、後々の構成変更による通信影響のリスクを抑えたい場合は 事前にしっかり設計・検証し導入するのが大事です。

 

 

②は以前検証したときは 切り替え自体は一瞬だったと思います。ASAはセッション管理は 論理インターフェイス(つまりinsideとoutside)間で行うので、member-interfaceダウンは物理インターフェイス切り替えで論理ダウンは発生しないので、member-interfaceの切り替え時はセッション切断影響もないはずです。これはLACPの片側インターフェイスダウン時もセッションは保護され通信継続可能なのと理屈と同じです。

 

あと、既にされているかもですが、ご自身で実際に検証して動作確認をされてみては如何でしょうか? 検証機が無い場合はASA5506でしたら5万円前後でAmazonさんや販社さんからも購入できますし。。ASA5506 1台あればほとんどのASA製品の検証ができます。

 

僕も 僕自身で実環境で大事なお客様向けに導入や構成変更を行う場合は、事前に 検証機利用して実機で想定通りに動作するか念のため確認するようにしてます。色々と手を動かして実機確認することで、新たな発見や勉強(あと想定外の動作や不具合との遭遇、、苦笑)などもあり、技術的な理解が深まり 結果的に設計精度の向上や将来のトラブル回避にも役立ちますよ。事前検証は本当にお勧めです。

もし検証や実導入で上記と違う結果になった場合は、是非このディスカッションボードなどで結果をシェアして頂けると助かります!

お世話になっております。

 

ご返信ありがとうございます。

 

 

>①ですがASAの全く使ってないポート 2つで新規のRedundant interfaceを作成し

 

テスト用として対向側にスイッチやハブを用意する事は出来ませんし、別セグメントIPも作成出来ないので
切り替えテストは出来ません。また新Gateway構成移行により新しいポートに移行する事は出来ません。
使用ポートはあくまでGi1/1とGi1/4です。また検証機の購入も出来ません。

 

あくまで本番一発勝負となります。

なので、手順としては以下を予定してます。

通信ダウンは発生しますが、一応の設定は出来ると認識しています。認識合っていますでしょうか?

 

①[ASAのGi1/4 と L3-SW(Standby)のGi1/0/5] 間にStandby回線用のケーブルを結線。


②ASAのGi1/4の設定を以下のように変更。

 

 -変更前-
 interface GigabitEthernet1/4
  shutdown
  bridge-group 1
  no nameif
  no security-level

 

  -投入コマンド-
 interface GigabitEthernet1/4
  no bridge-group 1
  no shutdown
  exit

 

 -変更後-
 interface GigabitEthernet1/4
  no shutdown
  no bridge-group 1
  no nameif
  no security-level

 ※未使用ポートの設定変更なので、通信ダウンはなし。


③ASAのGi1/1の設定を以下のように変更。

 

 -変更前-
 interface GigabitEthernet1/1
  nameif inside
  security-level 100
  ip address 10.10.2.246 255.255.255.248

 

  -投入コマンド-
 interface GigabitEthernet1/1
  no nameif inside    ←アクセスリストとの紐づけがなくなるだけで、アクセスリスト自体を削除するわけではない。
  no security-level 100
    no ip address 10.10.2.246 255.255.255.248
   shutdown
  exit

 -変更後-
 interface GigabitEthernet1/1
   no nameif inside
   nosecurity-level 100
   shutdown

 ※この時点で通信ダウンが発生。


④ASAに以下設定を即座に追加。

 

 interface redundant 1
  member-interface GigabitEthernet 1/1
  member-interface GigabitEthernet 1/4
  nameif inside
  security-level 100
  ip address 10.10.2.246 255.255.255.248
  no shutdown
 exit

 
 ※この時点で通信が復旧。冗長経路が構成される。


⑤以下ステータスを確認。※この時点で想定の結果でない場合、①~④の変更を切り戻す。

 

 ・ASAのGi1/1とGi1/4のリンクアップしている事。

 

 ・ASAのGi1/1がActive回線である事。
  ※show interface redundant 1のステータスが以下であればOK。
   Redundancy Information:
        Member GigabitEthernet1/1(Active), GigabitEthernet1/4

 

 ・L3-SW(Active/Standby)のGi1/0/5が共にリンクアップしている事。
  ※L3-SW(Standby)のGi1/0/5、は既にL3-SW(Active)と同様のVLANインターフェイスコマンド投入済。


⑥経路障害試験

 

 ・Standby回線を抜線しても、Active回線は変わらず、通信に影響がない事。
 ・Standby回線を結線しても、Active回線は変わらず、通信に影響がない事。
 ・Active回線を抜線した場合、Standby回線がActive回線に切り替わり、通信に影響がない事。
 ・Active回線を結線した場合、ダウンしていた回線がActive回線に、ダウン時に昇格した回線はStandby回線に切り替わり、

  通信に影響がない事。

 

 ※ご返信いただきました通り、ここでの通信影響はなし(あっても瞬断レベル)と認識してます。


尚、試験時にはL3-SW配下にあるサーバからASAの外向けにPingを継続的に発行。ここで通信ダウンを判断。

 

検証機がないので何が起こるかわかりませんので、変更時間帯は通信影響に影響する旨をユーザに連絡する予定です。

「事前にリンク冗長化せずに導入済み」「検証機を用意できない」「切り替えテストはできない」「ダウンタイムも時間とるの難しい」「一発勝負」
これらのタイトな制限を作られているのは、SHINKOMATSUZAKI3238さんやお客様ではないですか?構成変更作業で発生するリスクや影響、コストを軽視しすぎに思います。

検証機を購入するなり販社様から借りるか、販社様の(基本有償の)導入支援サービスを利用するか、お客様から費用をもらえない場合やこれ以上コストをかけるのは難しい場合は お客様に事情を説明し、現地で設定変更になるため "数時間" 単位で作業時間が欲しくその間は通信影響が発生する可能性がある事を伝えたうえで現地で余裕をもって作業をするか、のいずれかなのかなと思います。勿論、現地で色々と試す場合はリスクも大きいので、失敗したらリスケの調整も必要になります。

「ダウンタイムを最大限 短くすること、作業精度をあげて リスクを下げること」と「事前検証や顧客説明と調整に手間暇かけることや コストを払う(and/or 払ってもらう)こと」はトレードオフの関係です。バランスをとり、要求と リスク・時間・コストなどが釣り合わない場合は、その理由を説明し調整するのはエンジニアの重要な仕事の1つです。

厳しいようですが、頑張ってください。

追伸)no nameifでinsideを消すと、insideに紐づいていたaccess-groupやNAT設定など既存設定が消えてしまうはずなので、redundant interfaceにinsideを設定後は insideに紐づいてたaccess-groupやNATの再設定を行い、WinMergeなど差分比較ツールで Interface設定以外の他のACLやNAT、Routingなどの設定差分が無いか比較されるとよいかと思います。順調にいけば1時間以内で作業は終わるかと思います。

お世話になっております。

 

ご返信ありがとうございます。

 

検証機器・顧客との調整について、検討させていただきます。

ご指摘ありがとうございました。

 

すいません、少し気になったので追加で以下①②を質問させて下さい。

 

①追伸でご記載下さった内容

ASAのGi1/1で「no nameif inside」で削除後、関連付けられたコマンドが全て削除されるとの事ですが
インターフェイス名「inside」に紐付けれたコマンド全てという認識でしょうか?

現Show running-configから「inside」が入ったコマンドを以下にピックアップしました。
以下が削除されるものと認識してます。

 

-----------------------------------------------
mtu inside 1500
icmp permit any inside
access-group INBOUND in interface inside
route inside
http (IP情報の為、省略) inside
telnet (IP情報の為、省略) inside
ssh  (IP情報の為、省略) inside
-----------------------------------------------

 

ちなみに、アクセスリスト(access-list INBOUND~)には「inside」という文字が入っていないので、
アクセスリストは削除されないと認識してます。
また「outside」は削除しないので、無影響と考えております。
なので、追加コマンドは上記コマンド群のみであり、単純に再追加する予定です。
※勿論、再追加後はWinMergeにて差分比較します。


sshで「no nameif inside」を実行しようとしましたが、
実行した瞬間にASAに接続出来なくなりそうなので、念をもって作業時はコンソールにて作業します。

 


②対向のL3-SWのHSRPステータスについて

 

こちらはL3-SWのHSRPにてActive/Standby構成で冗長化されていますが、
経路障害試験で「ASA Gi1/1 ⇔ L3-SW(Active) Gi1/0/5」を抜線した際、
VLAN10のHSRPは切り替わるのでしょうか?
L3-SWにはオブジェクトトラッキングの設定が入っていないので、L3-SWのWAN側(ASA方向)の経路がダウンした場合、
経路ダウンが未検知状態となり、HSRPはActiveのままと認識していますが相違ありませんでしょうか?
ちなみにL3-SWには他VLANも存在し、各々にHSRPの設定をしていますが、グループIDは各々で異なり独立しています。


お手数ですが、ご回答の程
宜しくお願い致します。

こんばんは!

検証機用意や お客様と調整予定とのことで素晴らしいですね!

質問①ですが、実機でも試していただければと思いますが、アクセスリストは直接 insideインターフェイスに紐づいてないので、消してもアクセスリストは消えません。逆に直接紐づけられている設定は消去されます。

[Gi0/0のnameif inside消す前の設定抜粋]

ASA(config)# show run | in inside|interface|INSIDE-ACL
interface GigabitEthernet0/0
nameif inside
   --- 略 ---
access-list INSIDE-ACL extended permit ip any any
mtu inside 1500
nat (manage,inside) source dynamic any interface
access-group INSIDE-ACL in interface inside
route inside 0.0.0.0 0.0.0.0 192.168.0.1 1
http 0.0.0.0 0.0.0.0 inside
telnet 0.0.0.0 0.0.0.0 inside
ssh 0.0.0.0 0.0.0.0 inside

[Gi0/0のnameif insideを消した後]

ASA(config)# interface gi 0/0
ASA(config-if)# no nameif
ASA(config-if)#
ASA(config-if)# show run | in inside|interface|INSIDE-ACL interface GigabitEthernet0/0 --- 略 --- access-list INSIDE-ACL extended permit ip any any <--- アクセスリスト以外は全て消失


追加質問②は ご指摘の通り HSRPのオブジェクトトラッキング、もしくは直収ならインターフェイストラッキングを併用し、アップリンクダウンを検知時のスイッチ側も経路の切り替えが必要かと思います。私はスイッチの冗長は スタックやVSS利用派で、HSRPはあまり詳しくなく、以下サイトさんからの情報になりますが。。
https://www.cisco.com/c/en/us/support/docs/ip/hot-standby-router-protocol-hsrp/9234-hsrpguidetoc.html#intracking
https://www.cisco.com/c/ja_jp/support/docs/ip/hot-standby-router-protocol-hsrp/9281-3.html#q3
https://www.infraexpert.com/study/fhrpz04.html

http://kazunetproject.site/711/

お世話になっております。

 

ご返信ありがとうございます。

 

>クセスリストは直接 insideインターフェイスに紐づいてないので、消してもアクセスリストは消えません。

わざわざ設定例までご提示いただきありがとうございます。

納得出来ました。

 

>以下サイトさんからの情報になりますが。。

参照サイトのご案内ありがとうございます。

HSRPのオブジェクトトラッキング仕様については、

調査と並行して別途新規問い合わせをコミュニティサイトに投稿して情報を仕入れてみます。