Failover構成時に、AnyConnectのクライアントプロファイルをご利用いただく際の注意点を紹介いたします。

Client ProfileはXMLファイルとしてASAのフラッシュディスクに保存されているものですが、動作中は高速にアクセスを行う必要が有るため、メモリー上にキャッシュを作成し、その情報を参照しています。

その内容はdirコマンドを用いて確認することができます。また、moreコマンドで、内容を表示させることも可能です。

asa5520-30# dir cache:/stc/profiles

Directory of cache:/stc/profiles/

0      ----  336          17:46:36 Oct 21 2013  ACProfileSales.xml

45332480 bytes total (2100367360 bytes free)
asa5520-30#

一般的にはASDMのプロファイル設定画面から内容の変更を行いますが、その際にApplyボタンを押下するとフラッシュ上と、キャッシュ上の両方のファイルが更新されます。

また、キャッシュは揮発性のメモリ領域にあるため、起動時に再構成されますので、その場合にもフラッシュに保存されている内容のコピーが作られる事になります。

しかしながら、Failoverを構成している場合、AnyConnectのプロファイルは同期の対象から外れているために手動でコピーを行う必要があります。以下は、Cisco ASA 5500 Series Configuration Guide using the CLI, 8.4 and 8.6からの引用です。 (9.0でも当制限は同様です。)

Note Standby Failover does not replicate the following files and configuration components:
・AnyConnect images
・CSD images
・ASA images
・AnyConnect profiles
・Local Certificate Authorities (CAs)
・ASDM images

http://www.cisco.com/en/US/docs/security/asa/asa84/configuration/guide/ha_active_standby.html#wp1079487

この場合、コピーを行っただけではキャシュの内容が更新されないため、以下の手順をおこないStandby機への変更内容を適用させる必要があります。

[FailoverペアのActive機にて操作]

1. クライアントプロファイルを変更

2. Apply, Saveを行いファイルを保存

3. SCP等の手段を用い、プロファイルをStandby機に転送 (もしくは、Standby機にASDMアクセスし ファイルアップロード)

4. Standby機を手動再起動、もしくは、File > Save Running Configuration to Standby Unit (もしくは write standbyコマンド)を実行し、Standby機のフル同期とキャッシュ更新を実施

内容が更新されているかどうかは、前述のように、moreコマンドで確認することが可能です。