はじめに
ASAのActive/Standbyの冗長構成(Failover pair)では、Active機が通信を処理し、Standby機は待機状態となります。
何らかの理由で、Active機とStandby機の両方の再起動が必要な場合、本ドキュメントの手順で実行することで、通信影響を抑え 両機器の再起動が可能です。
本ドキュメントは、ASAバージョン 9.4(3)12の、Active/Standbyの冗長ペアを用いて確認、作成しております。
Failover時の注意事項
通信影響を抑え 両機器を再起動するには、ステート同期(Stateful Failover)が有効である必要があります。 ステート同期が有効な場合、TCPやUDP、NAT、ARP、VPN、DynamicRoutingなど様々なステートを 逐次Standby機に同期してます。 Active機の手動 もしくは 障害切り替え時に、新Active機(旧Standby機)でステートを引き継ぎ通信継続が可能です。
Internet-FW-01/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet1/3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 40 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.4(3)12, Mate 9.4(3)12
--- snip ---
Stateful Failover Logical Update Statistics <---- THIS
Link : fover GigabitEthernet1/3 (up) <---- THIS
Stateful Obj xmit xerr rcv rerr
General 709 0 4288 0
sys cmd 663 0 663 0
up time 0 0 0 0
RPC services 0 0 0 0
TCP conn 0 0 0 0
UDP conn 0 0 0 0
ARP tbl 44 0 3624 0
なお、以下などのステート情報は、Active機・Standby機間で同期されないため、以下に該当通信は Active/Standbyの切り替え(Failover)時に通信影響が発生する恐れがあります。 そのため、以下通信を多用時で 通信影響が懸念される場合などは、通信影響の少ない時間帯やメンテナンス時間でのFailoverの実行をお勧めします。
- Clientless SSL VPNの一部機能 (Smart Tunnel、Port Forwarding、Pluginなど)
- Multicast Routing
- HTTPコネクション (※failover replication http未設定時のみ)
- TCPステートバイパス (※advanced-options tcp-state-bypass設定時のみ)
- FirePOWERモジュール
なお、HTTPは 通常リクエスト-レスポンス型のステートレス通信であること、TCPステートバイパスもステートレス通信であるため、これら通信の Failover時の通信影響の発生リスクは低いです。
また、Active/Standbyの切り替え(Failover)時は 周囲にGARPを送付することで、周囲機器(スイッチやルータなど)の経路切り替えを行いますが、このASAや 周囲機器のARP/MACテーブル更新・経路切り替えのタイミングで 数百ミリ秒~数秒程度のパケットロスが発生することがあります。なお、通常 アプリケーション通信は多少のパケットロスは 再送で補完されるため、通信影響の発生リスクは非常に低いです。
Standbyは通信処理を行わず待機状態のため、Standby機の再起動時は通信影響は発生しません。
事前準備
CLIでの操作時、予め prompt hostname state priorityコマンドを実行しておくと、プロンプトにActive(act)/Standby(stby)状態が表示され、便利です。
Primary(Active)機でコマンド実行例
Internet-FW-01(config)#
Internet-FW-01(config)# prompt hostname priority state
Internet-FW-01/pri/act(config)#
Secondary(Standby)機のプロンプト
Internet-FW-01/sec/stby#
ActiveとStandbyの両機器の再起動方法
Note:
当手順は、Telnet/SSH、もしくは Console経由で実施可能です。 なお、Telnet/SSH経由の場合、Failover発生時に管理IPアドレスのSwap(切替え)が発生するため、管理アクセスの接続しなおしが必要となります。
1. Active機から show failoverコマンドを実行し 以下などを確認します。
- 両機器が冗長ペアとして正しく認識していること
- 対向機がStandby Readyであること
- 各監視対象のInterfaceやModule(利用時)がUp/Monitoredであること
また、両機器で設定の保存を行ってください。 Active機でwrite memoryコマンドを実行すると、Standby機の設定も自動保存されます。
Internet-FW-01/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet1/3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 40 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.4(3)12, Mate 9.4(3)12
Last Failover at: 00:25:45 JST Apr 3 2017
This host: Primary - Active
Active time: 1086 (sec)
slot 1: ASA5506 hw/sw rev (1.1/9.4(3)12) status (Up Sys)
Interface outside (1.150.0.197): Normal (Monitored)
Interface inside (192.168.0.254): Normal (Monitored)
Interface manage (0.0.0.0): Normal (Waiting)
slot 2: SFR5506 hw/sw rev (N/A/5.4.1.5-24) status (Up/Up)
ASA FirePOWER, 5.4.1.5-24, Up
Other host: Secondary - Standby Ready <--- THIS
Active time: 5078 (sec)
slot 1: ASA5506 hw/sw rev (1.1/9.4(3)12) status (Up Sys) <--- THIS
Interface outside (1.150.0.198): Normal (Monitored) <--- THIS
Interface inside (192.168.0.253): Normal (Monitored) <--- THIS
Interface manage (0.0.0.0): Normal (Waiting)
slot 2: SFR5506 hw/sw rev (N/A/6.0.0.1-26) status (Up/Up) <--- THIS
ASA FirePOWER, 6.0.0.1-26, Up
--- snip ---
Internet-FW-01/pri/act#
Internet-FW-01/pri/act# write memory
Building configuration...
Cryptochecksum: e1e9e603 b51ad8c3 5d1de4ee e5adbb38
5404 bytes copied in 0.190 sec
[OK]
Internet-FW-01/pri/act#
2. まずStandby機の再起動を実行します。 以下の何れかの方法で実行可能です。
2.1. Primary機から再起動する場合:
failover reload-standbyコマンド実行
Internet-FW-01/pri/act# failover reload-standby
Internet-FW-01/pri/act#
2.2. Secondary機から再起動する場合:
手動で機器の再起動、もしくは standby機ログインしreloadコマンド実行
Internet-FW-01/sec/stby# reload
Proceed with reload? [confirm]
Internet-FW-01/sec/stby#
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module
3. Standby機の起動まで待ちます。 ASAの設定量にもよりますが、通常 数分~10分程度で完了します。
4. Active機から show failoverコマンドを実行し 以下などを確認します。
- 両機器が冗長ペアとして正しく認識していること
- 対向機がStandby Readyであること
- 各監視対象のInterfaceやModule(利用時)がUp/Monitoredであること
Internet-FW-01/pri/act# show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet1/3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 3 of 40 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.4(3)12, Mate 9.4(3)12
Last Failover at: 00:25:45 JST Apr 3 2017
This host: Primary - Active
Active time: 1705 (sec)
slot 1: ASA5506 hw/sw rev (1.1/9.4(3)12) status (Up Sys)
Interface outside (1.150.0.197): Normal (Monitored)
Interface inside (192.168.0.254): Normal (Monitored)
Interface manage (0.0.0.0): Normal (Waiting)
slot 2: SFR5506 hw/sw rev (N/A/5.4.1.5-24) status (Up/Up)
ASA FirePOWER, 5.4.1.5-24, Up
Other host: Secondary - Standby Ready <--- THIS
Active time: 0 (sec)
slot 1: ASA5506 hw/sw rev (1.1/9.4(3)12) status (Up Sys) <---- THIS
Interface outside (1.150.0.198): Normal (Monitored) <--- THIS
Interface inside (192.168.0.253): Normal (Monitored) <--- THIS
Interface manage (0.0.0.0): Normal (Waiting)
slot 2: SFR5506 hw/sw rev (N/A/6.0.0.1-26) status (Up/Up)<--- THIS
ASA FirePOWER, 6.0.0.1-26, Up
5. Failover(Active/Standbyの手動切り替え)のため、Active機で no failover activeコマンドを実行します。
TelnetやSSHで各機器に管理アクセスしていた場合は、Failover実行後に 管理IPアドレスのSwap(入れ替え)が発生するため、各Active機・Standby機 管理IPに再度アクセスしなおします。
Internet-FW-01/pri/act# no failover active
Internet-FW-01/pri/act#
Switching to Standby
Internet-FW-01/pri/stby#
6. 新Standby機 (旧Active機)で reloadコマンドを実行し、再起動します。
Internet-FW-01/pri/stby# reload
Proceed with reload? [confirm]
Internet-FW-01/pri/stby#
***
*** --- START GRACEFUL SHUTDOWN ---
Shutting down isakmp
Shutting down webvpn
Shutting down sw-module
よくある質問
時間を指定しての再起動は可能ですか?
はい、可能です。詳しくは以下ドキュメントを参照ください。
参考情報
ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736
Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733
