ASAフェールオーバーでのスプリットブレイン問題のトラブルシューティング

ダウンロード オプション

  • PDF     (643.3 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (306.6 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (228.2 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2024 年 8 月 7 日
Document ID:217691

偏向のない言語

この製品のドキュメントセットは、偏向のない言語を使用するように配慮されています。このドキュメントセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブ ランゲージの取り組みの詳細は、こちらをご覧ください。

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

    はじめに

    このドキュメントでは、Cisco適応型セキュリティアプライアンス(ASA)フェールオーバーまたはFirepower Threat Defenseハイアベイラビリティペアのスプリットブレイン問題の修正について説明します。 

    前提条件

    要件

    ASA/FTDハイアベイラビリティペア(フェールオーバー)の動作の仕組み(フェールオーバーについて)について理解しておくことをお勧めします。

    使用するコンポーネント

    このドキュメントは、特定のソフトウェアやハードウェアのバージョンに限定されるものではなく、フェールオーバーでサポートされるすべてのASA/FTD導入に適用されます。

    このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されました。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。本稼働中のネットワークでは、各コマンドによって起こる可能性がある影響を十分確認してください。

    表記法

    表記法の詳細については、『シスコ テクニカル ティップスの表記法』を参照してください。

    スプリットブレインとは

    スプリットブレインとは、ASA/FTD HAのユニットがネットワーク上で互いを検出できず、両方がアクティブな役割を担うシナリオです。これにより、両方のユニットのインターフェイスIPアドレスとMACアドレスが同じになり、ネットワークで重大な不一致が発生してサービスが失われる可能性があります。

    HAがスプリットブレイン状態であるかどうかを確認するには、両方のユニットでコマンドshow failover stateを実行して、両方のボックスがアクティブであるかどうかを確認します。

    スプリットブレインの例

    プライマリ ユニット:

    ciscoasa1/act/pri# show failover state

                   State          Last Failure Reason      Date/Time
    This host  -   Primary
                   Active         None
    Other host -   Secondary
                   Failed         Comm Failure             02:39:43 UTC Jan 10 2022

    ====Configuration State===
            Sync Done - STANDBY
    ====Communication State==

    セカンダリ ユニット:

    ciscoasa2/act/sec# show failover state

                   State          Last Failure Reason      Date/Time
    This host  -   Secondary
                   Active         None
    Other host -   Primary
                   Failed         Comm Failure             02:39:40 UTC Jan 10 2022

    ====Configuration State===
            Sync Done
            Sync Done - STANDBY
    ====Communication State==

    接続されたデバイスのアクティブIPアドレスについて学習されたMACアドレスがすべて同じユニットでない場合、スプリットブレインによって停止が発生する可能性があります。たとえば、ネットワークトポロジを考えてみます。

    ラボのトポロジラボのトポロジ

    VMACがインターフェイスに割り当てられました。これは、macアドレステーブルを理解しやすくするために行われています。

    Inside (G0/2)    : Active MAC    - 00c1.1000.aaaa 
                              Standby MAC - 00c1.1000.bbbb

    Outside (G0/4) : Active MAC    - 00c1.2000.aaaa

                              Standby MAC - 00c1.2000.bbbb

    注:VMACが設定されていない場合、アクティブデバイスは常にプライマリユニットインターフェイスのMACを取得し、スタンバイはセカンダリMACを取得します。

    HAが正常な場合のスイッチのMACアドレステーブル:

    Switch#show mac address-table

     Mac Address Table
    -------------------------------------------
    Vlan   Mac Address      Type        Ports
    ----   -----------      --------    -----
    100    00c1.1000.aaaa   DYNAMIC     Gi1/0/5
    100    00c1.1000.bbbb   DYNAMIC     Gi1/0/1
    300    00c1.64bc.c508   DYNAMIC     Gi1/0/4
    300    00d7.8f38.8424   DYNAMIC     Gi1/0/8
    200    00c1.2000.aaaa   DYNAMIC     Gi1/0/7
    200    00c1.2000.bbbb   DYNAMIC     Gi1/0/3

    フェールオーバーリンクに障害が発生すると、アクティブユニットはアクティブのままになり、スタンバイはスタンバイのままになります。フェールオーバーリンクで3回連続してHELLOメッセージを受信しないユニットでは、フェールオーバーリンクを含む各データインターフェイスでLANTESTメッセージを送信し、ピアが応答するかどうかを検証します。ASAが実行するアクションは、相手側ユニットからの応答によって異なります。

    可能なアクションは次のとおりです。

    • ASAがフェールオーバーリンクで応答を受信しても、フェールオーバーは行われません。
    • ASAがフェールオーバーリンクで応答を受信しないものの、データインターフェイスで応答を受信する場合、ユニットはフェールオーバーしません。フェールオーバーリンクが障害としてマークされている。フェールオーバーリンクがダウンしている間はユニットはスタンバイにフェールオーバーできないため、できるだけ早くフェールオーバーリンクを復元できます。
    • ASAがいずれのインターフェイスでも応答を受信しない場合、スタンバイユニットはアクティブモードに切り替わり、相手側ユニットを障害ユニットとして分類します。これは、スプリットブレインシナリオにつながります。

    この段階では、両方のファイアウォール上のすべてのデータインターフェイスが、アクティブユニットと同様に動作します。そのため、アクティブ側のファイアウォールとスタンバイ側のファイアウォールのインターフェイスは、同じIPアドレスとMACアドレスを使用します。これにより、ポイズンARPエントリが原因でMACアドレステーブルの不整合が発生し、サービスが停止する可能性があります。

    注:フェールオーバーリンクは、フェールオーバーペア間のデータ(ユニットステート(アクティブ/スタンバイ)、Helloメッセージ、ネットワークリンクステータス、MACアドレス交換、設定の複製、および同期)の通信を行います。

    フェールオーバーの問題に対する予防的な準備

    スプリットブレイン状態に対してプロアクティブに準備するには、次の手順を実行します。

    • Be on the Cisco Recommended Golden Release:特定の条件下では、メモリリークなどの問題が原因でスプリットブレインが発生することもあります。シスコ推奨リリースを使用すると、このような状況の影響を大幅に軽減できます。
    • ネットワークトポロジ:すべてのインターフェイスが同時に障害を起こす可能性を減らすために、データインターフェイスとフェールオーバーリンクのパスを変えることを推奨します。
    • フェールオーバーインターフェイスにポートチャネルインターフェイスを使用する:ファイアウォールに未使用のインターフェイスがある場合は、それらをペアにしてポートチャネルを形成し、それをフェールオーバーリンクとして使用します。これにより、リンクの信頼性が向上し、シングルポイント障害(SPOF)が発生しなくなります。
    • フェールオーバーインターフェイスの遅延が大きすぎないことを確認します。ASA設定ガイドの「長距離フェールオーバーを使用する際の最適なパフォーマンスのために、ステートリンクの遅延は10ミリ秒未満かつ250ミリ秒以下になる可能性があります。遅延が10ミリ秒を超えると、フェールオーバーメッセージの再送信によってパフォーマンスが一部低下します。」
    • 導入に応じてPoll Timer/Hold Timer値を調整する:フェールオーバータイマーにすべてのアプローチに適合する単一サイズはありません。一般に、タイマーを低く設定すると、不要なフェールオーバーが発生する可能性があり(特に遅延がある場合)、高すぎる値を設定するとフェールオーバーの発生時間が長くなる可能性があります。これにより、顕著なフェールオーバーが発生します。Hold Timer値は5x Poll Timer値にする必要があります。
    • インターフェイス用の仮想MACアドレスの設定 – 「セカンダリユニットがプライマリユニットを検出せずに起動すると、セカンダリユニットがアクティブユニットになり、プライマリユニットのMACアドレスを認識しないので、独自のMACアドレスを使用する」という条件の下で行われます。プライマリユニットが使用可能になると、セカンダリ(アクティブ)ユニットではMACアドレスがプライマリユニットのMACアドレスに変更されるため、ネットワークトラフィックが中断する可能性があります。同様に、プライマリユニットを新しいハードウェアと交換すると、新しいMACアドレスが使用されます」

      仮想MACアドレスにより、この中断から保護されます。これは、アクティブなMACアドレスは起動時にセカンダリユニットで認識され、新しいプライマリユニットのハードウェアの場合には同じままであるためです。仮想MACアドレスを設定しない場合、トラフィックフローを復元するために、接続されたルータのARPテーブルをクリアする必要があります。詳細は、『フェールオーバーのMACアドレスとIPアドレス』を参照してください。

    • 両方のユニットのASA/FTDログを外部syslogサーバに送信します。この手順は問題の有用性を高めるために行います。

    スプリットブレインの考えられる原因

    すでに説明したように、スプリットブレインは、フェールオーバーリンクインターフェイス間の通信がダウンした場合(単方向または双方向)に発生します。最も一般的な原因は次のとおりです。

    • L1の問題 – ケーブル/SFP/インターフェイスの障害
    • 中継デバイスの問題
    • ASA/FTDでのメモリまたはCPUリソースの不足

      注:ASA/Linaエンジンは1550バイトのメモリブロックを使用して、処理用にパケットを格納します。このサイズの空きブロックの数がASA/FTDを枯渇させると、ASA/FTDはフェールオーバーパケットを処理できなくなります。show blocksを実行して、ブロックの枯渇を確認します。

    トラブルシューティング手順:フローチャート

    スプリットブレインシナリオをトラブルシューティングして解決するには、このフローチャートを使用して、Mainと書かれたボックスから開始します。ここで解決できない問題があります。そのような場合に備えて、シスコ テクニカル サポートへのリンクが用意されています。サービス要求を開くためには、有効なサービス契約が必要です。

    注:FTDの導入では、「system support diagnostics-cli」のこの図の手順に従ってください。

    フローチャートのトラブルシューティングフローチャートのトラブルシューティング

    スプリットブレインからの緊急リカバリ

    スプリットブレインからネットワークを回復するには、トラフィックが2つのファイアウォールの1つのみに到達するようにする必要があります。つまり、アクティブIP用に学習されたMACアドレスがすべて1つのユニットを指すようにする必要があります。そのためには、ユニットのフェールオーバーをディセーブルにするか、またはユニットをネットワークから完全に切断します。

    1. トラフィックが通過しないユニットでフェールオーバーを無効にします。
      • ASAプラットフォームで、CLIを介してconfiguration terminalに移動し、no failoverコマンドを入力します。
      • FTDプラットフォームでClishモードを介して、configure high-availability suspendコマンドを入力します。
    2. ASAの場合、データインターフェイスをシャットダウンします。FTDの場合は、接続されたデバイスのインターフェイスをシャットダウンします。または、インターフェイスを物理的に切断することもできます。また、デバイスの電源をオフにすることもできますが、デバイスの管理が制限されます。これを行う手順については、デバイス設定ガイドを参照してください。

    注:上記の手順を実行した後でも接続の問題が発生する場合は、接続されたデバイスに古いARPエントリが存在する可能性があります。アップストリームデバイスとダウンストリームデバイスのarpエントリを確認します。この問題を解決するには、これらをフラッシュするか、または正常に動作しているASA/FTDに、問題が発生しているインターフェイスIPのGARPパケットを強制的に送信させます。これを行うには、イネーブルモードでコマンドを実行します(システムでFTDがdiagnostics-cliをサポート)。debug menu ipaddrutl 6 <interface ip address>

    注意:スプリットブレインに関連する問題についてTACでサポートチケットをオープンする場合は、このドキュメントの「TACサービスリクエスト用に収集するデータ」セクションに記載されている情報を共有してください。

    TACと共有するデータ

    TACサービスリクエストをオープンする必要がある場合に備えて、記載されているデータを共有してください。

    1. ASA/FTD-HAおよびネイバーデバイスとの物理接続(フェールオーバーインターフェイスを含む)を示すトポロジダイアグラム。
    2. ASAのshow tech-supportまたはFTDを実行しているプラットフォームのトラブルシューティングファイルの出力。
    3. 問題が発生した+/- 5分間のタイムスタンプを含むsyslog。
    4. ハードウェアがFPRアプライアンスの場合は、FXOSのトラブルシューティングファイル。

    FTDまたはFXOSのトラブルシューティングファイルを生成するには、「Firepowerのトラブルシューティングファイル生成手順」を参照してください。 TAC SRを開きます。

    更新履歴

    改定 発行日 コメント
    2.0
    07-Aug-2024
    作成者の名前が更新されました。導入部の短縮表記、現在形に変更、固定形式。
    1.0
    17-Feb-2022
    初版
    TAC Authored

    シスコ エンジニア提供

    • メダヴィナガクマール
      テクニカルコンサルティングエンジニア
    • ダブビルカリシュマ
      Cisco TACエンジニア

    このドキュメントは役に立ちましたか?

    Feedbackフィードバック

    シスコに問い合わせ

    このドキュメントは次の製品に対応しています