購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
投稿メッセージを作成する
1875
閲覧回数
0
いいね!
4
返信

Failover時に特定のポートのIPアドレスがセカンダリ機に引き継がれないようにする設定

解決策を見る
CSCO10795163
Level 1
Level 1

‎2016-08-15 04:47 PM

Failoverの設定について疑問に思うことがあるので教えてください。

ActiveStandbyFailoverを使用しています。

insideとoutsideではFailoverをする(Link障害時にIPアドレスがセカンダリ機に引き継がれる)
ようにし、ManagementではFailoverをしないようにするには通常のFailoverの設定以外どのような
設定を入れればよいか疑問に思いました。

インタフェースに名前を付けるとFailoverが有効化され、名前を外すと設定しているIPアドレスが認識されなく
なりました。
モニタリングの対象から外すとManagementポートのLink障害では切り替わりが発生しないものの
insideやoutsideポートのLink障害でManagementポートのActive機のIPアドレスもセカンダリ機に
引き継がれてしまうのではと思っています。(現状でここまでの確認はできていません。)

inside、outside、Management共にIPアドレスを割り当てて使用するものとなります。

使用している機器はASA5510になります。

ラベル:
0 いいね!
2 件の受理された解決策

受理された解決策

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2016-08-15 05:39 PM

CSCO10795163さん、こんにちわ。

残念ですが、Management InterfaceのみIPアドレスの固定は難しいと思います。 各Interfaceに割り当てるIP設定コマンドは、"ip address <Active IP> standby <Standby IP>"であり、各ユニットのPriority(Primary/Secondary)ではなく、各ユニットのState(Active/Standby)に紐づいてます。 つまり、障害でActive機が変わった場合は、そのActive IPアドレスも切替わってしまいます。

なお、現在ログインしている機器がどのハードウェアか確認したい場合は、Priorityの確認が有効です。 Primary機か Secondary機かの情報は、Hardwareに紐づいてます。

"prompt hostname priority state"コマンドで、CLIのプロンプトで その機器のPriorityとStateを確認できます。 現在ログインしてるのがどちらのハードウェアか確認したい場合は、このPriority(Primary/Secondary)を見て確認するのが便利です。

ASA(config)# prompt hostname priority state
ASA/pri/act(config)#    <---- pri(primary)機にログイン中だとわかる

元の投稿で解決策を見る

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8
CSCO10795163に対する応答

‎2016-08-15 07:12 PM

CSCO10795163さん、こんにちわ! 早速のご返信有難うございます。

Active/Active構成の場合、設定できる Failover Groupは2つまで定義できます。 複数Contextを作成し、任意Contextを "Group 1"に、残りContextを "Group 2"に割当てます。 "Group 1"と "Group 2"ともに、各Group毎にActive/Standbyの構成を取ることが出来ます。 Active/ActiveのFailover構成の物理ASAの上で、2つのActive/Standbyの冗長ペアが仮想で動作してる・・・と、イメージ頂くと、しっくりくると思います。

そして、Primary機側を Group1をActiveに、Secondary機側を Group2をActiveにすることで、両機器とも何等かActiveで処理できるContextを用意する、という技術です。 つまり、Active/Activeは、従来のActive/Standbyを2重化した技術であって、両機器(PrimaryとSecondary)で同じContextを同時に処理・・という技術では残念ながら ありません。

また、Active/Active構成は、(私も含め) 導入後のメンテナンスで困っているお客様も多いので、個人的には避けられたほうが良い構成かなぁ・・・と思います。 両機器がContextが複雑に絡みあり同時に通信をする為、一度動かしてしまうと設定変更や 通信停止調整がし辛く、不具合対応でのアップグレードのメンテナンスなどもし辛い傾向になります。 仮に片側機器が停止すると、全てのContextが もう片側機器で全てActiveになってしまうため、片側器機器復旧後のContextの移動処理が必要で、それもまた通信停止調整が必要になってきます。 また、Active/Activeは その同期処理のため、その構成の維持でも、そこそこパフォーマンスを使ってしまったはずです。 

逆にActive/Standbyだと、常に片側が待機状態のため、設定もシンプルとなり、メンテもしやすいです。Standby機の停止処理にも、ほぼ気を使う必要がなく、気軽にできます。

元の投稿で解決策を見る

0 いいね!
4件の返信4

解決策を見る
Akira Muranaka
Level 8
Level 8

‎2016-08-15 05:39 PM

CSCO10795163さん、こんにちわ。

残念ですが、Management InterfaceのみIPアドレスの固定は難しいと思います。 各Interfaceに割り当てるIP設定コマンドは、"ip address <Active IP> standby <Standby IP>"であり、各ユニットのPriority(Primary/Secondary)ではなく、各ユニットのState(Active/Standby)に紐づいてます。 つまり、障害でActive機が変わった場合は、そのActive IPアドレスも切替わってしまいます。

なお、現在ログインしている機器がどのハードウェアか確認したい場合は、Priorityの確認が有効です。 Primary機か Secondary機かの情報は、Hardwareに紐づいてます。

"prompt hostname priority state"コマンドで、CLIのプロンプトで その機器のPriorityとStateを確認できます。 現在ログインしてるのがどちらのハードウェアか確認したい場合は、このPriority(Primary/Secondary)を見て確認するのが便利です。

ASA(config)# prompt hostname priority state
ASA/pri/act(config)#    <---- pri(primary)機にログイン中だとわかる
0 いいね!

解決策を見る
CSCO10795163
Level 1
Level 1
Akira Muranakaに対する応答

‎2016-08-15 06:29 PM

ありがとうございます!

やはりできないんですね。

監視をするときにこのIPアドレスからきたら1号機、このIPアドレスからきたら2号機というのが

わかるようにしておきたかったため確認しました。

今回の本題とは外れるかもしれませんが、確認する中でfailover groupというのがありました。

それはActiveActiveFailoverの場合のみ設定可能ということですよね。

同じ機器でコンテキストごとにActiveActiveFailoverとActiveStandbyFailoverを分けることは

聞いたことがないのですが、そういうことはできるのでしょうか?

0 いいね!

解決策を見る
Akira Muranaka
Level 8
Level 8
CSCO10795163に対する応答

‎2016-08-15 07:12 PM

CSCO10795163さん、こんにちわ! 早速のご返信有難うございます。

Active/Active構成の場合、設定できる Failover Groupは2つまで定義できます。 複数Contextを作成し、任意Contextを "Group 1"に、残りContextを "Group 2"に割当てます。 "Group 1"と "Group 2"ともに、各Group毎にActive/Standbyの構成を取ることが出来ます。 Active/ActiveのFailover構成の物理ASAの上で、2つのActive/Standbyの冗長ペアが仮想で動作してる・・・と、イメージ頂くと、しっくりくると思います。

そして、Primary機側を Group1をActiveに、Secondary機側を Group2をActiveにすることで、両機器とも何等かActiveで処理できるContextを用意する、という技術です。 つまり、Active/Activeは、従来のActive/Standbyを2重化した技術であって、両機器(PrimaryとSecondary)で同じContextを同時に処理・・という技術では残念ながら ありません。

また、Active/Active構成は、(私も含め) 導入後のメンテナンスで困っているお客様も多いので、個人的には避けられたほうが良い構成かなぁ・・・と思います。 両機器がContextが複雑に絡みあり同時に通信をする為、一度動かしてしまうと設定変更や 通信停止調整がし辛く、不具合対応でのアップグレードのメンテナンスなどもし辛い傾向になります。 仮に片側機器が停止すると、全てのContextが もう片側機器で全てActiveになってしまうため、片側器機器復旧後のContextの移動処理が必要で、それもまた通信停止調整が必要になってきます。 また、Active/Activeは その同期処理のため、その構成の維持でも、そこそこパフォーマンスを使ってしまったはずです。 

逆にActive/Standbyだと、常に片側が待機状態のため、設定もシンプルとなり、メンテもしやすいです。Standby機の停止処理にも、ほぼ気を使う必要がなく、気軽にできます。

0 いいね!

解決策を見る
CSCO10795163
Level 1
Level 1
Akira Muranakaに対する応答

‎2016-08-16 11:29 AM

ActiveActive構成についてもありがとうございます!

ActiveActive構成の実装はやったことありませんが、推奨ではないんですね。

また、ActiveActive構成についても理解できました。

0 いいね!
Customers Also Viewed These Support Documents