- ASDM の概要
- 始める前に
- FWSM で使用するスイッチの設定
- Startup Wizard
- インターフェイスの設定
- グローバル オブジェクトの追加
- セキュリティ コンテキストの設定
- デバイス プロパティの設定
- DHCP サービスと DNS サービスの 設定
- AAA サーバの設定
- Device Access
- フェールオーバー
- ロギングおよび SNMP の設定
- ダイナミック ルーティングおよび スタティック ルーティング の設定
- マルチキャスト ルーティングの設定
- ファイアウォール モードの概要
- アクセス ルールと EtherType ルール の設定
- AAA ルールの設定
- トラフィックのフィルタリング
- サービス ルール
- NAT の設定
- ARP 検査およびブリッジング パラメータの設定
- ネットワーク攻撃の防止
- 証明書
- システム ログ メッセージのモニタリ ング
- フェールオーバーのモニタリング
- インターフェイス
- ルーティングのモニタリング
- プロパティのモニタリング
- 仕様
- 索引
Cisco ASDM ユーザ ガイド 5.2(3)F
偏向のない言語
この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください。
翻訳について
このドキュメントは、米国シスコ発行ドキュメントの参考和訳です。リンク情報につきましては、日本語版掲載時点で、英語版にアップデートがあり、リンク先のページが移動/変更されている場合がありますことをご了承ください。あくまでも参考和訳となりますので、正式な内容については米国サイトのドキュメントを参照ください。
- Updated:
- 2017年6月14日
章のタイトル: フェールオーバー
- フェールオーバーについて
- High Availability and Scalability ウィザードを使用したフェールオーバーの設定
フェールオーバー
フェールオーバーについて
Failover パネルには、FWSM でフェールオーバーを構成するための各種設定が含まれています。ただし、Failover パネルは、マルチモードであるかシングルモードであるかによって変化し、マルチモードのときは使用しているセキュリティ コンテキストに基づいて変化します。
フェールオーバーを使用すると、2 台の FWSM を設定して、一方に障害が発生した場合にもう一方がその動作を引き継ぐようにすることができます。ペアになっている FWSM を使用することで、オペレータの介入を必要としない高可用性を実現できます。FWSM は、専用のフェールオーバー リンクでフェールオーバー情報を伝達します。次の情報がフェールオーバー リンク経由で伝達されています。
FWSM は、Active/Standby と Active/Active の 2 つのフェールオーバー タイプをサポートします。また、フェールオーバーは、ステートフルにもステートレスにもできます。フェールオーバーのタイプの詳細については、次の項目を参照してください。
Active/Standby フェールオーバー
Active/Standby コンフィギュレーションでは、アクティブ FWSM が、フェールオーバー ペアを通過するすべてのネットワーク トラフィックを処理します。スタンバイ FWSM は、アクティブ FWSM に障害が発生するまでネットワーク トラフィックを処理しません。アクティブ FWSM のコンフィギュレーションが変更されると、その都度コンフィギュレーション情報がフェールオーバー リンク経由でスタンバイ FWSM に送信されます。
フェールオーバーが実行されると、スタンバイ FWSM はアクティブ装置になります。このとき、それまでアクティブだった装置の IP アドレスおよび MAC アドレスが引き継がれます。ネットワーク上の他のデバイスは IP アドレスまたは MAC アドレスの変更を参照できないため、ARP エントリが変わったり、ネットワーク上でタイム アウトしたりすることはありません。
Active/Active フェールオーバー
Active/Active フェールオーバー コンフィギュレーションでは、両方の FWSM がネットワーク トラフィックを渡します。Active/Active フェールオーバーは、マルチコンテキスト モードの FWSM でのみ使用できます。
FWSM で Active/Active フェールオーバーをイネーブルにするには、フェールオーバー グループを作成する必要があります。フェールオーバー グループを作成せずにフェールオーバーをイネーブルにすると、Active/Standby フェールオーバーをイネーブルにすることになります。フェールオーバー グループは、1 つまたは複数のセキュリティ コンテキストの論理グループにすぎません。FWSM では、2 つのフェールオーバー グループを作成できます。フェールオーバー グループは、フェールオーバー グループ 1 がアクティブ状態にある装置に作成する必要があります。管理コンテキストは常にフェールオーバー グループ 1 のメンバーです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバーです。
Active/Standby フェールオーバーと同様に、Active/Active フェールオーバー ペアの各装置には、プライマリ指定またはセカンダリ指定が設定されます。Active/Standby フェールオーバーの場合とは異なり、両方の装置が同時に起動された場合、この指定ではどちらの装置がアクティブになるか指示しません。コンフィギュレーションの各フェールオーバー グループには、プライマリまたはセカンダリ役割プリファレンスが設定されます。このプリファレンスにより、両方の装置が同時に起動されたときに、フェールオーバー ペアのどちらの装置でフェールオーバー グループのコンテキストがアクティブ状態に表示されるのかが決まります。両方のフェールオーバー グループをペアのうちの一方の装置でアクティブ状態にして、もう一方の装置にはスタンバイ状態のフェールオーバー グループが含まれるようにできます。ただし、さらに一般的なコンフィギュレーションでは、各フェールオーバー グループに異なる役割プリファレンスを割り当て、装置ごとにそれぞれ 1 つをアクティブにして、装置全体でトラフィックのバランスが取れるようにします。
一方または両方の装置が起動すると、初期コンフィギュレーションの同期が発生します。この同期は、次のルールに従って発生します。
•
両方の装置が同時に起動した場合、コンフィギュレーションはプライマリ装置からセカンダリ装置へと同期されます。
• すでに片方の装置がアクティブの状態でもう一方の装置が起動した場合、起動している装置が、すでにアクティブの状態の装置からコンフィギュレーションを受け取ります。
両方の装置が動作中になった後で、次のように、コマンドが一方の装置からもう一方の装置に複製されます。
• セキュリティ コンテキスト内で入力されたコマンドは、そのセキュリティ コンテキストがアクティブ状態で表示される装置からピア装置に複製されます。
(注) あるコンテキストがある装置でアクティブ状態と見なされるのは、そのコンテキストが属するフェールオーバー グループがその装置上でアクティブ状態である場合です。
• システム実行スペースで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態の装置から、フェールオーバー グループ 1 がスタンバイ状態の装置に複製されます。
• 管理コンテキストで入力されたコマンドは、フェールオーバー グループ 1 がアクティブ状態の装置から、フェールオーバー グループ 1 がスタンバイ状態の装置に複製されます。
コマンド複製を行うのに適切な装置上でコマンドを入力しなかった場合は、コンフィギュレーションは非同期になります。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。
Active/Active フェールオーバー コンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバー グループごとに行われます。たとえば、プライマリ装置で両方のフェールオーバー グループをアクティブと指定し、フェールオーバー グループ 1 が故障すると、フェールオーバー グループ 2 はプライマリ装置でアクティブのままですが、フェールオーバー グループ 1 はセカンダリ装置でアクティブになります。
(注) Active/Active フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。
ステートレス(通常)フェールオーバー
ステートレス フェールオーバーは、通常フェールオーバーとも呼ばれます。ステートレス フェールオーバーでは、フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。
ステートフル フェールオーバー
ステートフル フェールオーバーがイネーブルになっている場合、フェールオーバー ペアのアクティブ装置は接続ごとのステート情報をスタンバイ装置に常に渡しています。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。
(注) ステートおよび LAN フェールオーバー リンクの IP アドレスおよび MAC アドレスは、フェールオーバー時に変更されません。
ステートフル フェールオーバーを使用するには、ステート リンクがすべてのステート情報をスタンバイ装置に渡すように設定する必要があります。フェールオーバー リンクとしてステート リンクに同じインターフェイスを使用できます。ただし、スタンバイ装置にステート情報を渡すときは、専用のインターフェイスを使用することをお勧めします。
ステートフル フェールオーバーがイネーブルになっているとき、次の情報がスタンバイ装置に渡されます。
• タイムアウト接続などの TCP 接続テーブル(HTTP を除く)
• H.323、SIP、および MGCP UDP メディア接続
ステートフル フェールオーバーがイネーブルになっているとき、次の情報はスタンバイ装置にコピーされません。
High Availability and Scalability ウィザードを使用したフェールオーバーの設定
High Availability and Scalability ウィザードでは、Active/Active フェールオーバー コンフィギュレーション、または Active/Standby フェールオーバー コンフィギュレーションの作成プロセスを、順を追って実行できます。
High Availability and Scalability ウィザードの使用の詳細については、次の項目を参照してください。
• High Availability and Scalability ウィザードへのアクセスと使用
• High Availability and Scalability ウィザードを使用した Active/Active フェールオーバーの設定
• High Availability and Scalability ウィザードを使用した Active/Standby フェールオーバーの設定
• High Availability and Scalability ウィザードのフィールド情報
High Availability and Scalability ウィザードへのアクセスと使用
High Availability and Scalability ウィザードを開くには、ASDM メニューバーで Wizards > High Availability and Scalability Wizard の順に選択します。ウィザードの最初の画面が表示されます。
ウィザードの次の画面に移動するには、 Next ボタンをクリックします。次の画面に移動する前に、各画面の必須フィールドへの入力を完了する必要があります。
ウィザードの前の画面に戻るには、 Back ボタンをクリックします。ウィザードの後の画面に入力した情報に前の画面で行った変更が反映されていない場合でも、ウィザードを進んでいけば入力した情報は画面上に残っています。情報を再度入力する必要はありません。
High Availability and Scalability ウィザードを使用した Active/Active フェールオーバーの設定
次の手順では、High Availability and Scalability ウィザードを使用した Active/Active フェールオーバーの設定の概要を説明します。手順の各ステップは、ウィザード画面に対応しています。それぞれのステップを実行したら、次のステップに進む前に Next をクリックします(ただし、最終ステップを除きます)。また、各ステップには、実行に必要な追加情報への参照も含まれています。
ステップ 1 Choose the type of failover configuration 画面で Configure Active/Active フェールオーバーを選択します。
この画面の詳細については、「 Configuration Type 」を参照してください。
ステップ 2 Check Failover Peer Connectivity and Compatibility 画面にフェールオーバー ピアの IP アドレスを入力します。 Test Compatibility をクリックします。すべての互換性テストに合格するまで、次の画面に進むことはできません。
この画面の詳細については、「 Failover Peer Connectivity and Compatibility Check 」を参照してください。
ステップ 3 FWSM またはフェールオーバー ピアがシングルコンテキスト モードである場合、Change Device to Multiple Mode 画面でマルチコンテキスト モードに変更します。FWSM をマルチコンテキスト モードに変更すると、リブートされます。リブートが完了すると、ASDM は自動的に FWSM との通信を再確立します。
この画面の詳細については、「 Change Device to Multiple Mode 」を参照してください。
ステップ 4 Context Configuration 画面で、フェールオーバー グループにセキュリティ コンテキストを割り当てます。この画面では、コンテキストを追加または削除できます。
この画面の詳細については、「 Security Context Configuration 」を参照してください。
ステップ 5 Failover Link Configuration 画面でフェールオーバー リンクを定義します。
この画面の詳細については、「 Failover Link Configuration 」を参照してください。
ステップ 6 State Link Configuration 画面でステートフル フェールオーバー リンクを定義します。
この画面の詳細については、「 State Link Configuration 」を参照してください。
ステップ 7 Standby Address Configuration 画面で、スタンバイ アドレスを FWSM インターフェイスに追加します。
この画面の詳細については、「 Standby Address Configuration 」を参照してください。
ステップ 8 Summary 画面でコンフィギュレーションを確認します。必要に応じて Back ボタンを使用し、前の画面に戻って変更します。
この画面の詳細については、「 Summary 」を参照してください。
フェールオーバー コンフィギュレーションが FWSM とフェールオーバー ピアに送信されます。
High Availability and Scalability ウィザードを使用した Active/Standby フェールオーバーの設定
次の手順では、High Availability and Scalability ウィザードを使用した Active/Standby フェールオーバーの設定の概要を説明します。手順の各ステップは、ウィザード画面に対応しています。それぞれのステップを実行したら、次のステップに進む前に Next をクリックします(ただし、最終ステップを除きます)。また、各ステップには、実行に必要な追加情報への参照も含まれています。
ステップ 1 Choose the type of failover configuration 画面で Configure Active/Standby フェールオーバーを選択します。Next をクリックします。
この画面の詳細については、「 Configuration Type 」を参照してください。
ステップ 2 Check Failover Peer Connectivity and Compatibility 画面にフェールオーバー ピアの IP アドレスを入力します。 Test Compatibility をクリックします。すべての互換性テストに合格するまで、次の画面に進むことはできません。
この画面の詳細については、「 Failover Peer Connectivity and Compatibility Check 」を参照してください。
ステップ 3 Failover Link Configuration 画面でフェールオーバー リンクを定義します。
この画面の詳細については、「 Failover Link Configuration 」を参照してください。
ステップ 4 State Link Configuration 画面でステートフル フェールオーバー リンクを定義します。
この画面の詳細については、「 State Link Configuration 」を参照してください。
ステップ 5 Standby Address Configuration 画面で、スタンバイ アドレスを FWSM インターフェイスに追加します。
この画面の詳細については、「 Standby Address Configuration 」を参照してください。
ステップ 6 Summary 画面でコンフィギュレーションを確認します。必要に応じて Back ボタンを使用し、前の画面に戻って変更します。
この画面の詳細については、「 Summary 」を参照してください。
フェールオーバー コンフィギュレーションが FWSM とフェールオーバー ピアに送信されます。
High Availability and Scalability ウィザードのフィールド情報
High Availability and Scalability ウィザードでは、次のダイアログが使用できます。ウィザードの実行中に、すべてのダイアログボックスが表示されるわけではありません。表示される各ダイアログボックスは、設定するフェールオーバーのタイプによって異なります。
• Failover Peer Connectivity and Compatibility Check
• Change Device to Multiple Mode
• Security Context Configuration
• Standby Address Configuration
• Summary
Configuration Type
Configuration Type 画面では、設定するフェールオーバーのタイプを選択できます。
Choose the Type of Failover Configuration には、次の情報フィールドが表示されます。これらの情報フィールドは、FWSM のフェールオーバー機能の決定に役立ちます。
• Hardware Model:(表示のみ)FWSM のモデル番号を表示します。
• No. of Interfaces:(表示のみ)FWSM で使用可能なインターフェイスの数を表示します。
• No. of Modules:(表示のみ)FWSM にインストールされたモジュールの数を表示します。
• Software Version:(表示のみ)FWSM 上のプラットフォーム ソフトウェアのバージョンを表示します。
• Failover License:(表示のみ)デバイスにインストールされたフェールオーバー ライセンスのタイプを表示します。フェールオーバーを設定するには、アップグレードしたライセンスの購入が必要になる場合があります。
• Firewall Mode:(表示のみ)ファイアウォール モード(ルーテッドまたは透過)およびコンテキスト モード(シングルまたはマルチ)を表示します。
設定しているフェールオーバー コンフィギュレーションのタイプを選択します。
• Configure Active/Active Failover:FWSM に Active/Active フェールオーバーを設定します。
• Configure Active/Standby Failover:FWSM に Active/Standby フェールオーバーを設定します。
• Configure VPN Cluster Load Balancing:FWSM がクラスタの一部として VPN ロードバランシングに参加するように設定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Failover Peer Connectivity and Compatibility Check
Failover Peer Connectivity and Compatibility Check 画面では、選択したフェールオーバー ピアが到達可能で、現在の装置と互換性があることを確認できます。接続および互換性テストが失敗した場合、ウィザードの先に進む前に、問題を修正する必要があります。
• Peer IP Address:ピア装置の IP アドレスを入力します。このアドレスはフェールオーバー リンクのアドレスでなくても構いませんが、ASDM アクセスがイネーブルになっているインターフェイスでなければなりません。
• Test Compatibility:このボタンをクリックして、次の接続および互換性テストを実行します。
–ファイアウォール デバイスからピア ファイアウォール デバイスへの接続テスト
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Change Device to Multiple Mode
Change Device to Multiple Mode ダイアログボックスは、Active/Active フェールオーバー コンフィギュレーションでのみ表示されます。Active/Active フェールオーバーでは、FWSM がマルチコンテキスト モードになっている必要があります。このダイアログボックスでは、シングルコンテキスト モードの FWSM をマルチコンテキスト モードに変換します。
シングルコンテキスト モードからマルチコンテキスト モードに変換するとき、FWSM は、現在実行しているコンフィギュレーションからシステムコンフィギュレーションと管理コンテキストを作成します。管理コンテキスト コンフィギュレーションは、admin.cfg というファイルに格納されます。変換プロセスでは、以前のスタートアップ コンフィギュレーションが保存されないので、スタートアップ コンフィギュレーションが実行中のコンフィギュレーションと異なる場合は、異なる部分が失われます。
FWSM をシングルコンテキスト モードからマルチコンテキスト モードに変換すると、FWSM はリブートされます。ただし、High Availability and Scalability ウィザードでは、新規作成された管理コンテキストとの接続が復元され、このダイアログボックスの Devices Status フィールドでステータスが報告されます。
次に進む前に、現在の FWSM とピア FWSM の両方をマルチコンテキスト モードに変換する必要があります。
• Change device To Multiple Context:FWSM をマルチコンテキスト モードに変更します。 device の部分には、FWSM のホスト名が入ります。
• Change device (peer) To Multiple Context:ピア装置をマルチコンテキスト モードに変更します。 device の部分には、FWSM のホスト名が入ります。
• Device Status:(表示のみ)マルチコンテキスト モードへの変換中に FWSM のステータスが表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Security Context Configuration
Security Context Configuration 画面は、Active/Active コンフィギュレーションに対してのみ表示されます。Security Context Configuration 画面では、セキュリティ コンテキストをフェールオーバー グループに割り当てることができます。この画面では、デバイスで現在設定されているセキュリティ コンテキストが表示され、必要に応じて新しいセキュリティ コンテキストを追加したり、既存のコンテキストを削除したりできます。この画面でセキュリティ コンテキストを作成できますが、作成したコンテキストにインターフェイスを割り当てたり、作成したコンテキストの他のプロパティを設定したりすることはできません。コンテキスト プロパティを設定し、インターフェイスをコンテキストに割り当てるには、System > Security Contexts ペインを使用する必要があります。
• Name:セキュリティ コンテキストの名前を表示します。名前を変更するには、名前をクリックして新しい名前を入力します。
• Failover Group:コンテキストの割り当て先であるフェールオーバー グループを表示します。セキュリティ コンテキストのフェールオーバー グループを変更するには、フェールオーバー グループをクリックし、ドロップダウン リストから新しいフェールオーバー グループ番号を選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Failover Link Configuration
Failover Link Configuration 画面でフェールオーバー インターフェイスを設定できます。
• LAN Interface:フェールオーバー通信に使用するインターフェイスをドロップダウン リストから選択します。
• Logical Name:インターフェイスの名前を入力します。
• Active IP:アクティブ状態のフェールオーバー グループ 1 がある装置上のフェールオーバー リンクに使用する IP アドレスを入力します。
• Standby IP:スタンバイ状態のフェールオーバー グループ 1 がある装置上のフェールオーバー リンクに使用する IP アドレスを入力します。
• Subnet Mask:アクティブ IP アドレスまたはスタンバイ IP アドレスのサブネット マスクを入力または選択します。
• Secret Key:(オプション)フェールオーバー通信の暗号化に使用するキーを入力します。このフィールドを空白のままにした場合、コンフィギュレーション内のパスワードまたはキーをはじめ、コマンド複製中に送信されるフェールオーバー通信は、クリア テキストになります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
State Link Configuration
State Link Configuration 画面では、ステートフル フェールオーバーをイネーブルにして、ステートフル フェールオーバー リンク プロパティを設定できます。
• Use the LAN link as the State Link:LAN ベースのフェールオーバー リンクでステート情報を渡すには、このオプションを選択します。
• Disable Stateful Failover:ステートフル フェールオーバーをディセーブルにするには、このオプションを選択します。
• Configure another interface for Stateful failover:未使用のインターフェイスをステートフル フェールオーバー インターフェイスとして設定するには、このオプションを選択します。
–State Interface:ステートフル フェールオーバー通信に使用するインターフェイスをドロップダウン リストから選択します。
–Logical Name:ステートフル フェールオーバー インターフェイスの名前を入力します。
–Active IP:アクティブ状態のフェールオーバー グループ 1 がある装置上のステートフル フェールオーバー リンクの IP アドレスを入力します。
–Standby IP:スタンバイ状態のフェールオーバー グループ 1 がある装置上のステートフル フェールオーバー リンクの IP アドレスを入力します。
–Subnet Mask:アクティブ IP アドレスまたはスタンバイ IP アドレスのサブネット マスクを入力または選択します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Standby Address Configuration
Standby Address Configuration 画面を使用して、FWSM 上のインターフェイスにスタンバイ アドレスを割り当てます。
• Device/Interface:(Active/Standby フェールオーバー)フェールオーバー装置上で設定されたインターフェイスを表示します。デバイス名の横のプラス記号(+)をクリックすると、そのデバイス上のインターフェイスが表示されます。デバイス名の横のマイナス記号(-)をクリックすると、そのデバイス上のインターフェイスが非表示になります。
• Device/Group/Context/Interface:(Active/Active フェールオーバー)フェールオーバー装置上で設定されたインターフェイスを表示します。インターフェイスはコンテキストでグループ化され、コンテキストはフェールオーバー グループでグループ化されます。デバイス、フェールオーバー グループ、コンテキスト名の横のプラス記号(+)をクリックすると、リストが展開されます。デバイス、フェールオーバー グループ、コンテキスト名の横のマイナス記号(-)をクリックすると、リストが折りたたまれます。
• Active IP:このフィールドをダブルクリックして、アクティブ IP アドレスを編集または追加できます。また、このフィールドに行った変更は、ピア装置上の対応するインターフェイス用の Standby IP フィールドに表示されます。
• Standby IP:このフィールドをダブルクリックして、スタンバイ IP アドレスを編集または追加できます。また、このフィールドに行った変更は、ピア装置上の対応するインターフェイス用の Active IP フィールドに表示されます。
• Is Monitored:インターフェイスのヘルス モニタリングをイネーブルにするには、このチェックボックスをオンにします。チェックボックスをオフにすると、ヘルス モニタリングがディセーブルになります。デフォルトでは、物理インターフェイスのヘルス モニタリングはイネーブルに、仮想インターフェイスのヘルス モニタリングはディセーブルになっています。
• ASR Group:非同期グループ ID をドロップダウン リストから選択します。この設定は、物理インターフェイスにのみ使用可能です。仮想インターフェイスの場合、このフィールドには「None」が表示されます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
Summary
Summary 画面では、これまでのウィザード パネルで実行した設定手順の結果が表示されます。
設定内容は画面中央に表示されます。設定を確認して Finish をクリックすると、設定内容がデバイスに送信されます。フェールオーバーを設定している場合、設定内容はフェールオーバー ピアにも送信されます。設定を変更する必要がある場合は、 Back をクリックして変更する必要のある画面まで戻ります。変更を行ったら Next をクリックして Summary 画面まで戻ります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバー ペインのフィールド情報
フェールオーバー ペインに表示される内容は、現在のモード(シングルコンテキスト モードまたはマルチコンテキスト モード)、およびシステム実行スペースにいるかセキュリティ コンテキスト内にいるかによって変わります。
• Failover(マルチモード、セキュリティ コンテキスト)
Failover(シングルモード)
Failover パネルには、シングルコンテキスト モードで Active/Standby フェールオーバーを設定できるタブが含まれています。フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。Failover パネルの各タブでの設定の詳細については、次の情報を参照してください。ルーテッド ファイアウォール モードであるか、透過ファイアウォール モードであるかによって、Interfaces タブが変わります。
• Failover: Interfaces(ルーテッド ファイアウォール モード)
Failover: Setup
このタブを使用して、FWSM でフェールオーバーをイネーブルにします。また、ステートフル フェールオーバーを使用している場合、このタブではフェールオーバー リンクおよびステート リンクも指定できます。
一般的なフェールオーバーの設定方法の詳細については、「 フェールオーバー 」を参照してください。
• Enable Failover:このチェックボックスをオンにすると、フェールオーバーがイネーブルになり、スタンバイ FWSM を設定できます。
(注) インターフェイスの速度と二重通信の設定は、フェールオーバーがイネーブルになっても変更されません。フェールオーバー インターフェイスの速度や二重通信の設定を変更するには、フェールオーバーをイネーブルにする前に、Configuration > Interfaces パネルで設定しておく必要があります。
• Use 32 hexadecimal character key:Shared Key ボックスに 16 進数値の暗号鍵を入力するには、このチェックボックスをオンにします。Shared Key ボックスに英数字の共有秘密情報を入力する場合は、このチェックボックスをオフにします。
• Shared Key:フェールオーバー共有秘密情報またはフェールオーバー ペア間での暗号化および認証済み通信のためのキーを指定します。
Use 32 hexadecimal character key チェックボックスをオンにした場合、16 進数の暗号鍵を入力してください。鍵は、32 桁の 16 進数文字(0 ~ 9、a ~ f)でなければなりません。
Use 32 hexadecimal character key チェックボックスをオフにした場合は、英数字の共有秘密情報を入力してください。共有秘密情報は、1 ~ 63 文字で入力できます。有効な文字は、数字、英字、句読点の任意の組み合せです。共有秘密情報は、暗号鍵の生成に使用されます。
• LAN Failover:LAN ベースのフェールオーバーを設定するためのフィールドが含まれます。
–Interface:フェールオーバー通信に使用するインターフェイスを指定します。フェールオーバーには専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。インターフェイスには、LAN ベースのフェールオーバーおよびステートフル フェールオーバーの両方のトラフィックを処理するのに十分な容量が必要です。
(注) フェールオーバー インターフェイスとステートフル フェールオーバー インターフェイスには、2 つの個別の専用インターフェイスを使用することをお勧めします。
このリストには、未設定のインターフェイスまたはサブインターフェイスのみが表示され、LAN フェールオーバー インターフェイスとして選択できます。インターフェイスを LAN フェールオーバー インターフェイスに指定すると、そのインターフェイスは
Configuration > Interfaces パネルでは編集できません。
–Active IP:アクティブ装置のフェールオーバー インターフェイスの IP アドレスを指定します。
–Subnet Mask:プライマリ装置およびセカンダリ装置のフェールオーバー インターフェイスのマスクを指定します。
–Logical Name:フェールオーバー通信に使用するインターフェイスの論理名を指定します。
–Standby IP:セカンダリ装置がプライマリ装置との通信に使用する IP アドレスを指定します。
–Preferred Role:この FWSM の優先の役割が、LAN フェールオーバーのプライマリ装置であるか、セカンダリ装置であるかを指定します。
• State Failover:ステートフル フェールオーバーの設定のためのフィールドが含まれます。
–Interface:フェールオーバー通信に使用するインターフェイスを指定します。フェールオーバーには専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。インターフェイスには、LAN ベースのフェールオーバーおよびステートフル フェールオーバーの両方のトラフィックを処理するのに十分な容量が必要です。LAN ベースのフェールオーバーに使用するのと同じインターフェイスをステートフル フェールオーバーに対して選択した場合は、アクティブ IP、サブネット マスク、論理名、およびスタンバイ IP の値を指定する必要はありません。
(注) 2 つの個別の専用インターフェイスを使用することをお勧めします。
–Active IP:プライマリ装置のステートフル フェールオーバー インターフェイスの IP アドレスを指定します。
–Subnet Mask:プライマリ装置およびセカンダリ装置のステートフル フェールオーバー インターフェイスのマスクを指定します。
–Logical Name:フェールオーバー通信に使用される論理インターフェイスを指定します。
–Standby IP:セカンダリ装置がプライマリ装置との通信に使用する IP アドレスを指定します。
–Enable HTTP replication:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP の複製をディセーブルにすると、ステート リンクでのトラフィック量を減らすことができます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover: Interfaces(ルーテッド ファイアウォール モード)
このタブを使用して、FWSM 上の各インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスを監視するかどうかを指定します。
一般的なフェールオーバーの設定方法の詳細については、「 フェールオーバー 」を参照してください。
• Interface:FWSM のインターフェイスを一覧表示し、そのアクティブ IP アドレス、スタンバイ IP アドレス、モニタリング ステータスを示します。
–Interface Name:インターフェイス名を示します。
–Active IP:このインターフェイスのアクティブ IP アドレスを示します。
–Standby IP:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを示します。
–Is Monitored:インターフェイスのヘルスをフェールオーバー用に監視するよう指定するには、このチェックボックスをオンにします。インターフェイスのステータスがフェールオーバーに影響しないようにするには、このチェックボックスをオフにします。
• Edit:選択したインターフェイスに対して、 Edit Failover Interface Configuration(ルーテッド ファイアウォール モード) ダイアログボックスを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Edit Failover Interface Configuration(ルーテッド ファイアウォール モード)
Edit Failover Interface Configuration ダイアログボックスを使用して、インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスを監視するかどうかを指定します。
• Interface Name:インターフェイス名を示します。
• Active IP Address:このインターフェイスの IP アドレスを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。
• Subnet Mask:このインターフェイスのマスクを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。
• Standby IP Address:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。
• Monitor interface for failure:このインターフェイスの障害を監視するかどうかを指定します。FWSM で監視可能なインターフェイス数は 250 です。インターフェイス ポーリング時間の継続中には、その都度 FWSM のフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、インターフェイスで hello メッセージが 5 ポーリング時間(25 秒間)聞こえなければ、そのインターフェイスでテストが開始されます。監視対象のフェールオーバー インターフェイスで可能なステータスは次のとおりです。
–Unknown:初期ステータス。このステータスは、ステータスが判別できないことを示す場合もあります。
–Normal:インターフェイスはトラフィックを受信しています。
–Testing:インターフェイス上で 5 ポーリング時間、Hello メッセージが聞こえません。
–Link Down:インターフェイスは管理上ダウンしています。
–No Link:インターフェイスの物理リンクがダウンしています。
–Failed:インターフェイスではトラフィックが受信されていませんが、ピア インターフェイスではトラフィックが聞こえます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover: Interfaces(透過ファイアウォール モード)
このタブを使用してスタンバイ管理 IP アドレスを定義し、FWSM 上のインターフェイスのステータスを監視するかどうかを指定します。
• Interface:FWSM 上のインターフェイスを一覧表示します。
–Interface Name:インターフェイス名を示します。
–Is Monitored:インターフェイスのヘルスをフェールオーバー用に監視するよう指定するには、このチェックボックスをオンにします。インターフェイスのステータスがフェールオーバーに影響しないようにするには、このチェックボックスをオフにします。
FWSM で監視可能なインターフェイス数は 250 です。インターフェイス ポーリング時間の継続中には、その都度 FWSM のフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、インターフェイスで hello メッセージが 5 ポーリング時間(25 秒間)聞こえなければ、そのインターフェイスでテストが開始されます。監視対象のフェールオーバー インターフェイスで可能なステータスは次のとおりです。
Unknown:初期ステータス。このステータスは、ステータスが判別できないことを示す場合もあります。
Normal:インターフェイスはトラフィックを受信しています。
Testing:インターフェイス上で 5 ポーリング時間、Hello メッセージが聞こえません。
Link Down:インターフェイスは管理上ダウンしています。
No Link:インターフェイスの物理リンクがダウンしています。
Failed:インターフェイスではトラフィックが受信されていませんが、ピア インターフェイスではトラフィックが聞こえます。
• Bridge Group:FWSM で定義されるブリッジ グループを一覧表示します。この一覧が表示されるのは、透過モードの FWSM 装置またはコンテキストのみです。
–Bridge Group:透過ファイアウォール モードの FWSM またはコンテキストのブリッジ グループ名を示します。
–Active IP Address:ブリッジ グループのアクティブ管理 IP アドレスを示します。
–Network Mask:アクティブおよびスタンバイ管理 IP アドレスに関連付けられたマスクを示します。
–Standby IP Address:スタンバイ フェールオーバー装置の管理 IP アドレスを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover: Criteria
このタブを使用して、障害が発生したインターフェイスの数、ポーリング間に待機する時間など、フェールオーバーの基準を定義します。保持時間では、装置がフェールオーバーする前にポーリングへの応答を受信しないまま待機する間隔が指定されます。
• Interface Policy:モニタリングでインターフェイスの障害が検出されたときの、フェールオーバーのポリシーを定義するフィールドが含まれます。
–Number of failed interfaces that triggers failover:障害が発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、FWSM はフェールオーバーを行います。障害の発生数は 1 ~ 250 の範囲で指定できます。
–Percentage of failed interfaces that triggers failover:障害が発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、FWSM はフェールオーバーを行います。
• Failover Poll Times:フェールオーバー リンクで Hello メッセージが送信される頻度、およびオプションで、Hello メッセージが受信されない場合にピアの障害をテストする前に待機する時間を定義するためのフィールドが含まれます。
–Unit Failover:装置間の Hello メッセージの間の時間。範囲は 1 ~ 15 秒または 500 ~ 999 ミリ秒です。
–Unit Hold Time:装置がフェールオーバー リンク上で Hello メッセージを受信する必要がある時間(受信されない場合には、装置がピアの障害のテスト プロセスを開始する)を設定します。3 ~ 45 秒の範囲で指定できます。ポーリング時間の 3 倍より少ない値は入力できません。
–Monitored Interfaces:インターフェイス間でのポーリングの間の時間。3 ~ 15 秒の範囲で指定できます。
• Preempt:フェールオーバー プリエンプションを有効にするには、このチェックボックスをオンにします。フェールオーバー プリエンプションにより、リブート後またはフェールオーバー状態からの復帰後に、プライマリ装置が自動的にアクティブ装置になります。このチェックボックスをオフにすると、セカンダリ装置がアクティブな状態でプライマリ装置がブートした場合、または障害状態からプライマリ装置が復帰した場合、プライマリ装置はスタンバイ状態のままになります。スタンバイ状態は、フェールオーバーが発生するか、またはシステム管理者が強制的にプライマリ装置をアクティブにするまで継続します。
–with optional delay of:プライマリ装置が、リブート後アクティブ装置として引き継ぐまでに待機する時間を秒数で指定します。1 ~ 1200 秒の範囲で指定できます。遅延なしに設定するには、このフィールドを空白のままにしておきます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover(マルチモード、セキュリティ コンテキスト)
マルチコンテキスト モードの Failover ペインに表示されるフィールドは、コンテキストが透過ファイアウォール モードであるか、ルーテッド ファイアウォール モードであるかによって変わります。
Failover - Routed
このパネルを使用して、セキュリティ コンテキストの各インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスを監視するかどうかを指定します。
• Interface table:FWSM のインターフェイスを一覧表示し、そのアクティブ IP アドレス、スタンバイ IP アドレス、モニタリング ステータスを示します。
–Interface Name:インターフェイス名を示します。
–Active IP:このインターフェイスのアクティブ IP アドレスを示します。
–Standby IP:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを示します。
–Is Monitored:このインターフェイスの障害を監視するかどうかを指定します。
• Edit ボタン:選択したインターフェイスの Edit Failover Interface Configuration ダイアログボックスを表示します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Edit Failover Interface Configuration
Edit Failover Interface Configuration ダイアログボックスを使用して、インターフェイスのスタンバイ IP アドレスを定義し、インターフェイスのステータスを監視するかどうかを指定します。
• Interface Name:インターフェイス名を示します。
• Active IP Address:このインターフェイスの IP アドレスを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。
• Subnet Mask:このインターフェイスのマスクを示します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。
• Standby IP Address:スタンバイ フェールオーバー装置上の対応するインターフェイスの IP アドレスを指定します。インターフェイスに IP アドレスが割り当てられていない場合、このフィールドは表示されません。
• Monitor interface for failure:このインターフェイスの障害を監視するかどうかを指定します。FWSM で監視可能なインターフェイス数は 250 です。インターフェイス ポーリング時間の継続中には、その都度 FWSM のフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、インターフェイスで hello メッセージが 5 ポーリング時間(25 秒間)聞こえなければ、そのインターフェイスでテストが開始されます。監視対象のフェールオーバー インターフェイスで可能なステータスは次のとおりです。
–Unknown:初期ステータス。このステータスは、ステータスが判別できないことを示す場合もあります。
–Normal:インターフェイスはトラフィックを受信しています。
–Testing:インターフェイス上で 5 ポーリング時間、Hello メッセージが聞こえません。
–Link Down:インターフェイスは管理上ダウンしています。
–No Link:インターフェイスの物理リンクがダウンしています。
–Failed:インターフェイスではトラフィックが受信されていませんが、ピア インターフェイスではトラフィックが聞こえます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover - Transparent
このパネルを使用して、セキュリティ コンテキストの管理インターフェイスのスタンバイ IP アドレスを定義し、セキュリティ コンテキストのインターフェイスのステータスを監視するかどうかを指定します。
• Interface:FWSM 上のインターフェイスを一覧表示します。
–Interface Name:インターフェイス名を示します。
–Is Monitored:インターフェイスのヘルスをフェールオーバー用に監視するよう指定するには、このチェックボックスをオンにします。インターフェイスのステータスがフェールオーバーに影響しないようにするには、このチェックボックスをオフにします。
FWSM で監視可能なインターフェイス数は 250 です。インターフェイス ポーリング時間の継続中には、その都度 FWSM のフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、インターフェイスで hello メッセージが 5 ポーリング時間(25 秒間)聞こえなければ、そのインターフェイスでテストが開始されます。監視対象のフェールオーバー インターフェイスで可能なステータスは次のとおりです。
Unknown:初期ステータス。このステータスは、ステータスが判別できないことを示す場合もあります。
Normal:インターフェイスはトラフィックを受信しています。
Testing:インターフェイス上で 5 ポーリング時間、Hello メッセージが聞こえません。
Link Down:インターフェイスは管理上ダウンしています。
No Link:インターフェイスの物理リンクがダウンしています。
Failed:インターフェイスではトラフィックが受信されていませんが、ピア インターフェイスではトラフィックが聞こえます。
• Bridge Group:FWSM で定義されるブリッジ グループを一覧表示します。この一覧が表示されるのは、透過モードの FWSM 装置またはコンテキストのみです。
–Bridge Group:透過ファイアウォール モードの FWSM またはコンテキストのブリッジ グループ名を示します。
–Active IP Address:ブリッジ グループのアクティブ管理 IP アドレスを示します。
–Network Mask:アクティブおよびスタンバイ管理 IP アドレスに関連付けられたマスクを示します。
–Standby IP Address:スタンバイ フェールオーバー装置の管理 IP アドレスを指定します。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Edit Failover Interface Configuration
Edit Failover Interface Configuration ダイアログボックスを使用して、インターフェイスのステータスを監視するかどうかを指定します。
• Interface Name:インターフェイス名を示します。
• Monitor interface for failure:このインターフェイスの障害を監視するかどうかを指定します。FWSM で監視可能なインターフェイス数は 250 です。インターフェイス ポーリング時間の継続中には、その都度 FWSM のフェールオーバー ペア間で Hello メッセージが交換されます。フェールオーバー インターフェイスのポーリング時間は 3 ~ 15 秒です。たとえば、ポーリング時間を 5 秒に設定すると、インターフェイスで hello メッセージが 5 ポーリング時間(25 秒間)聞こえなければ、そのインターフェイスでテストが開始されます。監視対象のフェールオーバー インターフェイスで可能なステータスは次のとおりです。
–Unknown:初期ステータス。このステータスは、ステータスが判別できないことを示す場合もあります。
–Normal:インターフェイスはトラフィックを受信しています。
–Testing:インターフェイス上で 5 ポーリング時間、Hello メッセージが聞こえません。
–Link Down:インターフェイスは管理上ダウンしています。
–No Link:インターフェイスの物理リンクがダウンしています。
–Failed:インターフェイスではトラフィックが受信されていませんが、ピア インターフェイスではトラフィックが聞こえます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover(マルチモード、システム)
このパネルには、マルチコンテキスト モードの FWSM の、システム コンテキストでのシステムレベル フェールオーバー設定を行うためのタブが含まれます。マルチモードでは、Active/Standby フェールオーバーまたは Active/Active フェールオーバーを設定できます。Active/Active フェールオーバーは、デバイス マネージャでフェールオーバー グループを作成するときに、自動的にイネーブルになります。どちらのタイプのフェールオーバーの場合も、システム コンテキストでのシステムレベル フェールオーバー設定、および個々のセキュリティ コンテキストでのコンテキストレベル フェールオーバー設定を入力する必要があります。一般的なフェールオーバーの設定方法の詳細については、「 フェールオーバー 」を参照してください。
Failover > Setup タブ
このタブを使用して、マルチコンテキスト モードの FWSM でフェールオーバーをイネーブルにします。また、ステートフル フェールオーバーを使用している場合、このタブではフェールオーバー リンクおよびステート リンクも指定できます。
• Enable Failover:このチェックボックスをオンにすると、フェールオーバーがイネーブルになり、スタンバイ FWSM を設定できます。
(注) インターフェイスの速度と二重通信の設定は、フェールオーバーがイネーブルになっても変更されません。フェールオーバー インターフェイスの速度や二重通信の設定を変更する場合は、フェールオーバーをイネーブルにする前に、Configuration > Interfaces パネルで設定しておく必要があります。
• Shared Key:フェールオーバー ペア間での暗号化および認証済み通信のためのフェールオーバー共有秘密情報を指定します。
• LAN Failover:LAN ベースのフェールオーバーを設定するためのフィールドが含まれます。
–Interface:フェールオーバー通信に使用するインターフェイスを指定します。フェールオーバーには専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。インターフェイスには、LAN ベースのフェールオーバーおよびステートフル フェールオーバーの両方のトラフィックを処理するのに十分な容量が必要です。
(注) 2 つの個別の専用インターフェイスを使用することをお勧めします。
このリストには、コンテキストに割り当てられていない、未設定のインターフェイスまたはサブインターフェイスのみが表示され、LAN フェールオーバー インターフェイスとして選択できます。インターフェイスを LAN フェールオーバー インターフェイスとして設定すると、 Configuration > Interfaces パネルで編集したり、コンテキストに割り当てたりすることはできません。
–Active IP:アクティブ装置のフェールオーバー インターフェイスの IP アドレスを指定します。
–Subnet Mask:アクティブ装置のフェールオーバー インターフェイスのマスクを指定します。
–Logical Name:フェールオーバー インターフェイスの論理名を指定します。
–Standby IP:スタンバイ装置の IP アドレスを指定します。
–Preferred Role:この FWSM の優先の役割が、LAN フェールオーバーのプライマリ装置であるか、セカンダリ装置であるかを指定します。
• State Failover:ステートフル フェールオーバーの設定のためのフィールドが含まれます。
–Interface:フェールオーバー通信に使用するインターフェイスを指定します。フェールオーバーには専用インターフェイスが必要ですが、同じインターフェイスをステートフル フェールオーバーにも使用できます。インターフェイスには、LAN ベースのフェールオーバーおよびステートフル フェールオーバーの両方のトラフィックを処理するのに十分な容量が必要です。LAN ベースのフェールオーバーに使用するのと同じインターフェイスをステートフル フェールオーバーに対して選択した場合は、アクティブ IP、サブネット マスク、論理名、およびスタンバイ IP の値を指定する必要はありません。
(注) 2 つの個別の専用インターフェイスを使用することをお勧めします。
–Active IP:アクティブ装置のステートフル フェールオーバー インターフェイスの IP アドレスを指定します。
–Subnet Mask:アクティブ装置のステートフル フェールオーバー インターフェイスのマスクを指定します。
–Logical Name:ステートフル フェールオーバー インターフェイスの論理名を指定します。
–Standby IP:スタンバイ装置の IP アドレスを指定します。
–Enable HTTP replication:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP の複製をディセーブルにすると、ステート リンクでのトラフィック量を減らすことができます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover > Criteria タブ
このタブを使用して、障害が発生したインターフェイスの数、ポーリング間に待機する時間など、フェールオーバーの基準を定義します。保持時間では、装置がフェールオーバーする前にポーリングへの応答を受信しないまま待機する間隔が指定されます。
(注) Active/Active フェールオーバーを設定している場合、インターフェイス ポリシーの定義にこのタブを使用しないでください。各フェールオーバー グループのインターフェイス ポリシーを定義するには、Failover > Active/Active タブを使用します。Active/Active フェールオーバーでは、各フェールオーバー グループに定義されたインターフェイス ポリシー設定がこのタブでの設定を上書きします。Active/Active フェールオーバーをディセーブルにした場合は、このタブの設定が使用されます。
• Interface Policy:モニタリングでインターフェイスの障害が検出されたときの、フェールオーバーのポリシーを定義するフィールドが含まれます。
–Number of failed interfaces that triggers failover:障害が発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、FWSM はフェールオーバーを行います。障害の発生数は 1 ~ 250 の範囲で指定できます。
–Percentage of failed interfaces that triggers failover:障害が発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、FWSM はフェールオーバーを行います。
• Failover Poll Times:フェールオーバー リンクで Hello メッセージが送信される頻度、およびオプションで、Hello メッセージが受信されない場合にピアの障害をテストする前に待機する時間を定義するためのフィールドが含まれます。
–Unit Failover:装置間の Hello メッセージの間の時間。範囲は 1 ~ 15 秒または 500 ~ 999 ミリ秒です。
–Unit Hold Time:装置がフェールオーバー リンク上で Hello メッセージを受信する必要がある時間(受信されない場合には、装置がピアの障害のテスト プロセスを開始する)を設定します。3 ~ 45 秒の範囲で指定できます。ポーリング時間の 3 倍より少ない値は入力できません。
–Monitored Interfaces:インターフェイス間でのポーリングの間の時間。3 ~ 15 秒の範囲で指定できます。
• Preempt:フェールオーバー プリエンプションを有効にするには、このチェックボックスをオンにします。フェールオーバー プリエンプションにより、リブート後またはフェールオーバー状態からの復帰後に、プライマリ装置が自動的にアクティブ装置になります。このチェックボックスをオフにすると、セカンダリ装置がアクティブな状態でプライマリ装置がブートした場合、または障害状態からプライマリ装置が復帰した場合、プライマリ装置はスタンバイ状態のままになります。スタンバイ状態は、フェールオーバーが発生するか、またはシステム管理者が強制的にプライマリ装置をアクティブにするまで継続します。
–with optional delay of:プライマリ装置が、リブート後アクティブ装置として引き継ぐまでに待機する時間を秒数で指定します。1 ~ 1200 秒の範囲で指定できます。遅延なしに設定するには、このフィールドを空白のままにしておきます。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Failover > Active/Active タブ
このタブを使用すると、フェールオーバー グループを定義して FWSM で Active/Active フェールオーバーをイネーブルにします。Active/Active フェールオーバー コンフィギュレーションでは、両方の FWSM がネットワーク トラフィックを渡すことができます。Active/Active フェールオーバーは、マルチモードの FWSM でのみ使用できます。
フェールオーバー グループは、1 つのセキュリティ コンテキストの論理グループにすぎません。FWSM では、2 つのフェールオーバー グループを作成できます。フェールオーバー ペアのアクティブ装置にフェールオーバー グループを作成する必要があります。管理コンテキストは常にフェールオーバー グループ 1 のメンバーです。未割り当てセキュリティ コンテキストもまた、デフォルトでフェールオーバー グループ 1 のメンバーです。
(注) Active/Active フェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。
• Failover Groups:現在 FWSM に定義されているフェールオーバー グループを一覧表示します。
–Group Number:フェールオーバー グループ番号を指定します。この番号は、フェールオーバー グループへのコンテキストの割り当てに使用されます。
–Preferred Role:プライマリ装置とセカンダリ装置を同時に起動したり、preempt オプションのチェックボックスをオンにしたりしたときに、フェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアの装置(プライマリまたはセカンダリ)を指定します。両方のフェールオーバー グループをペアのうちの一方の装置でアクティブ状態にして、もう一方の装置にはスタンバイ状態のフェールオーバー グループが含まれるようにできます。ただし、さらに一般的なコンフィギュレーションでは、各フェールオーバー グループに異なる役割プリファレンスを割り当て、装置ごとにそれぞれ 1 つをアクティブにして、装置全体でトラフィックのバランスが取れるようにします。
–Preempt Enabled:このフェールオーバー グループの優先フェールオーバー デバイスである装置がリブート後にアクティブ装置になるかどうかを指定します。
–Preempt Delay:優先フェールオーバー デバイスが、このフェールオーバー グループのアクティブ装置として引き継ぐ前に、リブート後に待機する秒数を指定します。0 ~ 1200 秒の範囲で指定できます。
–Interface Policy:グループがフェールオーバーする前に許可される監視対象インターフェイス障害の数または障害のパーセンテージのいずれかを指定します。範囲は、障害数 1 ~ 250 回、または 1 ~ 100 % です。
–Interface Poll Time:インターフェイス間のポーリング間隔の時間を指定します。3 ~ 15 秒の範囲で指定できます。
–Replicate HTTP:ステートフル フェールオーバーがアクティブ HTTP セッションをこのフェールオーバー グループのスタンバイ ファイアウォールにコピーするかどうかを示します。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP の複製をディセーブルにすると、ステート リンクでのトラフィック量を減らすことができます。この設定は、Setup タブでの HTTP 複製の設定を上書きします。
• Add ボタン:Add Failover Group ダイアログボックスが表示されます。存在するフェールオーバー グループが 2 つに満たない場合のみ、このボタンがイネーブルになります。詳細については、「 Add/Edit Failover Group 」を参照してください。
• Edit ボタン:選択したフェールオーバー グループに対して Edit Failover Group ダイアログボックスを表示します。詳細については、「 Add/Edit Failover Group 」を参照してください。
• Delete ボタン:現在選択されているフェールオーバー グループをフェールオーバー グループ テーブルから削除します。このボタンは、リストの最終フェールオーバー グループが選択されている場合にのみイネーブルになります。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
Add/Edit Failover Group
Add/Edit Failover Group ダイアログボックスを使用して、Active/Active フェールオーバー コンフィギュレーションにフェールオーバー グループを定義します。
• Preferred Role:フェールオーバー グループがアクティブ状態として表示される、フェールオーバー ペアのプライマリ装置またはセカンダリ装置を指定します。両方のフェールオーバー グループをペアのうちの一方の装置でアクティブ状態にして、もう一方の装置にはスタンバイ状態のフェールオーバー グループが含まれるようにできます。ただし、さらに一般的なコンフィギュレーションでは、各フェールオーバー グループに異なる役割プリファレンスを割り当て、装置ごとにそれぞれ 1 つをアクティブにして、装置全体でトラフィックのバランスが取れるようにします。
• Preempt after booting with optional delay of:このチェックボックスをオンにすると、フェールオーバー グループの優先フェールオーバー デバイスである装置が、リブート後にアクティブ装置になります。また、このチェックボックスをオンにすると、デバイスがアクティブ装置になる前に待機しなければならない時間を指定できる Preempt after booting with optional delay of ボックスもイネーブルになります。
• Preempt after booting with optional delay of:優先フェールオーバー デバイスである装置が、いずれかのフェールオーバー グループのアクティブ装置として引き継ぐ前に、リブート後に待機する秒数を指定します。0 ~ 1200 秒の範囲で指定できます。
• Interface Policy:モニタリングでインターフェイスの障害が検出されたときの、フェールオーバーのポリシーを定義するフィールドが含まれます。これらの設定は、Criteria タブのインターフェイス ポリシー設定を上書きします。
–Number of failed interfaces that triggers failover:障害が発生した監視対象インターフェイスの数がこのコマンドで設定した値を超えたとき、FWSM はフェールオーバーを行います。障害の発生数は 1 ~ 250 の範囲で指定できます。
–Percentage of failed interfaces that triggers failover:障害が発生した監視対象インターフェイスの数がこのコマンドで設定したパーセンテージを超えたとき、FWSM はフェールオーバーを行います。
• Poll time interval for monitored interfaces:インターフェイス間でのポーリングの間の時間。3 ~ 15 秒の範囲で指定できます。
• Enable HTTP replication:このチェックボックスをオンにすると、ステートフル フェールオーバーによるアクティブ HTTP セッションからスタンバイ ファイアウォールへのコピーがイネーブルになります。HTTP の複製を許可しない場合、HTTP 接続はフェールオーバーで切断されます。HTTP の複製をディセーブルにすると、ステート リンクでのトラフィック量を減らすことができます。この設定は、Setup タブでの HTTP 複製の設定を上書きします。
|
|
|
|||
|---|---|---|---|---|
|
|
|
|
|
|
|
|
|
|||
フェールオーバーの詳細については、「 フェールオーバー 」を参照してください。
フィードバック