解決済み: Re: ASA Failover後のActive機に通信ができない事象について

HITOSHIYAMADA8041 · ‎2019-08-11

ASAでFailoverを設定していますが、以下の事象が起きます。

同じような経験があるかた、この原因と解決策をご教示いただければ幸いです。

■ASA Failover 問題事象
・リンクダウンによるFailoverでASA#1からASA#2にAct-Stby切替後、ASA#2に他の機器からのping等通信が届かない。
※ASA#2のarpテーブルでは相手が見えてる。ASA,

・Act-Stby切替後、Act側(ASA#2)の各マルチコンテキストからpingをするとpingが返ってくるようになる。その後他の機器からもpingができるようになる。
ただし、adminコンテキストからはpingをしても返ってこない。adminコンテキストにはSSHもできない。
※adminコンテキストは管理ポートのみ。

Akira Muranaka · ‎2019-08-11

こんばんは！

接続スイッチで Portfastは有効でしょうか？切替わり時にASAはGARPを出し周囲機器にActStandby切り替えを通知しますが接続スイッチでPortfastが無効だったりすると STPの再計算時のブロッキング時などにGARPを止めてしまい周囲機器にうまく切替わりを通知できません。その場合に今回のような事象に遭遇したことはあります。設定ガイドにもASA接続スイッチはPortfastか同等機能は有効化してASAを接続するよう注意書きが記載あったと思います。

元の投稿で解決策を見る

Akira Muranaka · ‎2019-08-11

こんばんは！

接続スイッチで Portfastは有効でしょうか？切替わり時にASAはGARPを出し周囲機器にActStandby切り替えを通知しますが接続スイッチでPortfastが無効だったりすると STPの再計算時のブロッキング時などにGARPを止めてしまい周囲機器にうまく切替わりを通知できません。その場合に今回のような事象に遭遇したことはあります。設定ガイドにもASA接続スイッチはPortfastか同等機能は有効化してASAを接続するよう注意書きが記載あったと思います。

HITOSHIYAMADA8041 · ‎2019-08-12

ご回答ありがとうございます！

おそらく対向スイッチにportfastが入っていないから、というのが原因だと思われます。

ちなみにASAにもportfastの設定をすることは可能なのでしょうか？型番はASA5555です。

Akira Muranaka · ‎2019-08-12

こんばんは！

はい、対向スイッチでPortfastが無効だったりしてSTP再計算に時間かかる状態だと色々な奇妙な事象が発生するので、是非 Portfast(もしくは他社さんスイッチなら同等機能) 有効化にしてみてくださいね！

ASAのインターフェイスはルータと同じルーテッドポートなので即時リンクアップです。ASA5555はルーターと同様にSTPには対応してないので、Portfast設定もありません。

HITOSHIYAMADA8041 · ‎2019-08-15

何度もすいません。

GARPで切り替わりを通知するということは、ASAのAct-Stbyで切り替わる時、

IPアドレスとMACアドレスは両方とも引き継がれるということではなく、MACアドレスの切り替わりが発生するということでしょうか？

Akira Muranaka · ‎2019-08-15

YAMADAさん、こんにちは！

いえ、IPアドレスとMACアドレスは両方とも切り替わりが発生しますが、それだけでは周囲のスイッチやルーターは Active機の切り替わりを検知できません。

例えば、Primary機がActiveの場合、Failoverが発生すると、Primary機が使ってたActiveIP/MACアドレスを Secondary機が使うようになるため、周囲機器はそのSecondary機(新Active機)にスイッチングやルーティングするため、主にMACアドレステーブルのそのMACアドレス宛の宛先ポートの上書きが必要になります。つまり、周囲機器の経路切り替えのために、ASAはFailover時にGARPが送出してくれるので、このGARPの伝達を妨げないような周囲機器の設定(つまりPortfast利用や、STP再計算によるブロッキングの発生の防止)などが必要になります。

GARPについて、詳しくは以下ドキュメントが参考になるかと思いますので、ご参考まで！

https://community.cisco.com/t5/-/-/ta-p/3224179

HITOSHIYAMADA8041 · ‎2019-08-19

度々申し訳ございません。ご相談させてください。

障害テストで通信できなくなったときにASA側から対向ポートへpingを打つと返ってきて、管理ポート（Management0/0）以外のセグメントは通信できるようになっていたのでGARPに問題があると考えられます。

しかし、新Active機の管理ポートからは対向ポートへpingを打っても返ってこず、周辺機器からも通信できない状態です。

またSSHもできなくなりました。

管理ポートはadmin contextに属しているのですが、切り替わったときに正常に通信をさせるには特別な設定などが必要なのでしょうか？

Akira Muranaka · ‎2019-08-19

こんばんは！

何かしら対向スイッチの MACテーブルの問題などでパケットが予期せぬところに転送されてしまってる状態のように思います。

繰り返しになりますが、障害試験は対向スイッチでPortfast有効な状態でされてますか？されてない場合の試験だと、以下のガイドラインに基づいてない構成となってしまうので、まずはPortfastが有効な正しい構成で試験して頂くといいのかな、と思います。ガイド非準拠の構成で色々と切り分けても、未知のトラブルに該当するリスクばかり上がり、時間がもったいないのかな、と思います。:-D

https://www.cisco.com/c/en/us/td/docs/security/asa/asa910/configuration/general/asa-910-general-config/ha-failover.html#ID-2107-000003fe

抜粋：
Additional Guidelines
When the active unit fails over to the standby unit, the connected switch port running Spanning Tree Protocol (STP) can go into a blocking state for 30 to 50 seconds when it senses the topology change. To avoid traffic loss while the port is in a blocking state, you can enable the STP PortFast feature on the switch:

interface interface_id spanning-tree portfast

This workaround applies to switches connected to both routed mode and bridge group interfaces. The PortFast feature immediately transitions the port into STP forwarding mode upon linkup. The port still participates in STP. So if the port is to be a part of the loop, the port eventually transitions into STP blocking mode.

上記Portfastを実施しても問題が改善しない場合は、他に思い当たる点としては、例えば1つの管理インターフェイスは各Contextで共有する構成の場合、Shared Interfaceという構成で処理が複雑化し不具合も多かったはずです。古いバージョンを利用している場合はアップグレードや、あとはContext毎に固有の管理インターフェイスを例えばVlanで分けて割り当ててあげるとトラブルは発生しなくなるかと思います。

HITOSHIYAMADA8041 · ‎2019-08-19

ご回答ありがとうございます。

Portfastが有効な構成で障害試験を行いたいところなのですが、諸々の事情によりすぐには実行できないので

次回の試験時にぜひ考慮に入れてさせていただきます。