はじめに
本ドキュメントでは、ASAソフトウェアにおける冗長構成に関するSNMP監視方法について記載させていただいております。また、今回ASAソフトウェアバージョンはASA9.12.2を使用しております。
ASA冗長構成監視
対象機器として、ASAアプライアンスだけでなく、FPR2100やFPR4100などについても、ご使用いただくソフトウェアがASAの場合であれば、同様に以下のOIDを使用して冗長構成の監視をすることができます。
ASAの冗長監視に対応するOIDとその例は以下の通りです。
冗長構成の状態を表示するOID
*こちらはASAvでの検証結果となります。
バージョンや製品によって多少結果が異なる可能性がございます。
・1.3.6.1.4.1.9.9.147.1.2.1.1.1.2cfwHardwareInformation (Cisco Firewall Hardware Information)
・1.3.6.1.4.1.9.9.147.1.2.1.1.1.3cfwHardwareStatusValue (Cisco Firewall Hardware Status Value)
・1.3.6.1.4.1.9.9.147.1.2.1.1.1.4 cfwHardwareStatusDetail (Cisco Firewall Hardware Status Detail)
Failoverに関する設定例
主要設定の説明や補足・カスタマイズ情報は以下のURLに記載されております。
「ASA5500-X: Internet Firewall 設定例 (冗長構成)」
Failover設定確認例
以下の構成図におけるFailover設定の確認例を下記に示しております。
Acitve機器
Standby機器
SNMPマネージャによるMIB取得例
snmpwalkコマンドを使用して、監視対象のASAのFailoverにおけるActive、Standby情報を取得します。
snmpwalk -v バージョン -c コミュニティ名 監視対象IPアドレス
上記コマンドでコミュニティ名やバージョンが一致していれば、監視対象IPアドレスから情報を取得することができます。
この例では、1.3.6.1.4.1.9.9.147.1.2.1.1.1.3 配下の1.3.6.1.4.1.9.9.147.1.2.1.1.1.3.6はプライマリとして、設定した機器で1.3.6.1.4.1.9.9.147.1.2.1.1.1.3.7はセカンダリとして、設定した機器です。
またその結果として、[INTEGER:] の後の数字 9と10は、"9"はアクティブ機を示しており、"10"はスタンバイ機を示しています。
Active/Standbyステートの切り替え
ASAでは、Active/Standbyのそれぞれの状態に関して、Standbyステート機器でfailover activeコマンド もしくは、Activeステート機器でno fail overコマンド上記のいずれかを実行することで、Active/Standbyステータス切り替えることができます。
同じくsnmpwalkコマンドを使用して、Active/Standbyステータスの変更を確認することができます。切り替わった状態でのSNMP MIBの取得結果は以下のように変更されます。
SNMPオブジェクトナビゲータ
以下画面は、本ツールを使用したASAに関する冗長構成の状態を表示するOIDの検索例とその検索結果です。
参考情報
「ASA5500-X: Internet Firewall 設定例 (冗長構成)」