ASA配下の複数のBIG-IPのGUIにログインしようとすると1台しかログインできない事象について(それ以外はログアウトしてしまう)

HITOSHIYAMADA8041 · ‎2021-08-10

PC-----ASA-----[BIG-IPやSWなど]

構築過程で、上記のようにASAの配下にBIG-IPやスイッチなどの複数のNW機器をぶら下げている状態です。

ASAにPATの設定を入れて、1つのIPに対してSSH接続ならPort：221, 222, ・・・、HTTPS接続ならPort：4431, 4431, ・・・で接続すると配下の各NW機器にSSHやHTTPSで管理接続できるようにしています。

困っていることとして、ASAの配下に複数のBIG-IPがあって、HTTPS接続でその1つのGUIにログインしている状態でもう1つの方のGUIにログインすると、タイムアウト関係なしに先にログインしていたBIG-IPが勝手にログアウトしてしまいます。できるのであれば複数ログインしたままの状態にしたいのですが、ASAにセッション数についての設定や他に設定を入れるべきものがあるのでしょうか？

ちなみに複数の機器にSSH接続すると上記のように勝手にログアウトすることはありません。

Akira Muranaka · ‎2021-08-12

こんにちは！うーん、ASAの問題なのかちょっと疑問に思っております。クライアント側もしくは BIG-IP側のアプリなどの制限の可能性はないでしょうか。

なお、2台目接続時の、1台目ログアウト挙動発生時のASA側のログはどのように出力されてますでしょうか。例えば、クライアントや BIG-IP側からの TCP Restや FINなどによりセッションがTeardownしてる場合は、クライアントもしくは BIG-IP側からの依頼によりセッションダウンしてることになると思います。

あとは既に検討して頂いてるかもですが、ASA～BIG-IP間の管理セグメント？で使えるIPアドレスが潤沢な場合は、PATよりもNATを使ったほうが安定化するのではと思います。(例：BIG-IP 1号機に接続する場合は 192.168.1.1に送信元NAT、BIG-IP 2号機に接続する場合は 192.168.0.2に送信元NAT、...)

HITOSHIYAMADA8041 · ‎2021-08-26

いつもご回答ありがとうございます。

使っているブラウザと異なるブラウザを立ち上げると、各ブラウザで1つずつ異なる機器のGUI画面を開くこと、ログインできました。

セッションか何かの問題なのか。。。