Cisco Secure Firewall ASA シリーズコマンドリファレンス、A ～ H コマンド

failover

フェールオーバーをイネーブルにするには、グローバルコンフィギュレーションモードで failover コマンドを使用します。フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。

failover

no failover

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

フェールオーバーはディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、コンフィギュレーションでのフェールオーバーのイネーブルまたはディセーブルに限定されました（failover active コマンドを参照）。

使用上のガイドライン

フェールオーバーをディセーブルにするには、このコマンドの no 形式を使用します。

注意	フェールオーバーリンクおよびステートフルフェールオーバーリンク経由で送信される情報は、フェールオーバーキーを使用して通信をセキュリティで保護しない限り、すべてクリアテキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザー名、パスワード、および事前共有キーが含まれています。この機密データをクリアテキストで転送することは、非常に大きなセキュリティリスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバーキーによってセキュリティで保護することをお勧めします。

ASA 5505 デバイスでは、ステートレスフェールオーバーのみが、Easy VPN ハードウェアクライアントとして動作していないときにのみ許可されます。

例

次に、フェールオーバーをディセーブルにする例を示します。


ciscoasa(config)# no failover
ciscoasa(config)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover active	スタンバイユニットをアクティブに切り替えます。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover active

スタンバイの ASA またはフェールオーバーグループをアクティブステートに切り替えるには、特権 EXEC モードで failover active コマンドを使用します。アクティブな ASA またはフェールオーバーグループをスタンバイに切り替えるには、このコマンドの no 形式を使用します。

failover active [ group group_id ]

no failover active [ group group_id ]

構文の説明


group `group_id`	（任意）アクティブにするフェールオーバーグループを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが、フェールオーバーグループを含むように変更されました。

使用上のガイドライン

スタンバイユニットからのフェールオーバー切り替えを開始するには failover active コマンドを使用し、アクティブユニットからのフェールオーバー切り替えを開始するには no failover active コマンドを使用します。この機能を使用して、障害が発生したユニットを稼働させたり、メンテナンスのためにアクティブユニットをオフラインにしたりできます。ステートフルフェールオーバーを使用していない場合、すべてのアクティブ接続がドロップされるため、クライアントはフェールオーバーの発生後、接続を再確立する必要があります。

フェールオーバーグループの切り替えは、Active/Active フェールオーバーでのみ使用できます。Active/Active フェールオーバーユニットでフェールオーバーグループを指定しないで failover active コマンドを入力すると、ユニットのすべてのグループがアクティブになります。

例

次に、スタンバイグループ 1 をアクティブに切り替える例を示します。


ciscoasa# failover active group 1

コマンド	説明
failover reset	ASA を障害発生状態からスタンバイに移行します。

failover cloud authentication

ASA 仮想でサービスプリンシパルを使用した Microsoft Azure への認証ができるようにするには、グローバルコンフィギュレーションモードで failover cloud authentication コマンドを使用します。Microsoft Azure 認証を無効にするには、このコマンドの no 形式を使用します。

failover cloud authentication { application-id appl-id | directory-id dir-id | key secret-key }

no failover cloud authentication { application-id appl-id | directory-id dir-id | key secret-key [ encrypt ] }

構文の説明


application-id `appl-id`	Azure インフラストラクチャからアクセスキーを要求するときに必要なアプリケーション ID を指定します。
directory-id `dir-id`	Azure インフラストラクチャからアクセスキーを要求するときに必要なディレクトリ ID を指定します。
key `secret-key`	Azure インフラストラクチャからアクセスキーを要求するときに必要な秘密キーを指定します。encrypt キーワードが存在する場合、この秘密キーは実行コンフィギュレーションで暗号化されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

自動的に API 呼び出しによって Azure ルートテーブルが変更されるようにするには、ASA 仮想 HA ユニットに Azure Active Directory のログイン情報が必要です。Azure は、簡単に言えばサービスアカウントであるサービスプリンシパルの概念を採用しています。サービスプリンシパルを使用すると、あらかじめ定義された Azure リソースセット内でタスクを実行するのに十分な権限と範囲のみを持つアカウントをプロビジョニングできます。

Azure リソース（ルートテーブルなど）へのアクセスまたはリソースの変更が必要となるアプリケーションがある場合は、Azure Active Directory（AD）アプリケーションを設定し、必要な権限を割り当てる必要があります。

Azure ポータルに Azure AD アプリケーションを登録すると、アプリケーションオブジェクトとサービスプリンシパルオブジェクトの 2 つのオブジェクトが Azure AD テナントに作成されます。サービスプリンシパルオブジェクトは、特定のテナントでのアプリケーションの使用に関するポリシーと権限を定義し、アプリケーション実行時のセキュリティプリンシパルの基礎を提供します。

サービスプリンシパルを設定したら、Directory ID 、Application ID 、および Secret key を取得します。これらは、Azure 認証クレデンシャルを設定するために必要です。

（注）

Azure は、『Azure Resource Manager Documentation』で Azure AD アプリケーションとサービスプリンシパルを作成する方法について説明しています。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションに Azure 認証クレデンシャルを追加する例を示します。


(config)# failover cloud authentication application-id dfa92ce2-fea4-67b3-ad2a-6931704e420
(config)# failover cloud authentication directory-id 227b0f8f-684d-48fa-9803-c08138b77ae9
(config)# failover cloud authentication key 5yOhH593dtD/O8gzAlWgulrkWz5dH02d2STk3LDbI4c=
(config)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover active	スタンバイユニットをアクティブに切り替えます。
failover cloud subscription-id	パブリッククラウドフェールオーバーコンフィギュレーションに Azure サブスクリプション ID を追加します。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud peer

パブリッククラウドフェールオーバーピアを設定するには、グローバルコンフィギュレーションモードで failover cloud peer コマンドを使用します。フェールオーバーピアを無効にするには、このコマンドの no 形式を使用します。

failover cloud peer { ip ip-address | port port-number }

no failover cloud peer

構文の説明


ip `ip-address`	パブリッククラウド HA ピアへの TCP フェールオーバー制御接続を確立するために使用する IP アドレスを指定します。
port `port-number`	Azure インフラストラクチャからアクセスキーを要求するときに必要なディレクトリ ID を指定します。

コマンドデフォルト

デフォルトは、failover cloud port control コマンドによって指定されたポート番号（指定されていない場合はデフォルトのポート番号）です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

パブリッククラウド HA ピアへの TCP フェールオーバー制御接続を確立するには、IP アドレスが使用されます。すでにアクティブユニットである可能性がある HA ピアへのフェールオーバー接続を開こうとする場合は、ポートが使用されます。HA ピア間で NAT が実行されている場合は、ここでのポートの設定が必要となる場合があります。この設定は、ほとんどの場合不要です。

このコマンドの no 形式を使用すると、ピアとなる IP アドレスが削除され、ポート番号がそのデフォルト値に設定されます。ポートが指定されていない場合、ポート番号は、以前にこのコマンドを使用して別の値が設定されていた場合であってもデフォルト値に設定されます。

例

次に、パブリッククラウドフェールオーバーピアを設定する例を示します。


ciscoasa(config)# failover cloud peer ip 10.4.3.5 port 4444
ciscoasa(config)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover active	スタンバイユニットをアクティブに切り替えます。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud polltime

フェールオーバーユニットのポーリングタイムおよびホールドタイムを指定するには、グローバルコンフィギュレーションモードで failover cloud polltime コマンドを使用します。デフォルトのポーリング期間およびホールドタイムに戻すには、このコマンドの no 形式を使用します。

failover cloud polltime poll_time [ holdtime time ]

no failover cloud polltime

構文の説明


holdtime `時刻`	（任意）ユニットが制御ポートで hello メッセージを受信する間隔を設定します。この時間を経過すると、ピアユニットで障害が発生したと見なされます。有効な値は 3 ～ 60 秒です。装置のポーリング時間の 3 倍に満たない保持時間は入力できません。
polltime `poll_time`	hello メッセージ間の時間を設定します。有効な値は 1 ～ 15 秒です。

コマンドデフォルト

ASA 仮想のデフォルト値は、次のとおりです。

polltime poll_time は 5 秒です。
holdtime time は 15 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	—

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

バックアップユニットがアクティブユニットの存在をモニターするために使用するポーリング間隔を設定するために使用されます。必要に応じ、アクティブユニットからの応答がない場合に、バックアップユニットがアクティブなロールを取る前に待機する時間（ホールドタイム）も設定できます。ホールドタイムは、強制的にポーリングタイムの 3 倍以上となります。ポーリング間隔を短くすると、ASA で障害を検出し、フェールオーバーをトリガーする速度が速くなります。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションでフェールオーバーポーリングを設定する例を示します。


ciscoasa(config)# failover cloud polltime 10 holdtime 30

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover active	スタンバイユニットをアクティブに切り替えます。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud port

パブリッククラウドフェールオーバーのペアによって使用される 2 つの TCP ポート、2 つのピア間のフェールオーバー通信に使用するポート、および Azure ロードバランサのプローブに使用するポートを指定するには、グローバルコンフィギュレーションモードで failover cloud port コマンドを使用します。これらのポートをデフォルト値に戻すには、このコマンドの no 形式を使用します。

failover cloud port { control port-number | probe port-number [ interface if-name ] }

no failover cloud port { control | probe }

構文の説明


control `port-number`	（任意）パブリッククラウド HA ピアとの通信に使用する TCP ポートを指定します。
probe `port-number`	（任意）Azure ロードバランサの健全性プローブへの応答に使用する TCP ポートを指定します。
interface if-name	（任意）Azure ロードバランサプローブを受け入れるプローブポート用に設定するインターフェイスを指定します。省略した場合は、プローブ（168.63.129.16）で使用される既知の送信元 IP アドレスに到達するために最適だと ASA 仮想の IP ルーティング機能が判断するインターフェイス上でプローブが受け入れられます。

コマンドデフォルト

パブリッククラウドフェールオーバーの TCP 制御ポート番号は 44442 です。

Azure ロードバランサの健全性プローブポート番号は 44441 です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

デフォルトのポート値に戻すには、このコマンドの no 形式を使用します。

物理 ASA および非パブリッククラウドの仮想 ASA では、Gratuitous ARP 要求を使用してフェールオーバー条件を処理しますが、バックアップ ASA は、アクティブな IP アドレスと MAC アドレスに関連付けられていることを示す Gratuitous ARPP を送信します。ほとんどのパブリッククラウド環境では、このようなブロードキャストトラフィックは許可されていません。このため、パブリッククラウドの HA 設定では、フェールオーバーが発生したときに通信中の接続を再起動する必要があります。

アクティブ装置の状態がバックアップ装置によってモニターされ、所定のフェールオーバー条件に一致しているかどうかが判別されます。所定の条件に一致すると、フェールオーバーが行われます。フェールオーバー時間は、パブリッククラウドインフラストラクチャの応答性に応じて、数秒～ 1 分を超える場合があります。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションに対し、フェールオーバー通信および Azure ロードバランサプローブのための TCP ポートを設定する例を示します。


ciscoasa(config)# failover cloud port control 4444 
ciscoasa(config)# failover cloud port probe 4443

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover active	スタンバイユニットをアクティブに切り替えます。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud route-table

内部ルートをアクティブユニットに向ける Azure ルートテーブルを設定するには、グローバルコンフィギュレーションモードで failover cloud route-table コマンドを使用します。ルートテーブルコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

failover cloud route-table table-name [ subscription-id sub-id ]

no failover cloud route-table

構文の説明


table-name	ルートテーブルの名前を指定します。
subscription-id `sub-id`	（任意）Azure リソースを変更する際に必要な Azure サブスクリプション ID を指定します。ルートテーブル内にこのパラメータが存在する場合、それは、ルートテーブルを参照する際に使用される Azure サブスクリプションです。省略すると、グローバルコンフィギュレーションモードで設定されているサブスクリプション ID が使用されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。
9.9(2)	subscription-id パラメータが導入されました。

使用上のガイドライン

フェールオーバーでは、内部ルートをアクティブ装置に向ける必要があります。アクティブ装置は、設定されたルートテーブル情報を使用して自動的にルートを自身に向けます。

プライマリ装置とセカンダリ装置の両方でこれらの設定を構成します。プライマリ装置からセカンダリ装置への設定の同期はありません。

2 つ以上の Azure サブスクリプションでユーザー定義のルートを更新するには、オプションの subscription-id パラメータを使用します。route-table コマンドレベルの subscription-id は、グローバルレベルで指定された Azure サブスクリプション ID を上書きします。subscription-id を指定せずに route-table コマンドを入力すると、グローバルパラメータが使用されます。

ルートテーブルコンフィギュレーションを削除するには、このコマンドの no 形式を使用します。

（注）

このコマンドを入力すると、ASA 仮想は cfg-fover-cloud-rt モードに切り替わります。

例

次の例では、パブリッククラウドフェールオーバーのルートテーブルコンフィギュレーションで cfg-fover-cloud-rt モードを有効にする方法を示します。


ciscoasa(config)# failover cloud route-table inside-rt
ciscoasa(cfg-fover-cloud-rt)# 
ciscoasa(config)# failover cloud route-table inside-rt subscription-id cd5fe6b4-d2ed-45
ciscoasa(cfg-fover-cloud-rt)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
rg	パブリッククラウドフェールオーバーコンフィギュレーションに Azure リソースグループを追加します。
route-table	パブリッククラウドフェールオーバーコンフィギュレーションに Azure ルート情報を追加します。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。
failover cloud subscription-id	パブリッククラウドフェールオーバーコンフィギュレーションに Azure サブスクリプション ID を追加します。

failover cloud route-table rg

ルートテーブル更新要求に必要な Azure リソースグループを設定するには、cfg-fover-cloud-rt コンフィギュレーションモードで rg コマンドを使用します。コンフィギュレーションからリソースグループ情報を削除するには、このコマンドの no 形式を使用します。

rgresource-group

no rg

構文の説明


resource-group	Azure リソースグループの名前を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
cg-fover-cloud-rt コンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

Azure リソースグループは、Azure ソリューション用の関連リソースを保持するコンテナです。リソースグループには、ソリューション用のすべてのリソースを含めるか、またはグループとして管理するリソースのみを含めることができます。リソースグループにリソースを割り当てる方法は、どうすれば組織にとって最も合理的になるかを考慮して決定します。

プライマリ装置とセカンダリ装置の両方でこれらの設定を構成します。プライマリ装置からセカンダリ装置への設定の同期はありません。

コンフィギュレーションからリソースグループ情報を削除するには、このコマンドの no 形式を使用します。

（注）

Azure は、『Azure Resource Manager Documentation』でリソースグループについて説明しています。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションに Azure リソースグループを追加する例を示します。


ciscoasa(cfg-fover-cloud-rt)# rg east-rg
ciscoasa(cfg-fover-cloud-rt)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
rg	パブリッククラウドフェールオーバーコンフィギュレーションに Azure リソースグループを追加します。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud route-table route

フェールオーバー中に更新を必要とするルートを設定するには、cfg-fover-cloud-rt コンフィギュレーションモードで route コマンドを使用します。コンフィギュレーションからルート情報を削除するには、このコマンドの no 形式を使用します。

route { name route-name prefix address-prefix nexthop ip-address }

no route name route-name

構文の説明


route-name	ルートの名前を指定します。
address-prefix	IP アドレスプレフィックス、スラッシュ（「/」）、および数字のネットマスクとして設定されるアドレスプレフィックスを指定します。例：192.120.0.0/16。
ip-address	ネクストホップの IP アドレスを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
cg-fover-cloud-rt コンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

フェールオーバーでは、内部ルートをアクティブ装置に向ける必要があります。アクティブ装置は、設定されたルートテーブル情報を使用して自動的にルートを自身に向けます。

プライマリ装置とセカンダリ装置の両方でこれらの設定を構成します。プライマリ装置からセカンダリ装置への設定の同期はありません。

コンフィギュレーションからルート情報を削除するには、このコマンドの no 形式を使用します。

（注）

Azure は、『Azure Resource Manager Documentation』でルーティングの要件について説明しています。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションに更新が必要なルートを追加する例を示します。


ciscoasa(cfg-fover-cloud-rt)# route route-to-outside prefix 10.4.2.0/24 nexthop 10.4.1.4
ciscoasa(cfg-fover-cloud-rt)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
rg	パブリッククラウドフェールオーバーコンフィギュレーションに Azure リソースグループを追加します。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud subscription-id

Azure サービスプリンシパル用の Azure サブスクリプション ID を設定するには、グローバルコンフィギュレーションモードで failover cloud subscription-id コマンドを使用します。このコマンドの no 形式は、コンフィギュレーションからサブスクリプション情報を削除します。

failover cloud subscription-id sub-id

no failover cloud subscription-id

構文の説明


subscription-id `sub-id`	Azure リソースを変更する際に必要な Azure サブスクリプション ID を指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

Azure サブスクリプション ID は、内部ルートをアクティブユニットに向ける場合など、Azure ルートテーブルを変更するために必要です。

（注）

サブスクリプション ID は、Azure ポータル（https://portal.azure.com）の「サブスクリプション（Subscriptions）」タブで参照できます。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションに Azure サブスクリプション ID を追加する例を示します。


(config)# failover cloud (config)# failover cloud subscription-id ab2fe6b2-c2bd-44
(config)#

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover cloud authentication	パブリッククラウドフェールオーバーコンフィギュレーションに Azure 認証クレデンシャルを追加します。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover cloud unit

パブリッククラウドフェールオーバーコンフィギュレーションで ASA 仮想をプライマリユニットまたはセカンダリユニットに設定するには、グローバルコンフィギュレーションモードで failover lan unit コマンドを使用します。ユニットのロールの設定を削除するには、このコマンドの no 形式を使用します。

failover cloud unit { primary | secondary }

no failover cloud unit

構文の説明


primary	ASA 仮想をプライマリユニットとして指定します。
secondary	ASA 仮想をセカンダリユニットとして指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.8(2)	このコマンドが導入されました。

使用上のガイドライン

冗長性を確保するために、ASA 仮想をアクティブ/バックアップハイアベイラビリティ（HA）設定でパブリッククラウド環境に展開します。パブリッククラウドでの HA では、アクティブな ASA 仮想の障害時に、バックアップ ASA 仮想へのシステムの自動フェールオーバーをトリガーできるステートレスなアクティブ/バックアップソリューションが実装されます。

アクティブ/バックアップフェールオーバーを設定する場合、1 つの装置をプライマリとして設定し、もう 1 つの装置をセカンダリとして設定します。この時点で、2 つのユニットは、デバイスとポリシーの設定、およびイベント、ダッシュボード、レポート、ヘルスモニタリングで、2 つの個別のデバイスとして機能します。

フェールオーバーペアの 2 つの装置の主な相違点は、どちらの装置がアクティブでどちらの装置がバックアップであるか、つまりどちらの装置がアクティブにトラフィックを渡すかということに関連します。両方のユニットがトラフィックを渡すことができますが、プライマリユニットだけがロードバランサプローブに応答し、構成済みのルートをプログラミングしてルートの接続先として使用します。バックアップ装置の主な機能は、プライマリ装置の正常性を監視することです。両方の装置が同時にスタートアップした場合（さらに動作ヘルスが等しい場合）、プライマリ装置が常にアクティブ装置になります。

例

次に、パブリッククラウドフェールオーバーコンフィギュレーションで ASA 仮想をプライマリユニットとして設定する例を示します。


ciscoasa(config)# failover cloud unit primary

コマンド	説明
clear configure failover	failover コマンドを実行コンフィギュレーションから消去し、フェールオーバーのデフォルト値に戻します。
failover active	スタンバイユニットをアクティブに切り替えます。
failover cloud peer	パブリッククラウドフェールオーバーピアの情報を指定します。
show failover	装置のフェールオーバーステータスに関する情報を表示します。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

failover exec

フェールオーバーペアの特定のユニットに対してコマンドを実行するには、特権 EXEC モードまたはグローバルコンフィギュレーションモードで failover exec コマンドを使用します。

failover exec { active | standby | mate } cmd_string

構文の説明


active	コマンドをフェールオーバーペアのアクティブユニットまたはフェールオーバーグループに対して実行することを指定します。アクティブユニットまたはフェールオーバーグループに対して入力されたコンフィギュレーションコマンドは、スタンバイユニットまたはフェールオーバーグループに複製されます。
`cmd_string`	Show コマンド、コンフィギュレーションコマンド、および EXEC コマンドがサポートされています。
mate	コマンドをフェールオーバーピアに対して実行することを指定します。
standby	コマンドをフェールオーバーペアのスタンバイユニットまたはフェールオーバーグループに対して実行することを指定します。スタンバイユニットまたはフェールオーバーグループに対して実行されたコンフィギュレーションコマンドは、アクティブユニットまたはフェールオーバーグループには複製されません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	対応	対応

コマンド履歴


リリース	変更内容
8.0(2)	このコマンドが追加されました。

使用上のガイドライン

failover exec コマンドを使用して、フェールオーバーペアの特定のユニットにコマンドを送信できます。

コンフィギュレーションコマンドはアクティブ装置またはコンテキストからスタンバイ装置またはコンテキストに複製されるため、いずれの装置にログインしているかにかかわらず、failover exec コマンドを使用して正しい装置にコンフィギュレーションコマンドを入力できます。たとえば、スタンバイ装置にログインしている場合、failover exec active コマンドを使用して、コンフィギュレーションの変更をアクティブ装置に送信できます。その後、これらの変更はスタンバイ装置に複製されます。スタンバイ装置やコンテキストへの設定コマンドの送信には、 failover exec コマンドを使用しないでください。これらの設定の変更はアクティブ装置に複製されないため、2 つの設定が同期されなくなります。

configuration、exec、および show コマンドの出力は、現在のターミナルセッションで表示されるため、 failover exec コマンドを使用し、ピア装置で show コマンドを発行して、その結果を現在のターミナルに表示することができます。

ピア装置でコマンドを実行するには、ローカル装置でコマンドを実行できるだけの十分な権限を持っている必要があります。

コマンドモード

failover exec コマンドは、お使いのターミナルセッションのコマンドモードとは異なるコマンドモード状態を維持します。デフォルトでは、failover exec コマンドモードは、指定されたデバイスのグローバルコンフィギュレーションモードで開始されます。このコマンドモードを変更するには、 failover exec コマンドを使用して適切なコマンド（interface コマンドなど）を送信します。

指定されたデバイスの failover exec コマンドモードを変更しても、デバイスへのアクセスに使用しているセッションのコマンドモードは変更されません。たとえば、フェールオーバーペアのアクティブユニットにログインしており、グローバルコンフィギュレーションモードで次のコマンドを発行した場合、セッションのコマンドモードはグローバルコンフィギュレーションモードのままですが、failover exec コマンドを使用して送信されるすべてのコマンドはインターフェイスコンフィギュレーションモードで実行されます。


ciscoasa(config)# failover exec interface GigabitEthernet0/1
ciscoasa(config)#

デバイスとの現在のセッションのコマンドモードを変更しても、failover exec コマンドで使用されるコマンドモードには影響しません。たとえば、アクティブ装置のインターフェイスコンフィギュレーションモードで、 failover exec コマンドモードを変更していない場合、次のコマンドはグローバルコンフィギュレーションモードで実行されます。


ciscoasa(config-if)# failover exec active router ospf 100
ciscoasa(config-if)#

show failover exec コマンドを使用すると、指定したデバイスにコマンドモードが表示されます。failover exec コマンドを使用して送信されたコマンドは、このモードで実行されます。

セキュリティに関する注意事項

failover exec コマンドは、フェールオーバーリンクを使用してコマンドをピア装置に送信し、実行されたコマンドの出力をピア装置から受信します。盗聴や中間者攻撃を防止するには、failover key コマンドを使用してフェールオーバーリンクを暗号化する必要があります。

制限事項

ゼロダウンタイムアップグレード手順を使用して 1 台の装置だけをアップグレードする場合は、機能するコマンドとして failover exec コマンドをサポートしているソフトウェアが両方の装置で動作している必要があります。
コマンドの完成およびコンテキストヘルプは、cmd_string 引数のコマンドでは使用できません。
マルチコンテキストモードでは、ピア装置のピアコンテキストだけにコマンドを送信できます。異なるコンテキストにコマンドを送信するには、まずログインしているユニットでそのコンテキストに変更する必要があります。
failover exec コマンドと一緒に次のコマンドを使用することはできません。
- changeto
- debug (undebug )
スタンバイ装置が故障状態の場合、故障の原因がサービスカードの不具合であれば、failover exe コマンドからのコマンドは受信できます。それ以外の場合、リモートコマンドの実行は失敗します。
failover exec コマンドを使用して、フェールオーバーアで特権 EXEC モードをグローバルコンフィギュレーションモードに切り替えることはできません。たとえば、現在の装置が特権 EXEC モードのときに failover exec mate configure terminal コマンドを入力すると、show failover exec mate コマンドの出力に、failover exec セッションがグローバルコンフィギュレーションモードであることが示されます。ただし、ピア装置で failover exec コマンドを使用してコンフィギュレーションコマンドを入力した場合、現在の装置でグローバルコンフィギュレーションモードを開始しない限り、その処理は失敗します。
failover exec mate failover exec mate コマンドのような、再帰的な failover exec コマンドは入力できません。
ユーザーの入力または確認が必要なコマンドでは、/nonconfirm オプションを使用する必要があります。

例

次に、failover exec コマンドを使用して、アクティブユニットのフェールオーバー情報を表示する例を示します。コマンドはアクティブユニットで実行されるため、コマンドはローカルで実行されます。


ciscoasa(config)# failover exec active show failover
Failover On 
Failover unit Primary
Failover LAN Interface: failover GigabitEthernet0/3 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 8.0(2), Mate 8.0(2)
Last Failover at: 09:31:50 jst May 2 2004
        This host: Primary - Active 
                Active time: 2483 (sec)
                slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
                  admin Interface outside (192.168.5.101): Normal 
                  admin Interface inside (192.168.0.1): Normal 
                slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
        Other host: Secondary - Standby Ready 
                Active time: 0 (sec)
                slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
                  admin Interface outside (192.168.5.111): Normal 
                  admin Interface inside (192.168.0.11): Normal
                slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
Stateful Failover Logical Update Statistics
        Link : failover GigabitEthernet0/3 (up)
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         328        0          328        0         
        sys cmd         329        0          329        0         
        up time         0          0          0          0         
        RPC services    0          0          0          0         
        TCP conn        0          0          0          0         
        UDP conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        Xlate_Timeout   0          0          0          0         
        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       329
        Xmit Q:         0       1       329
ciscoasa(config)#

次に、failover exec コマンドを使用して、ピアユニットのフェールオーバーステータスを表示する例を示します。コマンドはアクティブユニットであるプライマリユニットで実行されるため、セカンダリのスタンバイユニットの情報が表示されます。


ciscoasa(config)# failover exec mate show failover
Failover On 
Failover unit Secondary
Failover LAN Interface: failover GigabitEthernet0/3 (up)
Unit Poll frequency 1 seconds, holdtime 3 seconds
Interface Poll frequency 3 seconds, holdtime 15 seconds
Interface Policy 1
Monitored Interfaces 2 of 250 maximum
Version: Ours 8.0(2), Mate 8.0(2)
Last Failover at: 09:19:59 jst May 2 2004
        This host: Secondary - Standby Ready 
                Active time: 0 (sec)
                slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
                  admin Interface outside (192.168.5.111): Normal 
                  admin Interface inside (192.168.0.11): Normal 
                slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
        Other host: Primary - Active 
                Active time: 2604 (sec)
                slot 0: ASA5520 hw/sw rev (1.0/8.0(2)) status (Up Sys)
                  admin Interface outside (192.168.5.101): Normal 
                  admin Interface inside (192.168.0.1): Normal 
                slot 1: ASA-SSM-20 hw/sw rev (1.0/) status (Up/Up)
Stateful Failover Logical Update Statistics
        Link : failover GigabitEthernet0/3 (up)
        Stateful Obj    xmit       xerr       rcv        rerr      
        General         344        0          344        0         
        sys cmd         344        0          344        0         
        up time         0          0          0          0         
        RPC services    0          0          0          0         
        TCP conn        0          0          0          0         
        UDP conn        0          0          0          0         
        ARP tbl         0          0          0          0         
        Xlate_Timeout   0          0          0          0         
        Logical Update Queue Information
                        Cur     Max     Total
        Recv Q:         0       1       344
        Xmit Q:         0       1       344

次に、failover exec コマンドを使用して、フェールオーバーピアのフェールオーバー設定を表示する例を示します。コマンドはアクティブユニットであるプライマリユニットで実行されるため、セカンダリのスタンバイユニットの情報が表示されます。


ciscoasa(config)# failover exec mate show running-config failover
failover
failover lan interface failover GigabitEthernet0/3
failover polltime unit 1 holdtime 3
failover polltime interface 3 holdtime 15
failover link failover GigabitEthernet0/3
failover interface ip failover 10.0.5.1 255.255.255.0 standby 10.0.5.2
ciscoasa(config)#

次に、failover exec コマンドを使用して、スタンバイユニットからアクティブユニットにコンテキストを作成する例を示します。コマンドは、アクティブユニットからスタンバイユニットに複製されます。2 つの「Creating context…」メッセージに注目してください。1 回めは、コンテキスト作成時に failover exec コマンドによってピアユニットから出力されたものであり、2 回めは複製されたコマンドによってローカルにコンテキストが作成されたときにローカルユニットから出力されたものです。


ciscoasa(config)# show context
 
Context Name      Class      Interfaces           URL
*admin            default    GigabitEthernet0/0,  disk0:/admin.cfg
                             GigabitEthernet0/1  
Total active Security Contexts: 1
! The following is executed in the system execution space on the standby unit.
ciscoasa(config)# failover exec active context text
Creating context 'text'... Done. (2)
Creating context 'text'... Done. (3)
ciscoasa(config)# show context
Context Name      Class      Interfaces           URL
*admin            default    GigabitEthernet0/0,  disk0:/admin.cfg
                             GigabitEthernet0/1  
 text             default                         (not entered)
Total active Security Contexts: 2

次に、 failover exec コマンドを使用してスタンバイステートのフェールオーバーピアにコンフィギュレーションコマンドを送信したときに警告が返され、その警告が表示される例を示します。


ciscoasa# failover exec mate static (inside,outside) 192.168.5.241 192.168.0.241
		**** WARNING **** 
        Configuration Replication is NOT performed from Standby unit to Active unit.
        Configurations are no longer synchronized.
ciscoasa(config)#

次に、failover exec コマンドを使用して、show interface コマンドをスタンバイユニットに送信する例を示します。


ciscoasa(config)# failover exec standby show interface
Interface GigabitEthernet0/0 "outside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 1000 Mbps
      Auto-Duplex(Half-duplex), Auto-Speed(100 Mbps)
      MAC address 000b.fcf8.c290, MTU 1500
      IP address 192.168.5.111, subnet mask 255.255.255.0
      216 packets input, 27030 bytes, 0 no buffer
      Received 2 broadcasts, 0 runts, 0 giants
      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
      0 L2 decode drops
      284 packets output, 32124 bytes, 0 underruns
      0 output errors, 0 collisions
      0 late collisions, 0 deferred
      input queue (curr/max blocks): hardware (0/0) software (0/0)
      output queue (curr/max blocks): hardware (0/1) software (0/0)
  Traffic Statistics for "outside":
      215 packets input, 23096 bytes
      284 packets output, 26976 bytes
      0 packets dropped
      1 minute input rate 0 pkts/sec,  21 bytes/sec
      1 minute output rate 0 pkts/sec,  23 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  21 bytes/sec
      5 minute output rate 0 pkts/sec,  24 bytes/sec
      5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/1 "inside", is up, line protocol is up
  Hardware is i82546GB rev03, BW 1000 Mbps
      Auto-Duplex(Half-duplex), Auto-Speed(10 Mbps)
      MAC address 000b.fcf8.c291, MTU 1500
      IP address 192.168.0.11, subnet mask 255.255.255.0
      214 packets input, 26902 bytes, 0 no buffer
      Received 1 broadcasts, 0 runts, 0 giants
      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
      0 L2 decode drops
      215 packets output, 27028 bytes, 0 underruns
      0 output errors, 0 collisions
      0 late collisions, 0 deferred
      input queue (curr/max blocks): hardware (0/0) software (0/0)
      output queue (curr/max blocks): hardware (0/1) software (0/0)
  Traffic Statistics for "inside":
      214 packets input, 23050 bytes
      215 packets output, 23140 bytes
      0 packets dropped
      1 minute input rate 0 pkts/sec,  21 bytes/sec
      1 minute output rate 0 pkts/sec,  21 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 0 pkts/sec,  21 bytes/sec
      5 minute output rate 0 pkts/sec,  21 bytes/sec
      5 minute drop rate, 0 pkts/sec
Interface GigabitEthernet0/2 "failover", is up, line protocol is up
  Hardware is i82546GB rev03, BW 1000 Mbps
      Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps)
      Description: LAN/STATE Failover Interface
      MAC address 000b.fcf8.c293, MTU 1500
      IP address 10.0.5.2, subnet mask 255.255.255.0
      1991 packets input, 408734 bytes, 0 no buffer
      Received 1 broadcasts, 0 runts, 0 giants
      0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
      0 L2 decode drops
      1835 packets output, 254114 bytes, 0 underruns
      0 output errors, 0 collisions
      0 late collisions, 0 deferred
      input queue (curr/max blocks): hardware (0/0) software (0/0)
      output queue (curr/max blocks): hardware (0/2) software (0/0)
  Traffic Statistics for "failover":
      1913 packets input, 345310 bytes
      1755 packets output, 212452 bytes
      0 packets dropped
      1 minute input rate 1 pkts/sec,  319 bytes/sec
      1 minute output rate 1 pkts/sec,  194 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 1 pkts/sec,  318 bytes/sec
      5 minute output rate 1 pkts/sec,  192 bytes/sec
      5 minute drop rate, 0 pkts/sec
.
.
.

次に、ピアユニットに対して不正なコマンドを発行したときにエラーメッセージが返され、そのエラーメッセージが表示される例を示します。


ciscoasa# failover exec mate bad command
bad command
  ^
ERROR: % Invalid input detected at '^' marker.

次に、フェールオーバーが無効になっている場合に failover exec コマンドを使用すると返されるエラーメッセージの例を示します。


ciscoasa(config)# failover exec mate show failover
ERROR: Cannot execute command on mate because failover is disabled

failover group

Active/Active フェールオーバーグループを設定するには、グローバルコンフィギュレーションモードで failover group コマンドを使用します。フェールオーバーグループを削除するには、このコマンドの no 形式を使用します。

failover group num

no failover group num

構文の説明


`num`	フェールオーバーグループの番号。有効な値は、1 または 2 です。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	—	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

最大 2 つのフェールオーバーグループを定義できます。failover group コマンドは、マルチコンテキストモードが設定されたデバイスのシステムコンテキストにのみ追加できます。フェールオーバーグループは、フェールオーバーがディセーブルになっているときに限り作成および削除できます。

このコマンドを入力すると、フェールオーバーグループコマンドモードが開始されます。フェールオーバーグループコンフィギュレーションモードでは、primary 、secondary 、preempt 、replication http 、 interface-policy 、mac address 、および polltime interface コマンドを使用できます。グローバルコンフィギュレーションモードに戻るには、exit コマンドを使用します。

（注）

Active/Activeフェールオーバーコンフィギュレーションでは、failover polltime interface 、failover interface-policy 、failover replication http 、および failover mac address コマンドは影響しません。これらは、フェールオーバーグループコンフィギュレーションモードのコマンドの polltime interface 、interface-policy 、replication http 、および mac address で上書きされます。

フェールオーバーグループを削除するときは、フェールオーバーグループ 1 を最後に削除する必要があります。フェールオーバーグループ 1 には、常に管理コンテキストが含まれています。フェールオーバーグループに割り当てられていないすべてのコンテキストは、デフォルトでフェールオーバーグループ 1 に割り当てられます。コンテキストが明示的に割り当てられているフェールオーバーグループは削除できません。

（注）

同じネットワーク上にアクティブ/アクティブフェールオーバーペアが複数ある場合は、あるペアのインターフェイスに割り当てられているものと同じデフォルト仮想 MAC アドレスが、他のペアのインターフェイスに割り当てられることがあります。これは、デフォルト仮想 MAC アドレスの決定方法に基づいた動作です。ネットワーク上に重複した MAC アドレスが存在しないようにするには、mac address コマンドを使用して、各物理インターフェイスに対して仮想アクティブ MAC アドレスおよび仮想スタンバイ MAC アドレスを割り当てる必要があります。

例

次に、2 つのフェールオーバーグループのコンフィギュレーションの例（抜粋）を示します。


ciscoasa(config)# failover group 1
 
ciscoasa(config-fover-group)# primary
ciscoasa(config-fover-group)# preempt 100
ciscoasa(config-fover-group)# exit
ciscoasa(config)# failover group 2
ciscoasa(config-fover-group)# secondary
ciscoasa(config-fover-group)# preempt 100
ciscoasa(config-fover-group)# exit
ciscoasa(config)#

failover health-check bfd

ユニットヘルスモニタリングに Bidirectional Forwarding Detection（BFD）を設定するには、グローバルコンフィギュレーションモードで failover health-check bfd コマンドを使用します。BFD をディセーブルにするには、このコマンドの no 形式を使用します。

failover health-check bfd template_name

no failover health-check bfd template_name

構文の説明


template_name	BFD テンプレートの名前。

コマンドデフォルト

このコマンドは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
クラスタグループコンフィギュレーション	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドが追加されました。

使用上のガイドライン

CPU の使用率が高い場合、通常のユニットのモニタリングにより誤ってアラームが発生する可能性があります。BFD メソッドは分散されていてるため、CPU の使用率が高い場合でも動作に影響はありません。

最初に、パケットレートを定義するための BFD シングルホップテンプレートを設定する必要があります。

bfd-template single-hop template_name

bfd interval min-tx milliseconds min-rx milliseconds multiplier multiplier_value

次の制限事項を確認してください。

FirePOWER 9300 および 4100 のみ
アクティブ/スタンバイのみ
ルーテッドモードのみ

例

次に、BFD ユニットヘルス検出を有効にする例を示します。


ciscoasa(config)# bfd template single-hop failover-temp 
ciscoasa(config-bfd)# bfd interval min-tx 50 min-rx 50 multiplier 3
ciscoasa(config)# failover health-check bfd failover-temp

failover interface ip

フェールオーバーインターフェイスとステートフルフェールオーバーインターフェイスに対して、IPv4 アドレスとマスク、または IPv6 アドレスとプレフィックスを指定するには、グローバルコンフィギュレーションモードで failover interface ip コマンドを使用します。IP アドレスを削除するには、このコマンドの no 形式を使用します。

failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address | prefix standby ipv6_address ]

no failover interface ip if_name [ ip_address mask standby ip_address | ipv6_address | prefix standby ipv6_address ]

構文の説明


`if_name`	フェールオーバーまたはステートフルフェールオーバーインターフェイスのインターフェイス名です。
`ip_address` `mask`	プライマリデバイス上のフェールオーバーまたはステートフルフェールオーバーインターフェイスに対して、IP アドレスとマスクを指定します。
`ipv6_address`	プライマリデバイス上のフェールオーバーまたはステートフルフェールオーバーインターフェイスに対して、IPv6 アドレスを指定します。
`prefix`	アドレスの高次の連続ビットのうち、何個が IPv6 プレフィックス（IPv6 アドレスのネットワーク部分）を構成しているかを指定します。
standby `ip_address`	セカンダリデバイスがプライマリデバイスとの通信に使用する IP アドレスを指定します。
standby `ipv6_address`	セカンダリデバイスがプライマリデバイスとの通信に使用する IPv6 アドレスを指定します。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。
8.2(2)	IPv6 アドレスのサポートが追加されました。

使用上のガイドライン

スタンバイアドレスは、プライマリアドレスと同じサブネットにある必要があります。

コンフィギュレーションで使用できる failvover interface ip コマンドは 1 つだけです。そのため、フェールオーバーインターフェイスには IPv6 アドレスまたは IPv4 アドレスのいずれか 1 つを割り当てることができます。IPv6 アドレスおよび IPv4 アドレスの両方をインターフェイスに割り当てることはできません。

フェールオーバーおよびステートフルフェールオーバーインターフェイスは、ASA がトランスペアレントファイアウォールモードで稼働し、システムに対してグローバルであっても、レイヤ 3 で動作します。

マルチコンテキストモードでは、システムコンテキストにフェールオーバーを設定します（monitor-interface コマンドを除く）。

このコマンドは、ASA を LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。

例

次に、フェールオーバーインターフェイスに IPv4 アドレスとマスクを指定する方法の例を示します。


ciscoasa(config)# failover interface ip lanlink 172.27.48.1 255.255.255.0 standby 172.27.48.2

次に、フェールオーバーインターフェイスに IPv6 アドレスとプレフィックスを指定する方法の例を示します。


ciscoasa(config)# failover interface ip lanlink 
2001:a0a:b00::a0a:b70/64 standby 2001:a0a:b00::a0a:b71

failover interface-policy

モニタリングによってインターフェイスの障害が検出された場合のフェールオーバーのポリシーを指定するには、グローバルコンフィギュレーションモードで failover interface-policy コマンドを使用します。デフォルトに戻す場合は、このコマンドの no 形式を使用します。

failover interface-policy num [ % ]

no failover interface-policy num [ % ]

構文の説明


`num`	パーセンテージとして使用される場合は 1 ～ 100 の数値を、数値として使用される場合は 1 ～インターフェイスの最大数を指定します。
%	（任意）num の数字が、モニター対象インターフェイスのパーセンテージであることを指定します。

コマンドデフォルト

デフォルトの設定は次のとおりです。

num は 1 です。
物理インターフェイスのモニタリングは、デフォルトでイネーブルになっています。論理インターフェイスのモニタリングは、デフォルトでディセーブルになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

num 引数とオプションの % キーワードの間にはスペースを挿入しません。

障害が発生したインターフェイスの数が、設定されているポリシーの基準を満たし、他方の ASA が正しく機能している場合、ASA は自身を障害発生状態とマークして、フェールオーバーが行われる可能性があります（アクティブな ASA で障害が発生した場合）。ポリシーでカウントされるのは、monitor-interface コマンドでモニター対象として指定したインターフェイスのみです。

（注）

このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバーグループコンフィギュレーションモードで interface-policy コマンドを使用して、各フェールオーバーグループのインターフェイスポリシーを設定します。

例

次に、2 通りの方法でフェールオーバーポリシーを指定する例を示します。


ciscoasa(config)# failover interface-policy 20%
ciscoasa(config)# failover interface-policy 5

failover ipsec pre-shared-key

フェールオーバーの IPsec LAN-to-LAN トンネルと、ユニット間のステートリンクを確立してすべてのフェールオーバー通信を暗号化するには、グローバルコンフィギュレーションモードで failover ipsec pre-shared-key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。

failover ipsec pre-shared-key key

no failover ipsec pre-shared-key

構文の説明

0

暗号化されていないパスワードを指定します。これはデフォルトです。

8

暗号化パスワードを指定します。マスターパスフレーズ（ password encryption aes コマンドおよび key config-key password-encryption コマンドを参照）を使用している場合、共有秘密はコンフィギュレーション内で暗号化されています。コンフィギュレーションからコピーする場合（more system:running-config 出力からなど）、8 キーワードを使用してキーが暗号化されていることを指定します。

（注）

failover ipsec pre-shared-key は、show running-config の出力に ***** と表示されます。このマスクされたキーはコピーできません。

key

IKEv2 によるトンネルの確立に使用される、両方のユニットに対するキーを指定します。最大長は 128 文字です。

コマンドデフォルト

0 （暗号化なし）がデフォルトです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.1(2)	このコマンドが追加されました。

使用上のガイドライン

フェールオーバー通信をセキュリティ保護しない限り、フェールオーバーリンクおよびステートフルフェールオーバーリンク経由で送信される情報は、すべてクリアテキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザー名、パスワード、および事前共有キーが含まれています。この機密データをクリアテキストで転送することは、非常に大きなセキュリティリスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をセキュリティ保護することをお勧めします。

暗号化方法として、レガシーの failover key 方式よりも、failover ipsec pre-shared-key 方式を使用することをお勧めします。

IPsec 暗号化とレガシーの failover key 暗号化の両方を使用することはできません。両方の方法を設定した場合は、IPsec が使用されます。ただし、マスターパスフレーズを使用する場合（password encryption aes コマンドおよび key config-key password-encryption コマンドを参照）、IPsec 暗号化を設定する前に no failover key コマンドを使用してフェールオーバーキーを削除する必要があります。

（注）

評価モードで HA フェールオーバー暗号化を設定すると、システムは暗号化に DES を使用します。エクスポート準拠アカウントを使用してデバイスを登録すると、デバイスはリブート後に AES を使用します。したがって、アップグレードのインストール後など、何らかの理由でシステムがリブートすると、ピアは通信できなくなり、両方のユニットがアクティブユニットになります。デバイスを登録するまで、暗号化を設定しないことを推奨します。評価モードで暗号化を設定する場合は、デバイスを登録する前に暗号化を削除することを推奨します。

このコマンドを使用すると、IKE ポリシーが作成されます。システムは最大 20 個の IKE ポリシーを許可するため、すでに 20 個ある場合、このコマンドは失敗します。

（注）

フェールオーバー LAN-to-LAN トンネルは、IPsec（その他の VPN）ライセンスには適用されません。

例

次に、IPsec 事前共有キーを設定する例を示します。


ciscoasa(config)# failover ipsec pre-shared-key a3rynsun

failover key

フェールオーバーペアのユニット間での暗号化および認証された通信（フェールオーバーリンクとステートリンクによる）用のキーを指定するには、グローバルコンフィギュレーションモードで failover key コマンドを使用します。キーを削除するには、このコマンドの no 形式を使用します。

failover key [ 0 | 8 ] { hex key | shared_secret }

no failover key

構文の説明

0

暗号化されていないパスワードを指定します。これはデフォルトです。

8

暗号化パスワードを指定します。マスターパスフレーズ（password encryption aes コマンドおよび key config-key password-encryption コマンドを参照）を使用している場合、共有秘密はコンフィギュレーション内で暗号化されています。コンフィギュレーションからコピーする場合（more system:running-config 出力からなど）、8 キーワードを使用して共有秘密が暗号化されていることを指定します。

（注）

failover key の共有秘密は、show running-config の出力に ***** と表示されます。このマスクされたキーはコピーできません。

hex key

暗号キーの 16 進数値を指定します。キーは、32 文字の 16 進数文字（0 ～ 9、a ～ f）である必要があります。

shared_secret

英数字の共有秘密を指定します。秘密に使用できる文字数は、1 ～ 63 文字です。有効な文字は、数字、文字、または句読点の任意の組み合わせです。共有秘密は、暗号キーを生成するために使用されます。

コマンドデフォルト

0 （暗号化なし）がデフォルトです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが failover lan key から failover key に変更されました。
7.0(4)	このコマンドが、hex `key` キーワードおよび引数を含むように変更されました。
8.3(1)	このコマンドは、0 および 8 キーワードを使用してマスターパスフレーズをサポートするように変更されました。

使用上のガイドライン

フェールオーバー通信をセキュリティ保護しない限り、フェールオーバーリンクおよびステートフルフェールオーバーリンク経由で送信される情報は、すべてクリアテキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザー名、パスワード、および事前共有キーが含まれています。この機密データをクリアテキストで転送することは、非常に大きなセキュリティリスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をセキュリティ保護することをお勧めします。

暗号化方法として、レガシーの failover key 方式よりも、failover ipsec pre-shared-key 方式を使用することをお勧めします。

IPsec 暗号化（failover ipsec pre-shared-key コマンド）とレガシーの failover key 暗号化の両方を使用することはできません。両方の方法を設定した場合は、IPsec が使用されます。ただし、マスターパスフレーズを使用する場合（password encryption aes コマンドおよび key config-key password-encryption コマンドを参照）、IPsec 暗号化を設定する前に no failover key コマンドを使用してフェールオーバーキーを削除する必要があります。

（注）

評価モードで HA フェールオーバー暗号化を設定すると、システムは暗号化に DES を使用します。エクスポート準拠アカウントを使用してデバイスを登録すると、デバイスはリブート後に AES を使用します。したがって、アップグレードのインストール後など、何らかの理由でシステムがリブートすると、ピアは通信できなくなり、両方のユニットがアクティブユニットになります。デバイスを登録するまで、暗号化を設定しないことを推奨します。評価モードで暗号化を設定する場合は、デバイスを登録する前に暗号化を削除することを推奨します。

例

次に、フェールオーバーペアのユニット間でフェールオーバー通信をセキュリティ保護するための共有秘密を指定する例を示します。


ciscoasa(config)# failover key abcdefg

次に、フェールオーバーペアの 2 つのユニット間でフェールオーバー通信をセキュリティ保護するための 16 進キーを指定する例を示します。


ciscoasa(config)# failover key hex 6a1ed228381cf5c68557cb0c32e614dc

次に、more system:running-config 出力から、暗号化されたパスワードをコピーして貼り付けた例を示します。


ciscoasa(config)# failover key 8 TPZCVNgdegLhWMa

failover lan interface

フェールオーバー通信に使用されるインターフェイスを指定するには、グローバルコンフィギュレーションモードで failover lan interface コマンドを使用します。フェールオーバーインターフェイスを削除するには、このコマンドの no 形式を使用します。

failover lan interface if_name { phy_if [ .sub_if ] | vlan_if ] }

no failover lan interface [ if_name { phy_if [ .sub_if ] | vlan_if ] } ]

構文の説明


`if_name`	フェールオーバー専用の ASA インターフェイスの名前を指定します。
`phy_if`	物理インターフェイスを指定します。
`sub_if`	（任意）サブインターフェイス番号を指定します。
`vlan_if`	ASA で、VLAN インターフェイスをフェールオーバーリンクとして指定するために使用されます。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	`phy_if` 引数が追加されました。
7.2(1)	`vlan_if` 引数が追加されました。
9.5(1)	このコマンドは、ASA 5506H-X の管理インターフェイスを受け入れるように変更されました。

使用上のガイドライン

プライマリ装置とセカンダリ装置の両方でフェールオーバーが有効になっている場合は、このコマンドを使用しないでください。フェールオーバーインターフェイス構成を変更すると、スプリットブレインシナリオ（アクティブ-アクティブ）になります。

フェールオーバーペアの 2 台の装置は、フェールオーバーリンク経由で常に通信して、各装置の動作ステータスを確認しています。

フェールオーバーリンクデータ

次の情報がフェールオーバーリンク経由で伝達されています。

装置の状態（アクティブまたはスタンバイ）
hello メッセージ（キープアライブ）
ネットワークリンクの状態
MAC アドレス交換
コンフィギュレーションの複製および同期

フェールオーバーリンクのインターフェイス

使用されていないデータインターフェイス（物理、冗長、または EtherChannel）はどれでも、フェールオーバーリンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバーリンクインターフェイスは、通常のネットワークインターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバーリンク用にのみ使用できます（ステートリンク用としても使用できます）。ASA　は、ユーザーデータ用とフェールオーバー用に異なるサブインターフェイスが設定されている場合でも、ユーザーデータとフェールオーバーリンク間でのインターフェイスの共有はサポートしません。フェールオーバーリンクには、別の物理、EtherChannel、または冗長インターフェイスを使用する必要があります。

フェールオーバーリンクについては、次のガイドラインを参照してください。

5506-X ～ 5555-X：管理インターフェイスをフェールオーバーリンクとして使用できません。データインターフェイスを使用する必要があります。5506H-X は唯一の例外で、フェールオーバーリンクとして管理インターフェイスを使用できます。
5506H-X：フェールオーバーリンクとして管理 1/1 インターフェイスを使用できます。フェールオーバー用に設定した場合は、デバイスをリロードして変更を反映させる必要があります。この場合、管理プロセスに管理インターフェイスが必要であるため、ASA Firepower モジュールも使用できません。
5585-X：管理 0/0 インターフェイスは使用しないでください（データインターフェイスとしては使用できます）。この用途で必要とされるパフォーマンスをサポートしていません。
Firepower 9300 ASA セキュリティモジュール：管理タイプまたはデータタイプのどちらかのインターフェイスをフェールオーバーリンクとして使用できます。インターフェイスを節約し、同じシャーシ内のモジュール間でフェールオーバーリンクを共有するには、管理タイプのインターフェイスを使用します。たとえば、それぞれ 3 つの ASA セキュリティモジュールを備えた 2 台のシャーシがあるとします。シャーシ間で 3 つのフェールオーバーペアを作成できます。1 つの 10 GigabitEthernet 管理インターフェイスをシャーシ間で使用して、フェールオーバーリンクとして機能させることができます。各モジュール内で一意の VLAN サブインターフェイスを設定するだけです。
すべてのモデル：1 GB インターフェイスは、フェールオーバーとステートリンクを組み合わせるには十分な大きさです。

フェールオーバーリンクとして使用される冗長インターフェイスについては、冗長性の増強による次の利点を参照してください:

フェールオーバーユニットが起動すると、メンバーインターフェイスを交互に実行し、アクティブユニットを検出します。
メンバーインターフェイスの 1 つにあるピアからのキープアライブメッセージの受信をフェールオーバーユニットが停止した場合、別のメンバーインターフェイスに切り替えます。

フェールオーバーリンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバーリンクとして使用中の EtherChannel の設定は変更できません。

フェールオーバーリンクの接続

フェールオーバーリンクを次の 2 つの方法のいずれかで接続します。

ASA のフェールオーバーインターフェイスと同じネットワークセグメント（ブロードキャストドメインまたは VLAN）に他の装置のないスイッチを使用する。
イーサネットケーブルを使用してユニットを直接接続する。外部スイッチは必要ありません。

ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASA は、銅線イーサネットポートで Auto-MDI/MDIX をサポートしているため、クロスオーバーケーブルまたはストレートケーブルのいずれかを使用できます。ストレートケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

その他のガイドライン

接続中のスイッチで VLAN を使用する場合は、フェールオーバーリンク専用の VLAN を使用します。フェールオーバーリンクの VLAN を他の VLAN と共有すると、断続的にトラフィックの問題が発生したり、ping や ARP の障害が発生したりすることがあります。フェールオーバーリンクの接続にスイッチを使用する場合は、スイッチおよび ASA でフェールオーバーリンク専用のインターフェイスを使用します。インターフェイスを、通常のネットワークトラフィックを伝送するサブインターフェイスと共有しないでください。
マルチコンテキストモードで動作するシステムでは、フェールオーバーリンクはシステムコンテキストにあります。システムコンテキストに設定できるインターフェイスは、このインターフェイス、および使用されている場合はステートリンクのみです。他のインターフェイスは、すべてセキュリティコンテキストに割り当てられ、セキュリティコンテキスト内から設定されます。
フェールオーバーリンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。

注意	フェールオーバーリンクおよびステートフルフェールオーバーリンク経由で送信される情報は、フェールオーバーキーを使用して通信をセキュリティで保護しない限り、すべてクリアテキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザー名、パスワード、および事前共有キーが含まれています。この機密データをクリアテキストで転送することは、非常に大きなセキュリティリスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバーキーによってセキュリティで保護することをお勧めします。

例

次に、共有フェールオーバーおよびステートリンクを含むプライマリユニットのフェールオーバーパラメータを設定する例を示します。


failover lan unit primary
failover lan interface folink gigabitethernet0/3
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
interface gigabitethernet 0/3
no shutdown
failover link folink gigabitethernet0/3
failover ipsec pre-shared-key a3rynsun
failover

failover lan unit

パブリッククラウドフェールオーバーコンフィギュレーションで ASA をプライマリユニットまたはセカンダリユニットのいずれかに設定するには、グローバルコンフィギュレーションモードで failover lan unit コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

failover lan unit { primary | secondary }

no failover lan unit { primary | secondary }

構文の説明


primary	ASA をプライマリユニットとして指定します。
secondary	ASA をセカンダリユニットとして指定します。

コマンドデフォルト

セカンダリ

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

Active/Standby フェールオーバーでは、フェールオーバーユニットに対するプライマリとセカンダリの指定によって、起動時にどのユニットがアクティブになるかが決まります。次の場合に、起動時にプライマリユニットがアクティブユニットになります。

最初のフェールオーバーポーリングチェックの間に、プライマリユニットとセカンダリユニットの両方がブートシーケンスを完了している。
プライマリユニットがセカンダリユニットよりも前に起動している。

プライマリユニットの起動時にすでにセカンダリユニットがアクティブになっている場合、プライマリユニットはアクティブにはならずに、スタンバイユニットとなります。この場合、プライマリユニットを強制的にアクティブステータスに戻すには、セカンダリ（アクティブ）ユニットで no failover active コマンドを入力する必要があります。

Active/Active フェールオーバーでは、各フェールオーバーグループにプライマリまたはセカンダリのユニットプリファレンスが割り当てられます。このプリファレンスによって、両方のユニットが（フェールオーバーポーリング期間内に）同時に起動されたときに、起動時にフェールオーバーペアのどのユニットでフェールオーバーグループのコンテキストがアクティブになるかが決まります。

このコマンドは、ASA を LAN フェールオーバー用にブートストラップするときに、コンフィギュレーションの一部である必要があります。

例

次に、ASA を LAN ベースのフェールオーバーのプライマリユニットとして設定する例を示します。


ciscoasa(config)# failover lan unit primary

failover link

ステートフルフェールオーバーインターフェイスを指定し、ステートフルフェールオーバーをイネーブルにするには、グローバルコンフィギュレーションモードで、failover link コマンドを使用します。ステートフルフェールオーバーインターフェイスを削除するには、このコマンドの no 形式を使用します。

failover link if_name [ phy_if ]

no failover link

構文の説明


`if_name`	ステートフルフェールオーバー専用の ASA インターフェイスの名前を指定します。
`phy_if`	（任意）物理インターフェイスポートまたは論理インターフェイスポートを指定します。ステートフルフェールオーバーインターフェイスが、フェールオーバー通信に割り当てられているインターフェイスを共有しているか、または標準ファイアウォールインターフェイスを共有している場合、この引数は必要ありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	`phy_if` 引数が追加されました。
7.0(4)	このコマンドが、標準ファイアウォールインターフェイスを受け入れるように変更されました。
9.5(1)	このコマンドは、ASA 5506H-X の管理インターフェイスを受け入れるように変更されました。

使用上のガイドライン

ステートフルフェールオーバーを使用するには、接続ステート情報を渡すためのステートフルフェールオーバーリンク（ステートリンクとも呼ばれる）を設定する必要があります。

フェールオーバーリンクの共有

インターフェイスを節約するための最適な方法はフェールオーバーリンクを共有することです。このインターフェイスでパフォーマンス上の問題が発生した場合は、別のインターフェイスをステートリンク専用にすることを検討してください。

専用インターフェイス

ステートリンク専用のデータインターフェイス（物理、冗長、または EtherChannel）を使用できます。ステートリンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。

次の 2 つの方法のいずれかで、専用のステートリンクを接続します。

ASA のフェールオーバーインターフェイスと同じネットワークセグメント（ブロードキャストドメインまたは VLAN）に他の装置のないスイッチを使用する。
イーサネットケーブルを使用してアプライアンスを直接接続します。外部スイッチは必要ありません。

ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASA は、銅線イーサネットポートで Auto-MDI/MDIX をサポートしているため、クロスオーバーケーブルまたはストレートケーブルのいずれかを使用できます。ストレートケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

長距離のフェールオーバーを使用する場合のステートリンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を超えると、フェールオーバーメッセージの再送信により、どうしてもパフォーマンスが低下します。

その他のガイドライン

マルチコンテキストモードでは、ステートフルフェールオーバーリンクはシステムコンテキストに存在します。このインターフェイスとフェールオーバーインターフェイスが、システムコンテキスト内にある唯一のインターフェイスです。他のインターフェイスは、すべてセキュリティコンテキストに割り当てられ、セキュリティコンテキスト内から設定されます。
ステートフルフェールオーバーリンクが通常のデータインターフェイスに設定されていない限り、ステートフルフェールオーバーリンクの IP アドレスと MAC アドレスは、フェールオーバー時に変更されません。

注意	フェールオーバーリンクおよびステートフルフェールオーバーリンク経由で送信される情報は、フェールオーバーキーを使用して通信をセキュリティで保護しない限り、すべてクリアテキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザー名、パスワード、および事前共有キーが含まれています。この機密データをクリアテキストで転送することは、非常に大きなセキュリティリスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信をフェールオーバーキーによってセキュリティで保護することをお勧めします。

例

次に、共有フェールオーバーおよびステートリンクを含むプライマリユニットのフェールオーバーパラメータを設定する例を示します。


failover lan unit primary
failover lan interface folink gigabitethernet0/3
failover interface ip folink 172.27.48.1 255.255.255.0 standby 172.27.48.2
interface gigabitethernet 0/3
no shutdown
failover link folink gigabitethernet0/3
failover ipsec pre-shared-key a3rynsun
failover

failover mac address

物理インターフェイスのフェールオーバー仮想 MAC アドレスを指定するには、グローバルコンフィギュレーションモードで failover mac address コマンドを使用します。仮想 MAC アドレスを削除するには、このコマンドの no 形式を使用します。

failover mac address phy_if active_mac standby_mac

no failover mac address phy_if active_mac standby_mac

構文の説明


`active_mac`	アクティブな ASA の指定したインターフェイスに割り当てられた MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。
`phy_if`	MAC アドレスを設定するインターフェイスの物理名です。
`standby_mac`	スタンバイ ASA の指定したインターフェイスに割り当てられた MAC アドレス。MAC アドレスは h.h.h 形式で入力する必要があります。ここで、h は 16 ビットの 16 進数です。

コマンドデフォルト

設定されていません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

failover mac address コマンドを使用すると、Active/Standby フェールオーバーペアの仮想 MAC アドレスを設定できます。仮想 MAC アドレスが定義されていない場合は、各フェールオーバーユニットが起動したときに、それらのユニットではインターフェイスのバーンドイン MAC アドレスが使用され、それらのアドレスがフェールオーバーピアと交換されます。プライマリユニットのインターフェイスの MAC アドレスが、アクティブユニットのインターフェイスに使用されます。

ただし、両方のユニットが同時にオンラインにならず、セカンダリユニットが最初に起動してアクティブになった場合、セカンダリユニットは、自身のインターフェイスにバーンドイン MAC アドレスを使用します。その後プライマリユニットがオンラインになると、セカンダリユニットはプライマリユニットから MAC アドレスを取得します。この変更によりネットワークトラフィックが中断される可能性があります。インターフェイスに仮想 MAC アドレスを設定すると、セカンダリユニットがプライマリユニットよりも前にオンラインになり、アクティブユニットとなった場合でも、正しい MAC アドレスが使用されるようになります。

failover mac address コマンドでは、フェールオーバーが発生した場合に IP アドレスおよび MAC アドレスが変更されないため、LAN ベースのフェールオーバーに設定されたインターフェイスでは、failover lan interface コマンドは不要であり、使用できません。このコマンドは、ASA が Active/Active フェールオーバーに設定されている場合には何も行いません。

コンフィギュレーションに failover mac address コマンドを追加する場合は、仮想 MAC アドレスを設定し、コンフィギュレーションをフラッシュメモリに保存して、フェールオーバーペアをリロードすることを推奨します。アクティブな接続が存在するときに仮想 MAC アドレスを追加すると、これらの接続は停止します。また、仮想 MAC アドレス指定を有効にするには、failover mac address コマンドを含むコンフィギュレーション全体を、セカンダリ ASA のフラッシュメモリに書き込む必要があります。

failover mac address がプライマリユニットのコンフィギュレーションに指定されている場合は、セカンダリユニットのブートストラップコンフィギュレーションにも指定する必要があります。

（注）

このコマンドが適用されるのは、Active/Standby フェールオーバーのみです。Active/Active フェールオーバーでは、フェールオーバーグループコンフィギュレーションモードで mac address コマンドを使用して、フェールオーバーグループの各インターフェイスの仮想 MAC アドレスを設定します。

他のコマンドまたは方法を使用して MAC アドレスを設定することもできますが、1 つの方法だけを使用することを推奨します。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。

例

次に、intf2 という名前のインターフェイスのアクティブ MAC アドレスおよびスタンバイ MAC アドレスを設定する例を示します。


ciscoasa(config)# failover mac address Ethernet0/2 00a0.c969.87c8 00a0.c918.95d8

failover polltime

フェールオーバーユニットのポーリングタイムおよびホールドタイムを指定するには、グローバルコンフィギュレーションモードで failover polltime コマンドを使用します。デフォルトのポーリング期間およびホールドタイムに戻すには、このコマンドの no 形式を使用します。

failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec time ]

no failover polltime [ unit ] [ msec ] poll_time [ holdtime [ msec time ]

構文の説明


holdtime `時刻`	（任意）ユニットが、フェールオーバーリンクで hello メッセージを受信する間隔を設定します。この時間を経過すると、ピアユニットで障害が発生したと見なされます。有効な値は 3 ～ 45 秒です。オプションの msec キーワードを使用した場合は、800 ～ 999 ミリ秒です。
msec	（任意）指定する時間がミリ秒単位であることを指定します。
`poll_time`	hello メッセージ間の時間を設定します。有効な値は 1 ～ 15 秒です。オプションの msec キーワードを使用した場合は、200 ～ 999 ミリ秒です。
unit	（任意）コマンドがユニットのポーリングタイムおよびホールドタイムに使用されていることを示します。このキーワードをコマンドに追加してもコマンドには影響がありませんが、コンフィギュレーションでこのコマンドを failover polltime interface コマンドと区別しやすくなります。

コマンドデフォルト

ASA のデフォルト値は次のとおりです。

poll_time は 1 秒です。
holdtime time は 15 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが、failover poll コマンドから failover polltime コマンドに変更され、unit および holdtime キーワードが含まれるようになりました。
7.2(1)	msec キーワードが holdtime キーワードに追加されました。polltime の最小値が 500 ミリ秒から 200 ミリ秒に引き下げられました。holdtime の最小値が 3 秒から 800 ミリ秒に引き下げられました。

使用上のガイドライン

ユニットのポーリングタイムの 3 倍未満の値を holdtime の値として入力することはできません。ポーリング間隔を短くすると、ASA で障害を検出し、フェールオーバーをトリガーする速度が速くなります。ただし、検出が速すぎると、ネットワークが一時的に輻輳したときに不要なスイッチオーバーが発生する可能性があります。

1 回のポーリング期間中に装置がフェールオーバーリンクで hello パケットを受信しなかった場合、残りのインターフェイスで追加テストが実行されます。それでも保持時間内にピア装置から応答がない場合、その装置は故障していると見なされ、故障した装置がアクティブ装置の場合は、スタンバイ装置がアクティブ装置を引き継ぎます。

コンフィギュレーションに failover polltime [unit ] コマンドおよび failover polltime interface コマンドの両方を含めることができます。

（注）

フェールオーバー設定で、CTIQBE トラフィックが ASA を通過する場合には、ASA のフェールオーバーホールドタイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブタイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。

例

次に、ユニットのポーリングタイムの頻度を 3 秒に変更する例を示します。


ciscoasa(config)# failover polltime 3

次に、200 ミリ秒ごとに hello パケットを送信し、800 ミリ秒以内にフェールオーバーインターフェイスで hello パケットを受信しないとフェールオーバーを実行するように ASA を設定する例を示します。オプションの unit キーワードがコマンドに含まれています。


ciscoasa(config)# failover polltime unit msec 200 holdtime msec 800

failover polltime interface

Active/Standby フェールオーバーコンフィギュレーションのデータインターフェイスの polltime および holdtime を指定するには、グローバルコンフィギュレーションモードで failover polltime interface コマンドを使用します。デフォルトの polltime および holdtime を復元するには、このコマンドの no 形式を使用します。

failover polltime interface [ msec ] polltime [ holdtime time ]

no failover polltime interface [ msec ] polltime [ holdtime time ]

構文の説明


holdtime `時刻`	（任意）ピアユニットからの最後に受信した hello メッセージとインターフェイステストの開始との間の時間（計算として）を設定して、インターフェイスの健全性を判断します。また、各インターフェイステストの期間を holdtime/16 として設定します。有効な値は 5 ～ 75 秒です。デフォルトは、polltime の 5 倍です。polltime の 5 倍よりも短い holdtime 値は入力できません。インターフェイステストを開始するまでの時間（y）を計算するには、次のようにします。 x = (holdtime /polltime)/2、最も近い整数に丸められます。（.4 以下は切り下げ、.5 以上は切り上げ。） y = x*polltime たとえば、デフォルトの holdtime は 25 で、polltime が 5 の場合は y は 15 秒です。
polltime	hello パケットをピアに送信するまで待機する時間を指定します。有効な値の範囲は、1 ～ 15 秒です。デフォルトは 5 分です。オプションの msec キーワードを使用した場合、有効な値は 500 ～ 999 ミリ秒です。
msec	（任意）指定する時間がミリ秒単位であることを指定します。

コマンドデフォルト

デフォルト値は次のとおりです。

ポーリングの time は 5 秒です。
holdtime time は、ポーリングの time の 5 倍です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが、failover poll コマンドから failover polltime コマンドに変更され、unit 、interface 、および holdtime キーワードが含まれるようになりました。
7.2(1)	オプションの holdtime `time` と、ミリ秒単位でポーリングタイムを指定する機能が追加されました。

使用上のガイドライン

このコマンドは、Active/Standby フェールオーバーにのみ使用可能です。Active/Active フェールオーバーでは、フェールオーバーグループコンフィギュレーションモードで polltime interface コマンドを使用します。

ポーリング間隔を短くすると、ASA で障害を検出し、フェールオーバーをトリガーする速度が速くなります。ただし短時間での検出は、ネットワークが一時的に輻輳した場合に不要な切り替えが行われる原因となります。

コンフィギュレーションに failover polltime unit コマンドおよび failover polltime interface コマンドの両方を含めることができます。

（注）

フェールオーバー設定で、CTIQBE トラフィックが ASA を通過する場合には、ASA のフェールオーバーホールドタイムを 30 秒未満に減らす必要があります。CTIQBE キープアライブタイムアウトは 30 秒であるため、フェールオーバーの状況ではフェールオーバーが発生する前にタイムアウトする可能性があります。CTIQBE がタイムアウトした場合、Cisco CallManager への Cisco IP SoftPhone の接続はドロップされ、IP SoftPhone クライアントは CallManager に再登録する必要があります。

例

次に、インターフェイスの polltime の頻度を 15 秒に設定する例を示します。


ciscoasa(config)# failover polltime interface 15

次に、インターフェイスの polltime の頻度を 500 ミリ秒に、holdtime を 5 秒に設定する例を示します。


ciscoasa(config)# failover polltime interface msec 500 holdtime 5

failover poll-time link-state

インターフェイスリンクステートのポーリング時間を変更するには、グローバルコンフィギュレーションモードで failover polltime link-state コマンドを使用します。リンクステートポーリングをディセーブルにするには、このコマンドの no 形式を使用します。

failover polltime link-state msec poll_time

no failover polltime link-state msec poll_time

構文の説明


msec poll_time	ポーリング時間を 300 ～ 799 ミリ秒で設定します。

コマンドデフォルト

デフォルトのポーリング時間は 500 ミリ秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
9.7(1)	このコマンドが追加されました。

使用上のガイドライン

デフォルトでは、フェールオーバーのペアの ASA では、インターフェイスのリンクステートが 500 ミリ秒ごとに確認されます。polltime はカスタマイズできます。たとえば、polltime を 300 ミリ秒に設定すると、ASA ではインターフェイスの障害やトリガーのフェールオーバーをより早く検出できるようになります。

アクティブ/アクティブモードでは、システムに対してこのレートを設定します。フェールオーバーグループごとにこのレートを設定することはできません。

例

次に、リンクステートのポーリング時間を 300 ミリ秒に設定する例を示します。


ciscoasa(config)# failover polltime link-state msec 300

failover reload-standby

スタンバイユニットを強制的にリブートするには、特権 EXEC モードで failover reload-standby コマンドを使用します。

failover reload-standby

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドが追加されました。

使用上のガイドライン

フェールオーバーユニットが同期化されないときにこのコマンドを使用します。スタンバイユニットが再起動し、起動終了後にアクティブユニットと再同期化されます。

例

次に、アクティブユニットで failover reload-standby コマンドを使用して、スタンバイユニットを強制的にリブートする例を示します。


ciscoasa# failover reload-standby

failover replication http

HTTP（ポート 80）接続のレプリケーションをイネーブルにするには、グローバルコンフィギュレーションモードで failover replication http コマンドを使用します。HTTP 接続の複製をディセーブルにするには、このコマンドの no 形式を使用します。

failover replication http

no failover replication http

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

ディセーブル

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、failover replicate http から failover replication http に変更されました。

使用上のガイドライン

デフォルトでは、ステートフルフェールオーバーがイネーブルの場合、ASA は HTTP セッション情報を複製しません。HTTP セッションは通常は存続期間が短く、また HTTP クライアントは接続試行が失敗すると通常は再試行するため、HTTP セッションの複製をしないことでシステムのパフォーマンスが向上します。複製をしなくても重要なデータや接続は失われません。failover replication http コマンドは、ステートフルフェールオーバー環境で HTTP セッションのステートフルレプリケーションを有効にします。

Active/Active フェールオーバーコンフィギュレーションでは、フェールオーバーグループコンフィギュレーションモードで replication http コマンドを使用して、フェールオーバーグループごとに HTTP セッションのレプリケーションを制御します。

例

次に、HTTP 接続のレプリケーションをイネーブルにする例を示します。


ciscoasa(config)# failover replication http

failover replication rate

バルク同期接続レプリケーションレートを設定するには、グローバルコンフィギュレーションモードで failover replication rate コマンドを使用します。デフォルト設定に戻すには、このコマンドの no 形式を使用します。

failover replication rate rate

no failover replication rate

構文の説明


`rate`	1 秒あたりの接続数を設定します。値とデフォルト設定はモデルの 1 秒あたりの最大接続数に応じて異なります。

コマンドデフォルト

モデルに応じて異なります。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
8.4(4.1)/8.5(1.7)	このコマンドが追加されました。

使用上のガイドライン

ステートフルフェールオーバーを使用するときに、ASA で接続がスタンバイ装置に複製されるレートを設定できます。デフォルトでは、接続は 15 秒間隔でスタンバイ装置に複製されます。ただし、バルク同期が発生すると（たとえば、フェールオーバーを最初にイネーブルにしたときなど）、1 秒あたりの最大接続数の制限のために、大量の接続を同期するのに 15 秒では不十分な場合があります。たとえば、ASASM での最大接続数を 800 万とします。800 万の接続を 15 秒間で複製するということは、1 秒あたり約 53.3 万の接続を作成するということです。ただし、1 秒あたりに許可される最大接続数は 30 万です。複製レートが 1 秒あたりの最大接続数以下になるように指定できるようになり、同期期間はすべての接続が同期されるまで調整されます。

例

次に、フェールオーバーレプリケーションレートを 1 秒あたり 20000 接続に設定する例を示します。


ciscoasa(config)# failover replication rate 20000

failover reset

障害が発生した ASA を障害が発生していない状態に復元するには、特権 EXEC モードで failover reset コマンドを使用します。

failover reset [ group group_id ]

構文の説明


group	（任意）フェールオーバーグループを指定します。group キーワードは、アクティブ/アクティブフェールオーバーのみに対して適用されます。
`group_id`	フェールオーバーグループの番号。

コマンドデフォルト

デフォルトの動作や値はありません。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
特権 EXEC	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、オプションのフェールオーバーグループ ID を追加するように変更されました。

使用上のガイドライン

failover reset コマンドを使用すると、障害が発生したユニットまたはグループを、障害が発生していない状態にすることができます。failover reset コマンドはいずれのユニットでも入力できますが、常にアクティブユニットでコマンドを入力することを推奨します。アクティブユニットで failover reset コマンドを入力すると、スタンバイユニットが障害が発生していない状態に復元されます。

show failover コマンドまたは show failover state コマンドを使用することにより、装置のフェールオーバーステータスを表示できます。

このコマンドの no 形式はありません。

アクティブ/アクティブフェールオーバーでは、failover reset を入力すると、ユニット全体がリセットされます。コマンドにフェールオーバーグループを指定すると、指定したグループのみがリセットされます。

例

次に、障害が発生したユニットを障害が発生していない状態に変更する例を示します。


ciscoasa# failover reset

failover standby config-lock

フェールオーバーペアのスタンバイユニットまたはスタンバイコンテキストに対するコンフィギュレーションの変更をロックするには、グローバルコンフィギュレーションモードで failover standby config-lock コマンドを使用します。スタンバイユニットでのコンフィギュレーションを許可するには、このコマンドの no 形式を使用します。

failover standby config-lock

no failover standby config-lock

構文の説明

このコマンドには引数またはキーワードはありません。

コマンドデフォルト

デフォルトでは、スタンバイユニットまたはスタンバイコンテキストに対するコンフィギュレーションは、警告メッセージ付きで許可されます。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.3(2)	このコマンドが追加されました。

使用上のガイドライン

通常のコンフィギュレーション同期以外の変更をスタンバイユニットに加えることができないように、スタンバイユニット（Active/Standby フェールオーバー）またはスタンバイコンテキスト（Active/Active フェールオーバー）に対するコンフィギュレーション変更をロックできます。

例

次に、スタンバイユニットに対するコンフィギュレーションを許可しない例を示します。


ciscoasa(config)# failover standby config-lock

failover timeout

非対称ルーテッドセッションのフェールオーバー再接続タイムアウト値を指定するには、グローバルコンフィギュレーションモードで failover timeout コマンドを使用します。デフォルトのタイムアウト値に戻すには、このコマンドの no 形式を使用します。

failover timeout hh [ :mm : [ :ss ]

failover timeout [ hh [ :mm : [ :ss ] ]

構文の説明

hh

タイムアウト値の時間を指定します。有効な値の範囲は、-1 ～ 1193 です。デフォルトでは、この値は 0 に設定されています。

この値を -1 に設定すると、タイムアウトがディセーブルになり、任意の時間が経過したあとでも接続を再開できます。

この値を 0 に設定し、他のタイムアウト値を指定しないと、コマンドがデフォルト値に設定されて再接続ができなくなります。no failover timeout コマンドを入力しても、この値がデフォルト（0）に設定されます。

（注）

デフォルト値に設定すると、このコマンドは実行コンフィギュレーションに表示されません。

mm

（任意）タイムアウト値の分を指定します。有効な値の範囲は 0 ～ 59 です。デフォルトでは、この値は 0 に設定されています。

ss

（任意）タイムアウト値の秒を指定します。有効な値の範囲は 0 ～ 59 です。デフォルトでは、この値は 0 に設定されています。

コマンドデフォルト

デフォルトで、hh 、mm 、および ss は 0 であり、再接続はできないようになっています。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	—	対応

コマンド履歴


リリース	変更内容
7.0(1)	このコマンドは、コマンドリストに表示されるように変更されました。

使用上のガイドライン

このコマンドは、nailed オプションを指定した static コマンドとともに使用されます。nailed オプションを指定すると、起動後、またはシステムがアクティブになった後、指定した時間内に接続を再確立できます。failover timeout コマンドでは、その時間を指定します。設定しない場合は、接続を再確立できません。failover timeout コマンドは、asr-group コマンドに影響しません。

（注）

nailed オプションを static コマンドに追加すると、その接続で TCP ステートトラッキングとシーケンスチェックがスキップされます。

このコマンドの no 形式を使用すると、デフォルト値に戻ります。failover timeout 0 を入力しても、デフォルト値に戻ります。デフォルト値に設定すると、このコマンドは実行コンフィギュレーションに表示されません。

例

次に、スタンバイグループ 1 をアクティブに切り替える例を示します。


ciscoasa(config)# failover timeout 12:30
ciscoasa(config)# show running-config failover
no failover
failover timeout 12:30:00

failover wait-disable

ブリッジグループまたは IPv6 重複アドレス検出（DAD）を使用する場合、フェールオーバーピアユニットがスタンバイ状態になるまで待機することを無効にするには、グローバルコンフィギュレーションモードで failover wait-disable コマンドを使用します。これらの機能により、新しいアクティブユニットは、スタンバイユニットがネットワークタスクを終了してスタンバイ状態に移行するまで、トラフィックの通過を待機します。待機を再度イネーブルにするには、このコマンドの no 形式を使用します。

failover wait-disable

no failover wait-disable

コマンドデフォルト

デフォルトでは、スタンバイユニットがスタンバイ状態（no failover wait-disable ）に移行するまで、アクティブユニットは最大 3000 ミリ秒待機します。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
グローバル設定	対応	対応	対応	対応	—

コマンド履歴


リリース	変更内容
9.15(1)	このコマンドが導入されました。

使用上のガイドライン

ブリッジグループまたは IPv6 DAD を使用する場合、フェールオーバーが発生すると、新しいアクティブユニットは、スタンバイユニットがネットワーキングタスクを完了してスタンバイ状態に移行するまで、最大 3000 ミリ秒待機します。その後、アクティブユニットはトラフィックの受け渡しを開始できます。この遅延を回避するために、待機時間を無効にすると、スタンバイユニットが移行する前にアクティブユニットがトラフィックの受け渡しを開始します。

例

次に、待機をディセーブルにする例を示します。


ciscoasa(config)# failover wait-disable
ciscoasa(config)#

fallback（廃止）

接続の整合性が低下した場合に Cisco Intercompany Media Engine が VoIP から PSTN へフォールバックするために使用するフォールバックタイマーを設定するには、uc-ime コンフィギュレーションモードで fallback コマンドを使用します。フォールバックの設定を削除するには、このコマンドの no 形式を使用します。

fallback { sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec }

no fallback { sensitivity-file filename | monitoring timer timer_millisec hold-down timer timer_sec }

構文の説明


`filename`	感度ファイルのファイル名を指定します。.fbs ファイル拡張子が含まれる、ディスクにあるファイルの名前を入力します。ファイル名を指定するときに、ローカルディスク上のパスを含めることができます（例：disk0:/file001.fbs）。
hold-down timer	PSTN にフォールバックするかどうかを Cisco UCM に通知するまでに ASA が待機する時間を設定します。
monitoring timer	インターネットから受信した RTP パケットを ASA でサンプリングする時間間隔を設定します。ASA は、このデータサンプルを使用して、通話に対して PSTN へのフォールバックが必要かどうか判断します。
sensitivity-file	通話中の PSTN フォールバックに使用するファイルを指定します。感度ファイルは ASA により解析され、RMA ライブラリに入力されます。
`timer_millisec`	ミリ秒単位でモニタリングタイマーの長さを指定します。10 ～ 600 の範囲で整数を入力します。デフォルトのモニタリングタイマーの長さは 100 ミリ秒です。
`timer_sec`	ホールドダウンタイマーの長さを秒単位で指定します。10 ～ 360 の範囲で整数を入力します。デフォルトのホールドダウンタイマーの長さは 20 秒です。

コマンドデフォルト

デフォルトのモニタリングタイマーの長さは 100 ミリ秒です。ホールドダウンタイマーの長さは 20 秒です。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
uc-ime コンフィギュレーション	対応	—	対応	—	—

コマンド履歴


リリース	変更内容
8.3(1)	コマンドが追加されました。
9.4(1)	このコマンドは、すべての uc-ime モードコマンドとともに廃止されました。

使用上のガイドライン

Cisco Intercompany Media Engine のフォールバックタイマーを指定します。

インターネット接続は、時間とともに品質が大幅に変化する可能性があります。そのため、接続の品質が良くてコールが VoIP 上で送信されたとしても、その接続品質は通話中に低下する可能性があります。エンドユーザーに対して全体にわたって良好な通話を保証するために、Cisco Intercompany Media Engine では通話中のフォールバックの実行が試みられます。

通話中のフォールバックを実行するには、インターネットから着信する RTP パケットを ASA でモニターし、情報を RTP Monitoring Algorithm（RMA）API に送信する必要があります。これにより、フォールバックが必要かどうかが ASA に示されます。フォールバックが必要になると、コールを PSTN へフォールバックする必要があることを通知するために、ASA から Cisco UCM に REFER メッセージが送信されます。

（注）

SIP インスペクションに対して Cisco Intercompany Media Engine プロキシがイネーブルの場合、フォールバックタイマーは変更できません。フォールバックタイマーを変更する前に、Cisco Intercompany Media Engine プロキシを SIP インスペクションから削除します。

例

次に、フォールバックタイマーを指定するとともに、Cisco Intercompany Media Engine を設定する方法の例を示します。


ciscoasa
(config)# uc-ime local_uc-ime_proxy
ciscoasa(config-uc-ime)# media-termination ime-media-term
ciscoasa(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
ciscoasa(config-uc-ime)# ticket epoch 1 password password1234
ciscoasa(config-uc-ime)# fallback monitoring timer 120
ciscoasa(config-uc-ime)# fallback hold-down timer 30

次に、感度ファイルを指定するとともに、Cisco Intercompany Media Engine を設定する方法の例を示します。


ciscoasa
(config)# uc-ime local_uc-ime_proxy
ciscoasa(config-uc-ime)# media-termination ime-media-term
ciscoasa(config-uc-ime)# ucm address 192.168.10.30 trunk-security-mode non-secure
ciscoasa(config-uc-ime)# ticket epoch 1 password password1234
ciscoasa(config-uc-ime)# fallback sensitivity-file local_uc-ime_fallback_policy

fast-flood

IS-IS リンクステートパケット（LSP）をフラッディングするには、ルータ ISIS コンフィギュレーションモードで fast-flood コマンドを使用します。高速フラッディングをディセーブルにするには、このコマンドの no 形式を使用します。

fast-flood [ lsp-number ]

no fast-flood [ lsp-number ]

構文の説明


`lsp-number`	（任意）SPF の開始前にフラッディングする LSP の数です。指定できる範囲は 1 ～ 15 です。デフォルトは 5 分です。

コマンドデフォルト

高速フラッディングはディセーブルです。

コマンドモード

次の表に、コマンドを入力できるモードを示します。


コマンドモード	ファイアウォールモード		セキュリティコンテキスト
	ルーテッド	トランスペアレント	シングル	マルチ
	ルーテッド	トランスペアレント	シングル	コンテキスト	システム
ルータ isis コンフィギュレーション	対応	—	対応	対応	—

コマンド履歴


リリース	変更内容
9.6(1)	コマンドが追加されました。

使用上のガイドライン

fast-flood コマンドでは、指定した数の LSP が ASA から送信されます。LSP 数を指定しない場合、デフォルトとして 5 が使用されます。LSP は、SPF の実行前に SPF を呼び出します。LSP フラッディングプロセスを高速化すると、ネットワークの全体的なコンバージェンス時間が向上します。

ASA は SPF 計算を実行する前に、少なくとも SPF をトリガーした LSP を常にフラッディングする必要があります。

コンバージェンス時間を短縮するために、ASA が SPF 計算を実行する前に、LSP の高速フラッディングをイネーブルにしておくことをお勧めします。

例

次の例では、fast-flood コマンドを入力して、SPF 計算が開始される前に、SPF を呼び出す最初の 7 個の LSP をフラッディングするようにルータを設定しています。show running-configuration コマンドを入力すると、出力から、ASA で高速フラッディングがイネーブルにされていることがわかります。


ciscoasa# clear isis rib redistribution 10.1.0.0 255.255.0.0
ciscoasa> enable
ciscoasa# configure terminal
ciscoasa(config)# router isis
ciscoasa(config-router)# fast-flood 7
ciscoasa(config-router)# end
ciscoasa# show running-config | inc fast-flood
fast-flood 7

コマンド	説明
debug fover	フェールオーバー関連のデバッグメッセージを表示します。
debug xml	failover exec コマンドによって使用される XML パーサーのデバッグメッセージを表示します。
show failover exec	failover exec コマンドモードを表示します。

コマンド	説明
asr-group	非対称ルーティングインターフェイスグループ ID を指定します。
interface-policy	モニタリングによってインターフェイスの障害が検出された場合のフェールオーバーポリシーを指定します。
join-failover-group	コンテキストをフェールオーバーグループに割り当てます。
mac address	フェールオーバーグループ内のコンテキストに対して仮想 MAC アドレスを定義します。
polltime interface	モニター対象インターフェイスに送信される hello メッセージ間の時間を指定します。
preempt	高いプライオリティを持つユニットが、リブート後にアクティブユニットとなることを指定します。
primary	フェールオーバーグループにおいて、プライマリユニットに対してより高いプライオリティを指定します。
replication http	選択したフェールオーバーグループに対して、HTTP セッションのレプリケーションを指定します。
secondary	フェールオーバーグループにおいて、セカンダリユニットに対してより高いプライオリティを指定します。

コマンド	説明
bfd template	BFD で使用するテンプレートを作成します。
bfd interval	テンプレートのパケットレートを定義します。

コマンド	説明
failover polltime	ユニットおよびインターフェイスのポーリングタイムを指定します。
failover reset	障害が発生したユニットを障害が発生していない状態に復元します。
monitor-interface	フェールオーバーのためにモニター対象にするインターフェイスを指定します。
show failover	装置のフェールオーバー状態についての情報を表示します。

コマンド	説明
show running-config failover	実行コンフィギュレーション内のフェールオーバーコマンドを表示します。
show vpn-sessiondb	フェールオーバー IPsec トンネルを含む、VPN トンネルに関する情報を示します。

コマンド	説明
failover lan unit	LAN ベースのフェールオーバーでの、プライマリ装置またはセカンダリ装置を指定します。
failover link	ステートフルフェールオーバーインターフェイスを指定します。

コマンド	説明
failover interface ip	failover コマンドおよびステートフルフェールオーバーインターフェイスの IP アドレスを設定します。
failover lan interface	フェールオーバー通信に使用するインターフェイスを指定します。

コマンド	説明
failover polltime interface	Active/Standby フェールオーバーコンフィギュレーションのインターフェイスポーリング期間およびホールドタイムを指定します。
polltime interface	Active/Active フェールオーバーコンフィギュレーションのインターフェイスポーリングタイムおよびホールドタイムを指定します。
show failover	フェールオーバーコンフィギュレーションの情報を表示します。

コマンド	説明
failover polltime	装置のフェールオーバーポーリング期間とホールドタイムを指定します。
polltime interface	Active/Active フェールオーバーコンフィギュレーションのインターフェイスポーリングタイムを指定します。
show failover	フェールオーバーコンフィギュレーションの情報を表示します。

コマンド	説明
failover polltime unit	ユニットヘルスチェックのポーリング時間を設定します。
failover polltime interface	インターフェイスヘルスチェックのポーリング時間を設定します。

コマンド	説明
replication http	特定のフェールオーバーグループに対して、HTTP セッションのレプリケーションをイネーブルにします。
show running-config failover	実行コンフィギュレーションの failover コマンドを表示します。

コマンド	説明
show running-config uc-ime	Cisco Intercompany Media Engine プロキシの実行コンフィギュレーションを表示します。
show uc-ime	フォールバック通知、マッピングサービスセッション、およびシグナリングセッションに関する統計情報または詳細情報を表示します。
uc-ime	Cisco Intercompany Media Engine プロキシインスタンスを ASA に作成します。

コマンド	説明
advertise passive-only	パッシブインターフェイスをアドバタイズするように ASA を設定します。
area-password	IS-IS エリア認証パスワードを設定します。
authentication key	IS-IS の認証をグローバルで有効にします。
authentication mode	グローバルな IS-IS インスタンスに対して IS-IS パケットで使用される認証モードのタイプを指定します。
authentication send-only	グローバルな IS-IS インスタンスでは、送信される（受信ではなく）IS-IS パケットでのみ認証が実行されるように設定します。
clear isis	IS-IS データ構造をクリアします。
default-information originate	IS-IS ルーティングドメインへのデフォルトルートを生成します。
distance	IS-IS プロトコルにより発見されたルートに割り当てられるアドミニストレーティブディスタンスを定義します。
domain-password	IS-IS ドメイン認証パスワードを設定します。
fast-flood	IS-IS LSP がフルになるように設定します。
hello padding	IS-IS hello をフル MTU サイズに設定します。
hostname dynamic	IS-IS ダイナミックホスト名機能を有効にします。
ignore-lsp-errors	内部チェックサムエラーのある IS-IS LSP を受信した場合に LSP をパージするのではなく無視するように ASA を設定します。
isis adjacency-filter	IS-IS 隣接関係の確立をフィルタ処理します。
isis advertise-prefix	IS-IS インターフェイスで、LSP アドバタイズメントを使用して接続中のネットワークの IS-IS プレフィックスをアドバタイズします。
isis authentication key	インターフェイスに対する認証を有効にします。
isis authentication mode	インターフェイスごとに、インスタンスに対して IS-IS パケットで使用される認証モードのタイプを指定します。
isis authentication send-only	送信される（受信ではなく）IS-IS パケットに対してのみ認証を実行するように、インターフェイスごとの IS-IS インスタンスを設定します。
isis circuit-type	IS-IS で使用される隣接関係のタイプを設定します。
isis csnp-interval	ブロードキャストインターフェイス上で定期的に CSNP パケットが送信される間隔を設定します。
isis hello-interval	IS-IS が連続して hello パケットを送信する時間の長さを指定します。
isis hello-multiplier	ネイバーが見落とすことができる IS-IS hello パケット数の最大値を指定します。見落とされたパケット数がこの値を超えると、ASA は隣接がダウンしていると宣言します。
isis hello padding	IS-IS hello をインターフェイスごとのフル MTU サイズに設定します。
isis lsp-interval	インターフェイスごとの連続する IS-IS LSP 送信間の遅延時間を設定します。
isis metric	IS-IS メトリックの値を設定します。
isis password	インターフェイスの認証パスワードを設定します。
isis priority	インターフェイスでの指定された ASA のプライオリティを設定します。
isis protocol shutdown	インターフェイスごとに IS-IS プロトコルを無効にします。
isis retransmit-interval	インターフェイス上の各 IS-IS LSP の再送信間の時間を設定します。
isis retransmit-throttle-interval	インターフェイス上の各 IS-IS LSP の再送信間の時間を設定します。
isis tag	IP プレフィックスが LSP に挿入されたときに、インターフェイスに設定された IP アドレスにタグを設定します。
is-type	IS-IS ルーティングプロセスのルーティングレベルを割り当てます。
log-adjacency-changes	NLSP IS-IS 隣接関係がステートを変更（アップまたはダウン）する際に、ASA がログメッセージを生成できるようにします。
lsp-full suppress	PDU がフルになったときに、抑制されるルートを設定します。
lsp-gen-interval	LSP 生成の IS-IS スロットリングをカスタマイズします。
lsp-refresh-interval	LSP の更新間隔を設定します。
max-area-addresses	IS-IS エリアの追加の手動アドレスを設定します。
max-lsp-lifetime	LSP が更新されずに ASA のデータベース内で保持される最大時間を設定します。
maximum-paths	IS-IS のマルチパスロードシェアリングを設定します。
metric	すべての IS-IS インターフェイスのメトリック値をグローバルに変更します。
metric-style	新規スタイル、長さ、および値オブジェクト（TLV）を生成し、TLV のみを受け入れるように、IS-IS を稼働している ASA を設定します。
net	ルーティングプロセスの NET を指定します。
passive-interface	パッシブインターフェイスを設定します。
prc-interval	PRC の IS-IS スロットリングをカスタマイズします。
protocol shutdown	インターフェイス上で隣接関係を形成して LSP データベースをクリアすることができないように、IS-IS プロトコルをグローバルで無効にします。
redistribute isis	特にレベル 1 からレベル 2 へ、またはレベル 2 からレベル 1 へ、IS-IS ルートを再配布します。
route priority high	IS-IS IP プレフィックスにハイプライオリティを割り当てます。
router isis	IS-IS ルーティングをイネーブルにします。
set-attached-bit	レベル 1 とレベル 2 間のルータが Attach ビットを設定する必要がある場合の制約を指定します。
set-overload-bit	SPF 計算の中間ホップとして使用できないことを他のルータに通知するように ASA を設定します。
show clns	CLNS 固有の情報を表示します。
show isis	IS-IS の情報を表示します。
show route isis	IS-IS ルートを表示します。
spf-interval	SPF 計算の IS-IS スロットリングをカスタマイズします。
summary-address	IS-IS の集約アドレスを作成します。

Cisco Secure Firewall ASA シリーズ コマンド リファレンス、A ～ H コマンド

偏向のない言語

翻訳について

検索結果

章のタイトル： fa – fd

fa – fd

failover

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover active

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud authentication

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud peer

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud polltime

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud port

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud route-table

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud route-table rg

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud route-table route

構文の説明

コマンド デフォルト

コマンド モード

コマンド履歴

使用上のガイドライン

例

関連コマンド

failover cloud subscription-id

構文の説明

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード

コマンドデフォルト

コマンドモード