購入する または契約更新する
購入する または契約更新する
キャンセル
提案をオンにする
自動提案では、入力時に可能な一致が提案されるので検索結果を素早く絞り込むことができます。
次の結果を表示 
次の代わりに検索 
もしかして: 
cancel
新しい記事を作成する
1878
閲覧回数
3
いいね!
0
コメント

ASA: 設定同期の最適化(HA Config Sync Optimization)について

kyoshita
Cisco Employee
Cisco Employee

‎2023-08-31 06:34 PM

 

はじめに

ASA 9.18.1 / FTD 7.2リリースより追加された設定同期の最適化(HA Config Sync Optimization)により、アクティブユニットと参加ユニットの両方で計算されたハッシュが一致する場合、参加ユニットは完全な設定同期をスキップして HA に再参加します。この機能により、さらに迅速な HA ピアリングが可能になり、メンテナンスウィンドウとアップグレード時間が短縮されます。

 

 

変更点

以前まで

  1. 一台目の機器が起動し、HAピアは検出しないため、当該機器はACTIVEとなります。
  2. 次にもう一台の機器がスタートアップコンフィグを読み込み起動し、HAピアを検出すると読み込んだコンフィグをクリアし、アクティブ機のコンフィグの同期を実行します。

 

変更後

  1. 上記の2.の手順において、二台目の機器の起動後、HAピア両機にてコンフィグのハッシュ値の交換を実施し、コンフィグ内容の差異の有無につき確認を行います。
  2. コンフィグのハッシュ値が一致した場合、コンフィグのクリアおよびアクティブ機からのコンフィグ同期の実施をスキップします。

 

 

利点

  •  ACL、NAT 処理スレッドであるtmatch コンパイルプロセス負荷の軽減
  • HA ピアリングの高速化
  • アップグレード等のメンテナンスウィンドウ時間の短縮

 

 

制限事項

  • ASA バージョン 9.18.1 以降では、デフォルトで有効になっています。
  • ASA のマルチコンテキストモードは、設定同期最適化機能をサポートしています。
  • パスフレーズとフェールオーバー IPsec キーを設定すると、設定同期最適化機能の効果を得られません。
  • ダイナミック ACL または SNMPv3 を設定すると、設定同期最適化機能の効果を得られません。
  • アクティブユニットとスタンバイユニット間のフェールオーバー フラッピングの間、設定同期最適化機能はトリガーされず、完全な設定同期が実行されます。

 

 

シスログ、トラブルシューティング

追加されたシスログ

709009 Configuration on Active and Standby is matching. No Config Sync

709010 Configuration between units doesn't match. Going for config sync

709011 Total time to decide config sync or skip %u ms(milliseconds)

709012 Total time to sync the config %u ms(milliseconds)

709013 Skip configuration replication from mate as configuration on Active  and Standby is matching

 

例1: コンフィグが合致しない場合にセカンダリ機より出力されるシスログ

%ASA-5-709010: Configuration between units doesn't match. Going for config sync (1)

%ASA-6-709011: Total time to decide config sync or skip 60080 ms

%ASA-6-709012: Total time to sync the config 357030

 

例2: コンフィグが合致する場合にセカンダリ機より出力されるシスログ

%ASA-5-709009: (Secondary) Configuration on Active and Standby is matching. No config sync

%ASA-6-709011: Total time to decide config sync or skip 17000 msConfiguration on Active and Standby is matching.

%ASA-1-709013: Skip configuration replication from mate as configuration on Active and Standby is matching

 

設定同期の最適化の無効・有効化の設定方法

debug menu fover12 {1: Enable | 2: Disable}

 

  • 設定同期の最適化の有効化
asa# debug menu fover12 1

asa# show failover config-sync status
Config Sync Optimization is enable

 

  • 設定同期の最適化の無効化
asa# debug menu fover12 2

asa# show failover config-sync status
Config Sync Optimization is disabled

 

 

参考情報

 

 

Getting Started

検索バーにキーワード、フレーズ、または質問を入力し、お探しのものを見つけましょう

シスコ コミュニティをいち早く使いこなしていただけるよう役立つリンクをまとめました。みなさんのジャーニーがより良いものとなるようお手伝いします

Customers Also Viewed These Support Documents