解決済み: ASAファイアウォールのトランスペアレントモードでのBPDU処理

TAKEHARU OGURA · ‎2020-07-17

ASA5508-XをTransparent modeでActive/Standbyの冗長構成を組む場合、ASAのStandby側はBPDUは通さないでしょうか？

ASA上ではRSTPなどの設定は行わず、Active側でBPDUを通過させ、前後のスイッチでRSTPを設定するといった構成を考えております。Transparent modeでActive/Standbyでの冗長構成を組んでいるStandby側ではBPDUが通過しないのであれば、RSTPの設計にも影響があるため、確認させていただければと思います。

参考資料の下記記載からは、一切の通信はStandby側は通過しないと読み取れますが、BPDUは特別にStandby側を通過するような挙動とならないか、念の為の確認ができればと思っております。

「アクティブ/スタンバイフェールオーバーの場合は、一方のユニットのみがトラフィックを渡すことができ、もう一方のユニットはスタンバイ状態で待機します。」

（参考）ASA/PIX：トランスペアレントモードでのアクティブ/スタンバイフェールオーバーの設定

https://www.cisco.com/c/ja_jp/support/docs/security/asa-5500-x-series-next-generation-firewalls/110740-asafailover-transparent-mode.html

Akira Muranaka · ‎2020-07-18

こんにちは！

ASAのStandby機はそもそもデータインターフェイス間のパケット転送能力が停止する待機状態のため、BPDUも通さないはずです。（かなり昔に検証したことあります。）以下は参考にして頂いてるURLからの抜粋です。
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/110740-asafailover-transparent-mode.html
--------------------------------------------------------
With Active/Standby Failover, only one unit passes traffic while the other unit waits in a standby state.

--------------------------------------------------------

また、経路でSTPやRSTPを利用していると、ASAのFailoverが発生した場合 ASAはすぐ切り替わりますが、周囲のスイッチポートの切り替わり遅延でBlocking状態になっていると、ASAのFailover時のGARPをBlockポートが遮断してしまい正しく切り替わらない原因になったり、Failoverのフラッピングの原因になるので、Transparentモードで冗長構成で導入する場合は、Portfastの利用もしくは周囲スイッチのSTP無効化(つまりBPDUは利用しない)ことが推奨されてます。STP有効化にしたままASA導入して、Failover試験時に暴れるというトラブルに遭遇するお客様を何社も見てきたので要注意です。。！上記URLに以下記載がありますので、合わせてご参考ください～。
--------------------------------------------------------
For failover, Cisco strongly recommends that customers enable portfast on all switch ports that connect to ASA interfaces. In addition, channeling and trunking must be disabled on these ports. If the interface of the ASA goes down within failover, the switch does not have to wait 30 seconds while the port transitions from a state of listening to learning to forwarding.
--------------------------------------------------------
Problem: Failover is always flapping after configuring the transparent Active/Standby multiple mode failover

Failover is steady when the inside interfaces of both ASAs are directly connected and outside interfaces of both ASA are directly connected. But failover is flapping when a switch is used in between.

Solution: Disable the BPDU on the ASA interfaces in order to resolve this issue.
--------------------------------------------------------

そのため、Transparentの冗長構成で導入する場合は、そもそもBPDUは流してはいけない、というのが答えになるかと思います。

ちなみに、Routedモードで利用時の場合も、ASAの冗長構成を利用時に ASAを収容するスイッチ側インターフェイスはPortfastにするかBPDUを切るのが推奨デザインになってます。

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-healt...

ご参考になれば！ :-)

元の投稿で解決策を見る

Akira Muranaka · ‎2020-07-18

こんにちは！

ASAのStandby機はそもそもデータインターフェイス間のパケット転送能力が停止する待機状態のため、BPDUも通さないはずです。（かなり昔に検証したことあります。）以下は参考にして頂いてるURLからの抜粋です。
https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/110740-asafailover-transparent-mode.html
--------------------------------------------------------
With Active/Standby Failover, only one unit passes traffic while the other unit waits in a standby state.

--------------------------------------------------------

また、経路でSTPやRSTPを利用していると、ASAのFailoverが発生した場合 ASAはすぐ切り替わりますが、周囲のスイッチポートの切り替わり遅延でBlocking状態になっていると、ASAのFailover時のGARPをBlockポートが遮断してしまい正しく切り替わらない原因になったり、Failoverのフラッピングの原因になるので、Transparentモードで冗長構成で導入する場合は、Portfastの利用もしくは周囲スイッチのSTP無効化(つまりBPDUは利用しない)ことが推奨されてます。STP有効化にしたままASA導入して、Failover試験時に暴れるというトラブルに遭遇するお客様を何社も見てきたので要注意です。。！上記URLに以下記載がありますので、合わせてご参考ください～。
--------------------------------------------------------
For failover, Cisco strongly recommends that customers enable portfast on all switch ports that connect to ASA interfaces. In addition, channeling and trunking must be disabled on these ports. If the interface of the ASA goes down within failover, the switch does not have to wait 30 seconds while the port transitions from a state of listening to learning to forwarding.
--------------------------------------------------------
Problem: Failover is always flapping after configuring the transparent Active/Standby multiple mode failover

Failover is steady when the inside interfaces of both ASAs are directly connected and outside interfaces of both ASA are directly connected. But failover is flapping when a switch is used in between.

Solution: Disable the BPDU on the ASA interfaces in order to resolve this issue.
--------------------------------------------------------

そのため、Transparentの冗長構成で導入する場合は、そもそもBPDUは流してはいけない、というのが答えになるかと思います。

ちなみに、Routedモードで利用時の場合も、ASAの冗長構成を利用時に ASAを収容するスイッチ側インターフェイスはPortfastにするかBPDUを切るのが推奨デザインになってます。

https://community.cisco.com/t5/%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3-%E3%83%89%E3%82%AD%E3%83%A5%E3%83%A1%E3%83%B3%E3%83%88/asa-%E5%86%97%E9%95%B7%E6%A9%9F%E8%83%BD%E3%81%A8-failover%E3%81%AE%E3%83%88%E3%83%AA%E3%82%AC%E3%83%BC-healt...

ご参考になれば！ :-)