service-module コマンドが ASAバージョン 9.12(3)からサポートが開始されました。以下はその出力例です。
ASA5555# show run
: Saved
:
: Serial Number: FCH153xxxxx
: Hardware: ASA5555, 16384 MB RAM, CPU Lynnfield 2800 MHz, 1 CPU (8 cores)
:
ASA Version 9.12(3)9
!
terminal width 511
hostname ASA5555
enable password ***** pbkdf2
service-module 0 keepalive-timeout 4
service-module 0 keepalive-counter 6
service-module ips keepalive-timeout 4
service-module ips keepalive-counter 6
service-module cxsc keepalive-timeout 4
service-module cxsc keepalive-counter 6
service-module sfr keepalive-timeout 4
service-module sfr keepalive-counter 6
システムは定期的に service module の死活監視を行っています。何等か理由で当死活監視の間隔を調整したい場合、上記コマンドのデフォルト値(タイムアウトが4、カウントが6)を変更することで可能です。当コマンドを利用し、ASASMサービスモジュールや、レガシーIPSモジュール、レガシーNGFWモジュール(CXSC)、FirePOWERサービスモジュール(SFR)などのASAシステムの死活監視間隔のチューニングが可能です。
例えば、ASA5500-X with FirePOWER servicesを利用してる場合、FirePOWER service module の死活監視の間隔を タイムアウト 10秒に変更したい場合は以下コマンドで可能です。ASAや FirePOWERが過負荷になりやすい特殊な環境の場合、過負荷がシステム内の死活監視の処理失敗の原因になることがあり、サービスモジュール障害と検知されると、冗長構成の場合 Failover のトリガーとなります。 そのようなケースが頻発する環境の場合、かつ過負荷原因の取り除きが難しい場合、サービスモジュール障害の誤検知頻度を下げるために、当タイムアウト間隔の調整を検討することがあります。(補足: 冗長構成でサービスモジュール障害によりFailoverを一切発生させたくない場合は、no monitor-interface service-module コマンドが利用できます。service moduleコマンドは、障害検知は止めないが 検知間隔を遅らせたい場合に有効なコマンドです。)
service-module sfr keepalive-timeout 10
なお、特にエンジニアから指示の無い場合は、これらコマンドはデフォルト値の利用が推奨です。特別な理由なしに これらコマンドの設定変更は必要ありません。
当コマンドについて詳しくは、以下の Cisco ASA Series Command Reference を参照してください。
https://www.cisco.com/c/en/us/td/docs/security/asa/asa-command-reference/S/cmdref3/s1.html#pgfId-1850863
