ハイアベイラビリティのためのフェールオーバー

この章では、Cisco ASA のハイアベイラビリティを達成するために、アクティブ/スタンドバイまたはアクティブ/アクティブフェールオーバーを設定する方法について説明します。

フェールオーバーについて

フェールオーバーの設定では、専用フェールオーバーリンク（および任意でステートリンク）を介して相互に接続された 2 つの同じ ASA が必要です。アクティブユニットおよびインターフェイスのヘルスがモニターされて、所定のフェールオーバー条件に一致しているかどうかが判断されます。所定の条件に一致すると、フェールオーバーが行われます。

フェールオーバーモード

ASA は、アクティブ/アクティブフェールオーバーとアクティブ/スタンバイフェールオーバーの 2 つのフェールオーバーモードをサポートします。各フェールオーバーモードには、フェールオーバーを判定および実行する独自の方式があります。

アクティブ/スタンバイフェールオーバーでは、一方のデバイスがアクティブユニットとしてトラフィックを通過させます。もう一方のデバイスはスタンバイユニットとなり、アクティブにトラフィックを通過させません。フェールオーバーが発生すると、アクティブユニットからスタンバイユニットにフェールオーバーし、そのスタンバイユニットがアクティブになります。シングルまたはマルチコンテキストモードでは、ASA のアクティブ/スタンバイフェールオーバーを使用できます。
アクティブ/アクティブフェールオーバーコンフィギュレーションでは、両方の ASA がネットワークトラフィックを渡すことができます。アクティブ/アクティブフェールオーバーは、マルチコンテキストモードの ASA でのみ使用できます。アクティブ/アクティブフェールオーバーでは、ASA のセキュリティコンテキストを 2 つのフェールオーバーグループ に分割します。フェールオーバーグループは、1 つまたは複数のセキュリティコンテキストの論理グループにすぎません。一方のグループは、プライマリ ASA でアクティブになるよう割り当てられます。他方のグループは、セカンダリ ASA でアクティブになるよう割り当てられます。フェールオーバーが行われる場合は、フェールオーバーグループレベルで行われます。

両方のフェールオーバーモードとも、ステートフルまたはステートレスフェールオーバーをサポートします。

フェールオーバーのシステム要件

この項では、フェールオーバーコンフィギュレーションにある ASAのハードウェア要件、ソフトウェア要件、およびライセンス要件について説明します。

ハードウェア要件

フェールオーバーコンフィギュレーションの 2 台の装置は、次の条件を満たしている必要があります。

同じモデルであること。さらに、コンテナインスタンスでは、同じリソースプロファイル属性を使用する必要があります。

Firepower 9300 の場合、高可用性は同じタイプのモジュール間でのみサポートされていますが、2 台のシャーシにモジュールを混在させることができます。たとえば、各シャーシに SM-36、、および SM-44 を配置できます。SM-36 モジュール間、および SM-44 モジュール間に高可用性ペアを作成できます。
インターフェイスの数とタイプが同じであること。

プラットフォームモードとの Firepower 4100/9300 シャーシFirepower 2100 では、フェールオーバーを有効にする前に、すべてのインターフェイスが FXOS で同一に事前構成されている必要があります。フェールオーバーを有効にした後でインターフェイスを変更する場合は、スタンバイユニットの FXOS でそのインターフェイスを変更してから、アクティブユニットで同じ変更を行います。 FXOS でインターフェイスを削除した場合（たとえば、ネットワークモジュールの削除、EtherChannel の削除、または EtherChannel へのインターフェイスの再割り当てなど）、必要な調整を行うことができるように、ASA 設定では元のコマンドが保持されます。設定からインターフェイスを削除すると、幅広い影響が出る可能性があります。ASA OS の古いインターフェイス設定は手動で削除できます。
同じモジュール（存在する場合）がインストールされていること。
同じ RAM がインストールされていること。

フェールオーバーコンフィギュレーションで装置に異なるサイズのフラッシュメモリを使用している場合、小さい方のフラッシュメモリを取り付けた装置に、ソフトウェアイメージファイルおよびコンフィギュレーションファイルを格納できる十分な容量があることを確認してください。十分な容量がない場合、フラッシュメモリの大きい装置からフラッシュメモリの小さい装置にコンフィギュレーションの同期が行われると、失敗します。

ソフトウェア要件

フェールオーバーコンフィギュレーションの 2 台の装置は、次の条件を満たしている必要があります。

コンテキストモードが同じであること（シングルまたはマルチ）。
単一モードの場合：同じファイアウォールモードにあること（ルーテッドまたはトランスペアレント）。

マルチコンテキストモードでは、ファイアウォールモードはコンテキストレベルで設定され、混合モードを使用できます。
ソフトウェアバージョンが、メジャー（最初の番号）およびマイナー（2 番目の番号）ともに同じであること。ただし、アップグレードプロセス中は、異なるバージョンのソフトウェアを一時的に使用できます。たとえば、ある装置をバージョン 8.3(1) からバージョン 8.3(2) にアップグレードし、フェールオーバーをアクティブ状態のままにできます。長期的に互換性を維持するために、両方の装置を同じバージョンにアップグレードすることをお勧めします。
同じ AnyConnect イメージを持っていること。中断のないアップグレードを実行するときにフェールオーバーペアのイメージが一致しないと、アップグレードプロセスの最後のリブート手順でクライアントレス SSL VPN 接続が切断され、データベースには孤立したセッションが残り、IP プールではクライアントに割り当てられた IP アドレスが「使用中」として示されます。
同じ FIPS モードであること。
（Firepower 4100/9300）同じフローオフロードモードを使用し、両方とも有効または無効になっている。

ライセンス要件

フェールオーバーコンフィギュレーションの 2 台の装置は、ライセンスが同じである必要はありません。これらのライセンスは結合され、1 つのフェールオーバークラスタライセンスが構成されます。

フェールオーバーリンクとステートフルフェールオーバーリンク

フェールオーバーリンクとオプションのステートフルフェールオーバーリンクは、2 つの装置間の専用接続です。シスコでは、フェールオーバーリンクまたはステートフルフェールオーバーリンク内の 2 つのデバイス間で同じインターフェイスを使用することを推奨しています。たとえば、フェールオーバーリンクで、デバイス 1 で eth0 を使用していた場合は、デバイス 2 でも同じインターフェイス（eth0）を使用します。

注意

フェールオーバーリンクおよびステートリンク経由で送信される情報は、IPsec トンネルまたはフェールオーバーキーを使用して通信を保護しない限り、すべてクリアテキストで送信されます。VPN トンネルの終端に ASA を使用する場合、この情報には、トンネルの確立に使用されたすべてのユーザー名、パスワード、および事前共有キーが含まれています。この機密データをクリアテキストで転送することは、非常に大きなセキュリティリスクになるおそれがあります。ASA を使用して VPN トンネルを終端する場合は、フェールオーバー通信を IPsec トンネルまたはフェールオーバーキーによってセキュリティ保護することをお勧めします。

フェールオーバーリンク

フェールオーバーペアの 2 台の装置は、フェールオーバーリンク経由で常に通信して、各装置の動作ステータスを確認しています。

フェールオーバーリンクデータ

次の情報がフェールオーバーリンク経由で伝達されています。

装置の状態（アクティブまたはスタンバイ）
hello メッセージ（キープアライブ）
ネットワークリンクの状態
MAC アドレス交換
コンフィギュレーションの複製および同期

フェールオーバーリンクのインターフェイス

使用されていないデータインターフェイス（物理、サブインターフェイス、冗長、または EtherChannel）はいずれもフェールオーバーリンクとして使用できます。ただし、現在名前が設定されているインターフェイスは指定できません。フェールオーバーリンクインターフェイスは、通常のネットワークインターフェイスとしては設定されません。フェールオーバー通信のためにだけ存在します。このインターフェイスは、フェールオーバーリンク用にのみ使用できます（ステートリンク用としても使用できます）。ほとんどのモデルでは、以下で明示的に説明されていない限り、フェールオーバー用の管理インターフェイスを使用できません。

ASA は、ユーザーデータとフェールオーバーリンク間でのインターフェイスの共有をサポートしていません。同じ親の別のサブインターフェイスをフェールオーバーリンクやデータのために使用することもできません。

フェールオーバーリンクについては、次のガイドラインを参照してください。

5506-X ～ 5555-X：管理インターフェイスをフェールオーバーリンクとして使用できません。データインターフェイスを使用する必要があります。5506H-X は唯一の例外で、フェールオーバーリンクとして管理インターフェイスを使用できます。
5506H-X：フェールオーバーリンクとして管理 1/1 インターフェイスを使用できます。フェールオーバー用に設定した場合は、デバイスをリロードして変更を反映させる必要があります。この場合、管理プロセスに管理インターフェイスが必要であるため、ASA Firepower モジュールも使用できません。
Firepower 4100/9300：統合されたフェールオーバーリンクとステートリンクには、10 GB のデータインターフェイスを使用することを推奨します。フェールオーバーリンクに管理タイプのインターフェイスを使用することはできません。
他のすべてのモデル：1 GB インターフェイスは、フェールオーバーとステートリンクを組み合わせるには十分な大きさです。

フェールオーバーリンクとして使用される冗長インターフェイスについては、冗長性の増強による次の利点を参照してください:

フェールオーバーユニットが起動すると、メンバーインターフェイスを交互に実行し、アクティブユニットを検出します。
メンバーインターフェイスの 1 つにあるピアからのキープアライブメッセージの受信をフェールオーバーユニットが停止した場合、別のメンバーインターフェイスに切り替えます。

交替頻度は、ユニットのホールド時間と同じです（failover polltime unit コマンド）。

（注）

設定が大きく、ユニットのホールド時間が短い場合、メンバーインターフェイスを交互に切り替えると、セカンダリユニットの参加/再参加を防止できます。この場合、セカンダリユニットが参加するまで、メンバーインターフェイスの 1 つを無効にします。

フェールオーバーリンクとして使用される EtherChannel の場合は、順序が不正なパケットを防止するために、EtherChannel 内の 1 つのインターフェイスのみが使用されます。そのインターフェイスで障害が発生した場合は、EtherChannel 内の次のリンクが使用されます。フェールオーバーリンクとして使用中の EtherChannel の設定は変更できません。

フェールオーバーリンクの接続

フェールオーバーリンクを次の 2 つの方法のいずれかで接続します。

ASAのフェールオーバーインターフェイスと同じネットワークセグメント（ブロードキャストドメインまたは VLAN）に他のデバイスのないスイッチを使用する。
イーサネットケーブルを使用してユニットを直接接続する。外部スイッチは必要ありません。

ユニット間でスイッチを使用しない場合、インターフェイスに障害が発生すると、リンクは両方のピアでダウンします。このような状況では、障害が発生してリンクがダウンする原因になったインターフェイスがどちらのユニットのものかを簡単に特定できないため、トラブルシューティング作業が困難になる場合があります。

ASAは、銅線イーサネットポートで Auto-MDI/MDIX をサポートしているため、クロスオーバーケーブルまたはストレートケーブルのいずれかを使用できます。ストレートケーブルを使用した場合は、インターフェイスが自動的にケーブルを検出して、送信/受信ペアの 1 つを MDIX にスワップします。

ステートフルフェールオーバーリンク

ステートフルフェールオーバーを使用するには、接続ステート情報を渡すためのステートフルフェールオーバーリンク（ステートリンクとも呼ばれる）を設定する必要があります。

フェールオーバーリンクの共有

インターフェイスを節約するための最適な方法はフェールオーバーリンクを共有することです。ただし、設定が大規模でトラフィックが膨大なネットワークを使用している場合は、ステートリンクとフェールオーバーリンク専用のインターフェイスを検討する必要があります。

専用のインターフェイス

ステートリンク専用のデータインターフェイス（物理、冗長、または EtherChannel）を使用できます。専用のステートリンクの要件についてはフェールオーバーリンクのインターフェイス、ステートリンクの接続についてはフェールオーバーリンクの接続を参照してください。

長距離のフェールオーバーを使用する場合のステートリンクの遅延は、パフォーマンスを最善にするには 10 ミリ秒未満でなければならず、250 ミリ秒を超えないようにする必要があります。遅延が 10 ミリ秒を上回る場合、フェールオーバーメッセージの再送信によって、パフォーマンスが低下する可能性があります。

フェールオーバーリンクとデータリンクの中断の回避

すべてのインターフェイスで同時に障害が発生する可能性を減らすために、フェールオーバーリンクとデータインターフェイスは異なるパスを通すことを推奨します。フェールオーバーリンクがダウンした場合、フェールオーバーが必要かどうかの決定に、Secure Firewall ASA はデータインターフェイスを使用できます。その後、フェールオーバー動作は、フェールオーバーリンクの正常性が復元されるまで停止されます。

耐障害性フェールオーバーネットワークの設計については、次の接続シナリオを参照してください。

シナリオ 1：非推奨

単一のスイッチまたはスイッチセットが 2 つの Secure Firewall ASA 間のフェールオーバーインターフェイスとデータインターフェイスの両方の接続に使用される場合、スイッチまたはスイッチ間リンクがダウンすると、両方の Secure Firewall ASA がアクティブになります。したがって、次の図で示されている次の 2 つの接続方式は推奨しません。

シナリオ 2：推奨

フェールオーバーリンクには、データインターフェイスと同じスイッチを使用しないことを推奨します。代わりに、次の図に示すように、別のスイッチを使用するか直接ケーブルを使用して、フェールオーバーリンクを接続します。

シナリオ 3：推奨

Secure Firewall ASA データインターフェイスが複数セットのスイッチに接続されている場合、フェールオーバーリンクはいずれかのスイッチに接続できます。できれば、次の図に示すように、ネットワークのセキュアな側（内側）のスイッチに接続します。

シナリオ 4：推奨

最も信頼性の高いフェールオーバー構成では、次の図に示すように、フェールオーバーリンクに冗長インターフェイスを使用します。

フェールオーバーの MAC アドレスと IP アドレス

インターフェイスを設定する場合、同じネットワーク上のアクティブ IP アドレスとスタンバイ IP アドレスを指定できます。一般的に、フェールオーバーが発生した場合、新しいアクティブ装置がアクティブな IP アドレスと MAC アドレスを引き継ぎます。ネットワークデバイスは、MAC と IP アドレスの組み合わせについて変更を認識しないため、ネットワーク上のどのような場所でも ARP エントリが変更されたり、タイムアウトが生じたりすることはありません。

（注）

スタンバイアドレスを設定することが推奨されていますが、必須ではありません。スタンバイ IP アドレスがないと、アクティブ装置はスタンバイインターフェイスの状態を確認するためのネットワークテストを実行できません。リンクステートのみ追跡できます。また、管理目的でそのインターフェイスのスタンバイ装置に接続することもできません。

ステートリンク用の IP アドレスおよび MAC アドレスは、フェールオーバー実行後も変更されません。

アクティブ/スタンバイ IP アドレスと MAC アドレス

アクティブ/スタンバイフェールオーバーの場合、フェールオーバーイベント中の IP アドレスと MAC アドレスの使用については、次を参照してください。

アクティブな装置は常にプライマリ装置の IP アドレスと MAC アドレスを使用します。
アクティブ装置が故障すると、スタンバイ装置は故障した装置の IP アドレスと MAC アドレスを引き継ぎ、トラフィックを通過させます。
故障した装置がオンラインに復帰すると、スタンバイ状態となり、スタンバイ IP アドレスと MAC アドレスを引き継ぎます。

ただし、セカンダリ装置がプライマリ装置を検出せずにブートした場合、セカンダリ装置がアクティブ装置になります。プライマリ装置の MAC アドレスを認識していないため、自分の MAC アドレスを使用します。プライマリ装置が使用可能になると、セカンダリ（アクティブ）装置は MAC アドレスをプライマリ装置の MAC アドレスに変更します。これによって、ネットワークトラフィックが中断されることがあります。同様に、プライマリ装置を新しいハードウェアと交換すると、新しい MAC アドレスが使用されます。

仮想 MAC アドレスがこの中断を防ぎます。なぜなら、アクティブ MAC アドレスは起動時にセカンダリ装置によって認識され、プライマリ装置のハードウェアが新しくなっても変わらないからです。仮想 MAC アドレスを設定しなかった場合、トラフィックフローを復元するために、接続されたルータの ARP テーブルをクリアする必要がある場合があります。Secure Firewall ASA は MAC アドレスを変更するときに、スタティック NAT アドレスに対して Gratuitous ARP を送信しません。そのため、接続されたルータはこれらのアドレスの MAC アドレスの変更を認識できません。

アクティブ/アクティブ IP アドレスと MAC アドレス

アクティブ/アクティブフェールオーバーの場合、フェールオーバーイベント中の IP アドレスと MAC アドレスの使用については、次を参照してください。

プライマリ装置は、フェールオーバーグループ 1 および 2 のコンテキストのすべてのインターフェイスに対して、アクティブおよびスタンバイ MAC アドレスを自動生成します。必要に応じて、たとえば、MAC アドレスの競合がある場合は、MAC アドレスを手動で設定できます。
各装置は、そのアクティブフェールオーバーグループにアクティブな IP アドレスと MAC アドレスを使用し、そのスタンバイフェールオーバーグループにスタンバイアドレスを使用します。たとえば、フェールオーバーグループ 1 でプライマリ装置がアクティブである場合、フェールオーバーグループ 1 のコンテキストでアクティブなアドレスを使用します。フェールオーバーグループ 2 のコンテキストではスタンバイであるため、スタンバイアドレスを使用します。
装置が故障すると、他の装置は故障したフェールオーバーグループのアクティブな IP アドレスと MAC アドレスを引き継ぎ、トラフィックを通過させます。
故障した装置がオンラインに戻り、preempt オプションが有効になっている場合、フェールオーバーグループを再開します。

仮想 MAC アドレス

Secure Firewall ASA には、仮想 MAC アドレスを設定する複数の方法があります。1 つの方法のみ使用することをお勧めします。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。手動の方法には、次で説明されている自動生成方法に加えて、インターフェイスモード mac-address コマンド、failover mac address コマンドが含まれ、アクティブ/アクティブフェールオーバーの場合は、フェールオーバーグループモード mac address コマンドが含まれます。

マルチコンテキストモードでは、共有インターフェイスに仮想アクティブおよびスタンバイ MAC アドレスを自動的に生成するように ASA を設定でき、これらの割り当てはセカンダリユニットに同期されます（mac-address auto コマンドを参照してください）。共有以外のインターフェイスでは、アクティブ/スタンバイモードの MAC アドレスを手動で設定することができます（アクティブ/アクティブモードはすべてのインターフェイスに MAC アドレスを自動生成します）。

アクティブ/アクティブフェールオーバーでは、仮想 MAC アドレスはデフォルト値またはインターフェイスごとに設定できる値のいずれかとともに常に使用されます。

ステートレスフェールオーバーとステートフルフェールオーバー

ASA は、アクティブ/スタンバイモードとアクティブ/アクティブモードの両方に対して、ステートレスとステートフルの 2 種類のフェールオーバーをサポートします。

（注）

クライアントレス SSL VPN の一部のコンフィギュレーション要素（ブックマークやカスタマイゼーションなど）は VPN フェールオーバーサブシステムを使用していますが、これはステートフルフェールオーバーの一部です。フェールオーバーペアのメンバ間でこれらの要素を同期するには、ステートフルフェールオーバーを使用する必要があります。ステートレスフェールオーバーは、クライアントレス SSL VPN には推奨されません。

ステートレスフェールオーバー

フェールオーバーが行われると、アクティブ接続はすべてドロップされます。新しいアクティブ装置が引き継ぐ場合、クライアントは接続を再確立する必要があります。

（注）

クライアントレス SSL VPN の一部のコンフィギュレーション要素（ブックマークやカスタマイゼーションなど）は VPN フェールオーバーサブシステムを使用していますが、これはステートフルフェールオーバーの一部です。フェールオーバーペアのメンバ間でこれらの要素を同期するには、ステートフルフェールオーバーを使用する必要があります。ステートレス（標準）フェールオーバーは、クライアントレス SSL VPN には推奨できません。

ステートフルフェールオーバー

ステートフルフェールオーバーが有効な場合、アクティブ装置は接続ごとのステート情報をスタンバイ装置に継続的に渡します。アクティブ/アクティブフェールオーバーの場合は、アクティブとスタンバイのフェールオーバーグループ間でこれが行われます。フェールオーバーの発生後も、新しいアクティブ装置で同じ接続情報が利用できます。サポートされているエンドユーザのアプリケーションでは、同じ通信セッションを保持するために再接続する必要はありません。

サポートされる機能

ステートフルフェールオーバーでは、次のステート情報がスタンバイ Secure Firewall ASAに渡されます。

NAT 変換テーブル
TCP 接続と UDP 接続、および状態。他のタイプの IP プロトコルおよび ICMP は、新しいパケットが到着したときに新しいアクティブユニットで確立されるため、アクティブ装置によって解析されません。
HTTP 接続テーブル（HTTP 複製を有効にしない場合）。
HTTP 接続状態（HTTP 複製が有効化されている場合）：デフォルトでは、ステートフルフェールオーバーが有効化されているときには、ASA は HTTP セッション情報を複製しません。HTTP レプリケーションを有効にすることをお勧めします。
SCTP 接続状態ただし、SCTP インスペクションのステートフルフェールオーバーはベストエフォートです。フェールオーバー中、SACK パケットが失われると、失われたパケットが受信されるまで、新しいアクティブユニットはキューにある他のすべての順序が不正なパケットを破棄します。
ARP テーブル
レイヤ 2 ブリッジテーブル（ブリッジグループ用）
ISAKMP および IPSec SA テーブル
GTP PDP 接続データベース
SIP シグナリングセッションとピンホール。
ICMP 接続状態：ICMP 接続の複製は、個々のインターフェイスが非対称ルーティンググループに割り当てられている場合にだけ有効化されます。

スタティックおよびダイナミックルーティングテーブル：ステートフルフェールオーバーはダイナミックルーティングプロトコル（OSPF や EIGRP など）に参加するため、アクティブ装置上のダイナミックルーティングプロトコルによる学習ルートが、スタンバイ装置のルーティング情報ベース（RIB）テーブルに維持されます。フェールオーバーイベントで、アクティブなセカンダリユニットには最初にプライマリユニットをミラーリングするルールがあるため、パケットは通常は最小限の中断でトラフィックに移動します。フェールオーバーの直後に、新しくアクティブになった装置で再コンバージェンスタイマーが開始されます。次に、RIB テーブルのエポック番号が増加します。再コンバージェンス中に、OSPF および EIGRP ルートは新しいエポック番号で更新されます。タイマーが期限切れになると、失効したルートエントリ（エポック番号によって決定される）はテーブルから削除されます。これで、RIB には新しくアクティブになった装置での最新のルーティングプロトコル転送情報が含まれています。

（注）

ルートは、アクティブ装置上のリンクアップまたはリンクダウンイベントの場合のみ同期されます。スタンバイ装置上でリンクがアップまたはダウンすると、アクティブ装置から送信されたダイナミックルートが失われることがあります。これは正常な予期された動作です。

DHCP サーバ：DHCP アドレスリースは複製されません。ただし、インターフェイスで設定された DHCP サーバは、DHCP クライアントにアドレスを付与する前にアドレスが使用されていないことを確認するために ping を送信するため、サービスに影響はありません。ステート情報は、DHCP リレーまたは DDNS とは関連性がありません。
Cisco IP SoftPhone セッション：コールセッションステート情報がスタンバイ装置に複製されるため、Cisco IP SoftPhone セッションの実行中にフェールオーバーが起こっても、コールは実行されたままです。コールが終了すると、IP SoftPhone クライアントは Cisco Call Manager との接続を失います。これは、CTIQBE ハングアップメッセージのセッション情報がスタンバイ装置に存在しないために発生します。IP SoftPhone クライアントでは、一定の時間内に CallManager からの応答が受信されない場合、CallManager に到達できないものと判断されて登録が解除されます。
RA VPN：リモートアクセス VPN エンドユーザは、フェールオーバー後に VPN セッションを再認証または再接続する必要はありません。ただし、VPN 接続上で動作するアプリケーションは、フェールオーバープロセス中にパケットを失って、パケット損失から回復できない可能性があります。

サポートされない機能

ステートフルフェールオーバーでは、次のステート情報はスタンバイ Secure Firewall ASAに渡されません。

ユーザー認証（uauth）テーブル
TCP ステートバイパス接続
マルチキャストルーティング。
ASA FirePOWER モジュールなどのモジュールのステート情報。
選択された次のクライアントレス SSL VPN 機能：
- スマートトンネル
- ポート転送
- プラグイン
- Java アプレット
- IPv6 クライアントレスまたは Anyconnect セッション
- Citrix 認証（Citrix ユーザーはフェールオーバー後に再認証が必要です）

フェールオーバーのブリッジグループ要件

ブリッジグループを使用する場合は、フェールオーバーに関して特別な考慮事項があります。

アプライアンス、ASAv のブリッジグループ必須要件

アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニングツリープロトコル（STP）を実行している接続済みスイッチポートは、トポロジ変更を検出すると 30 ～ 50 秒間ブロッキングステートに移行できます。ポートがブロッキングステートである間のトラフィックの損失を回避するために、スイッチポートモードに応じて次の回避策のいずれかを設定できます。

アクセスモード：スイッチで STP PortFast 機能をイネーブルにします。
```
interface interface_id
  spanning-tree portfast
```
PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディングモードに遷移します。ポートは引き続き STP に参加しています。したがって、ポートがループの一部になる場合、最終的には STP ブロッキングモードに遷移します。
トランクモード：EtherType アクセスルールを使用して、ブリッジグループのメンバーインターフェイス上の ASA の BPDU をブロックします。
```
access-list id ethertype deny bpdu
access-group id in interface name1
access-group id in interface name2
```
BPDU をブロックすると、スイッチの STP はディセーブルになります。ネットワークレイアウトで ASA を含むループを設定しないでください。

上記のオプションのどちらも使用できない場合は、フェールオーバー機能または STP の安定性に影響する、推奨度の低い次の回避策のいずれかを使用できます。

インターフェイスモニタリングをディセーブルにします。
ASA がフェールオーバーする前に、インターフェイスのホールド時間を STP が収束可能になる大きい値に増やします。
STP がインターフェイスのホールド時間よりも速く収束するように、STP タイマーを減らします。

フェールオーバーのヘルスモニターリング

ASAは、各装置について全体的なヘルスおよびインターフェイスヘルスをモニターします。この項では、各装置の状態を判断するために、ASAがテストを実行する方法について説明します。

装置のヘルスモニターリング

ASAは、hello メッセージでフェールオーバーリンクをモニタして相手装置のヘルスを判断します。フェールオーバーリンクで 3 回連続して hello メッセージを受信しなかったときは、フェールオーバーリンクを含む各データインターフェイスで LANTEST メッセージを送信し、ピアが応答するかどうかを確認します。 FirePOWER 9300 および 4100 シリーズでは、hello メッセージよりも信頼性の高い Bidirectional Forwarding Detection（BFD）を有効にできます。ASAが行うアクションは、相手装置からの応答によって決まります。次の可能なアクションを参照してください。

ASAがフェールオーバーリンクで応答を受信した場合、フェールオーバーは行われません。
ASAがフェールオーバーリンクで応答を受信せず、データインターフェイスで応答を受信した場合、装置のフェールオーバーは行われません。フェールオーバーリンクは故障とマークされます。フェールオーバーリンクがダウンしている間、装置はスタンバイにフェールオーバーできないため、できるだけ早くフェールオーバーリンクを復元する必要があります。
ASAがどのインターフェイスでも応答を受信しなかった場合、スタンバイ装置がアクティブモードに切り替わり、相手装置を故障に分類します。

インターフェイスモニタリング

最大 1025 のインターフェイスを監視できます（マルチコンテキストモードでは、すべてのコンテキスト間で分割）。重要なインターフェイスをモニターする必要があります。たとえば、マルチコンテキストモードでは、共有インターフェイスを監視するように 1 つのコンテキストを設定する場合があります（インターフェイスが共有されているため、すべてのコンテキストがそのモニターリングによる利点を得ることができます）。

ユニットは、モニター対象のインターフェイス上で 15 秒間 hello メッセージを受信しなかった場合に（デフォルト）、インターフェイステストを実行します。（この時間を変更するには、[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Criteria] > [Failover Poll Times] を参照してください。）1 つのインターフェイスに対するインターフェイステストのいずれかが失敗したものの、他のユニット上のこの同じインターフェイスが正常にトラフィックを渡し続けている場合は、そのインターフェイスに障害があるものと見なされ、ASAはテストの実行を停止します。

障害が発生したインターフェイスの数に対して定義したしきい値が満たされ（[設定（Configuration）] > [デバイス管理（Device Management）] > [ハイアベイラビリティとスケーラビリティ（High Availability and Scalability）] > [フェールオーバー（Failover）] > [基準（Criteria）] > [インターフェイスポリシー（Interface Policy）] を参照）、さらに、アクティブユニットでスタンバイ装置よりも多くの障害が発生した場合は、フェールオーバーが発生します。両方のユニット上のインターフェイスに障害が発生した場合は、両方のインターフェイスが「未知」状態になり、フェールオーバーインターフェイスポリシーで定義されているフェールオーバー限界値に向けてのカウントは行われません。

インターフェイスは、何らかのトラフィックを受信すると、再度動作状態になります。故障した ASA は、インターフェイス障害しきい値が満たされなくなった場合、スタンバイモードに戻ります。

ASA FirePOWER モジュールがある場合、ASA はバックプレーンインターフェイスを介してモジュールの健全性もモニターします。モジュールの障害は装置の障害と見なされ、フェールオーバーがトリガーされます。この設定は設定可能です。

インターフェイスに IPv4 および IPv6 アドレスが設定されている場合、ASA は IPv4 を使用してヘルスモニターリングを実行します。インターフェイスに IPv6 アドレスだけが設定されている場合、ASAは ARP ではなく IPv6 ネイバー探索を使用してヘルスモニターリングテストを実行します。ブロードキャスト ping テストの場合、ASA は IPv6 全ノードアドレス（FE02::1）を使用します。

（注）

障害が発生した装置が回復せず、実際には障害は発生していないと考えられる場合は、failover reset コマンドを使用して状態をリセットできます。ただし、フェールオーバー条件が継続している場合、装置は再び障害状態になります。

インターフェイステスト

ASAでは、次のインターフェイステストが使用されます。各テストの時間はデフォルトで約 1.5 秒、またはフェールオーバーインターフェイスの保留時間の 1/16 です（[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Criteria] > [Failover Poll Times] を参照）。

リンクアップ/ダウンテスト：インターフェイスステータスのテストです。リンクアップ/ダウンテストでインターフェイスがダウンしていることが示された場合、ASA は障害が発生し、テストが停止したと見なします。ステータスがアップの場合、ASAはネットワークアクティビティを実行します。
ネットワークアクティビティテスト：ネットワークの受信アクティビティのテストです。テストの開始時に、各装置はインターフェイスの受信パケットカウントをリセットします。テスト中にユニットが適切なパケットを受信すると、すぐにインターフェイスは正常に動作していると見なされます。両方の装置がトラフィックを受信した場合、テストは停止します。どちらか一方のユニットだけがトラフィックを受信している場合は、トラフィックを受信していないユニットのインターフェイスで障害が発生していると見なされ、テストは停止します。どちらのユニットもトラフィックを受信していない場合は、ASA は ARP テストを開始します。
ARP テスト：ARP が正しく応答するかどうかをテストします。各ユニットは、ARP テーブル内の最新のエントリの IP アドレスに対して単一の ARP 要求を送信します。ユニットがテスト中に ARP 応答またはその他のネットワークトラフィックを受信する場合、インターフェイスは動作していると見なされます。ユニットが ARP 応答を受信しない場合、 ASAは、ARP テーブル内の「次の」エントリの IP アドレスに対して単一の ARP 要求を送信します。ユニットがテスト中に ARP 応答またはその他のネットワークトラフィックを受信する場合、インターフェイスは動作していると見なされます。両方のユニットがトラフィックを受信した場合、テストは停止します。どちらか一方のユニットだけがトラフィックを受信している場合は、トラフィックを受信していないユニットのインターフェイスで障害が発生していると見なされ、テストは停止します。どちらのユニットもトラフィックを受信していない場合は、ASA はブートストラップ ping テストを開始します。
ブロードキャスト Ping テスト：ping 応答が正しいかどうかをテストします。各ユニットがブロードキャスト ping を送信し、受信したすべてのパケットをカウントします。パケットはテスト中にパケットを受信すると、インターフェイスは正常に動作していると見なされます。両方のユニットがトラフィックを受信した場合、テストは停止します。どちらか一方のユニットだけがトラフィックを受信している場合は、トラフィックを受信していないユニットのインターフェイスで障害が発生していると見なされ、テストは停止します。どちらのユニットもトラフィックを受信しない場合、ARP テストを使用してテストが再開されます。両方の装置が ARP およびブロードキャスト ping テストからトラフィックを受信し続けない場合、これらのテストは永久に実行し続けます。

インターフェイスステータス

モニタ対象のインターフェイスには、次のステータスがあります。

Unknown：初期ステータスです。このステータスは、ステータスを特定できないことを意味する場合もあります。
Normal：インターフェイスはトラフィックを受信しています。
Testing：ポーリング 5 回の間、インターフェイスで hello メッセージが検出されていません。
Link Down：インターフェイスまたは VLAN は管理上ダウンしています。
No Link：インターフェイスの物理リンクがダウンしています。
Failed：インターフェイスではトラフィックを受信していませんが、ピアインターフェイスではトラフィックを検出しています。

フェールオーバー時間

Firepower ハイアベイラビリティペアでは、次のイベントでフェールオーバーがトリガーされます。

アクティブユニットの 50% を超える Snort インスタンスがダウンした場合
アクティブユニットのディスク容量使用率が 90％を超えた場合
アクティブユニットで no failover active コマンドが実行された場合、またはスタンバイユニットで failover active コマンドが実行された場合
アクティブユニットで障害が発生したインターフェイスの数がスタンバイユニットよりも多くなった場合

アクティブデバイスのインターフェイス障害が設定されたしきい値を超えた場合

デフォルトでは、1 つのインターフェイス障害でフェールオーバーが行われます。デフォルト値を変更するには、フェールオーバーが発生するしきい値として、障害が発生したインターフェイスの数またはモニター対象インターフェイスの割合を設定します。アクティブデバイスでしきい値を超えると、フェールオーバーが発生します。スタンバイデバイスでしきい値を超えると、ユニットが Fail 状態に移行します。

デフォルトのフェールオーバー条件を変更するには、グローバルコンフィギュレーションモードで次のコマンドを入力します。

表 1.
コマンド	目的
failover interface-policy num [%] `hostname (config)# failover interface-policy 20%`	デフォルトのフェールオーバー基準を変更します。インターフェイスの具体的な数を指定するときは、num 引数に 1 ～ 250 を設定できます。インターフェイスの割合を指定するときは、num 引数に 1 ～ 100 を設定できます。

（注）

CLI または ASDM を使用して手動でフェールオーバーした場合、もしくは ASA をリロードした場合、フェールオーバーはすぐに開始され、次に示すタイマーの影響は受けません。

表 2. ASA
フェールオーバー条件	最小	デフォルト	最大数
アクティブユニットの電源の喪失、ハードウェアのダウン、ソフトウェアのリロードまたはクラッシュにより、モニター対象インターフェイスまたはフェールオーバーリンクで hello メッセージを受信しなくなる。	800 ミリ秒	15 秒	45 秒
アクティブユニットメインボードインターフェイスリンクがダウンする。	500 ミリ秒	5 秒	15 秒
アクティブユニットの 4GE モジュールインターフェイスリンクがダウンする。	2 秒	5 秒	15 秒
アクティブユニット FirePOWER モジュールは失敗する。	2 秒	2 秒	2 秒
アクティブユニットのインターフェイスは実行されているが、接続の問題によりインターフェイステストを行っている。	5 秒	25 秒	75 秒

設定の同期

フェールオーバーには、さまざまなタイプのコンフィギュレーション同期があります。

コンフィギュレーションの複製の実行

コンフィギュレーションの複製は、フェールオーバーペアの一方または両方のデバイスのブート時に実行されます。

アクティブ/スタンバイフェールオーバーでは、コンフィギュレーションは常に、アクティブ装置からスタンバイ装置に同期化されます。

アクティブ/アクティブフェールオーバーでは、起動ユニットのプライマリまたはセカンデリ指定に関係なく、2 番目に起動したユニットは、最初に起動したユニットから実行コンフィギュレーションを取得します。両方のユニットの起動後、システム実行スペースに入力されたコマンドは、フェールオーバーグループ 1 がアクティブ状態であるユニットから複製されます。

スタンバイ/セカンドユニットが初期スタートアップを完了すると、実行コンフィギュレーションを削除し（アクティブユニットとの通信に必要な failover コマンドを除く）、アクティブユニットはコンフィギュレーション全体をスタンバイ/セカンドユニットに送信します。複製が開始されると、アクティブユニットの ASA コンソールに「Beginning configuration replication: Sending to mate,」というメッセージが表示され、完了すると ASA に「End Configuration Replication to mate.」というメッセージが表示されます。コンフィギュレーションのサイズによって、複製には数秒から数分かかります。

コンフィギュレーションを受信する装置の場合、コンフィギュレーションは実行メモリにだけ存在します。コンフィギュレーションをフラッシュメモリに保存する必要があります。たとえば、アクティブ/アクティブフェールオーバーでは、フェールオーバーグループ 1 がアクティブ状態であるユニット上のシステム実行スペースに write memory all コマンドを入力します。コマンドはピア装置に複製され、コンフィギュレーションがフラッシュメモリに書き込まれます。

（注）

複製中、コンフィギュレーションを送信しているユニット上に入力されたコマンドは、ピアユニットに正常に複製されず、コンフィギュレーションを受信するユニット上に入力されたコマンドは、受信したコンフィギュレーションによって上書きできます。コンフィギュレーションの複製処理中には、フェールオーバーペアのどちらの装置にもコマンドを入力しないでください。

ファイルの複製

コンフィギュレーションの同期は次のファイルと構成コンポーネントを複製しません。したがって、これらのファイルが一致するように手動でコピーする必要があります。

AnyConnect イメージ
CSD イメージ
AnyConnect プロファイル

ASA では、フラッシュファイルシステムに保存されたファイルではなく、cache:/stc/profiles に保存された AnyConnect クライアントファイルのキャッシュ済みファイルが使用されます。AnyConnect クライアントプロファイルをスタンバイ装置に複製するには、次のいずれかを実行します。
- アクティブ装置で write standby コマンドを入力します。
- アクティブ装置でプロファイルを再適用します。
- スタンバイ装置をリロードします。
ローカル認証局（CA）
ASA イメージ
ASDM イメージ

コマンドの複製

起動した後、アクティブユニットで入力したコマンドはただちにスタンバイユニットに複製されます。コマンドを複製する場合、アクティブコンフィギュレーションをフラッシュメモリに保存する必要はありません。

アクティブ/アクティブフェールオーバーでは、システム実行スペースに入力した変更は、フェールオーバーグループ 1 がアクティブ状態である装置から複製されます。

コマンドの複製を行うのに適切な装置上で変更を入力しなかった場合は、コンフィギュレーションは同期されません。この変更内容は、次回に初期コンフィギュレーション同期が行われると失われることがあります。

スタンバイ ASA に複製されるコマンドは、次のとおりです。

すべてのコンフィギュレーションコマンド（mode、firewall 、および failover lan unit を除く）
copy running-config startup-config
delete
mkdir
rename
rmdir
write memory

スタンバイ ASA に複製されないコマンドは、次のとおりです。

すべての形式の copy コマンド（copy running-config startup-config を除く）
すべての形式の write コマンド（write memory を除く）
debug
failover lan unit
firewall
show
terminal pager および pager

アクティブ/スタンバイフェールオーバーについて

アクティブ/スタンバイフェールオーバーでは、障害が発生した装置の機能を、スタンバイ Secure Firewall ASA に引き継ぐことができます。アクティブ装置に障害が発生した場合、スタンバイ装置がアクティブ装置になります。

（注）

マルチコンテキストモードでは、ASA は装置全体（すべてのコンテキストを含む）のフェールオーバーを行いますが、各コンテキストを個別にフェールオーバーすることはできません。

プライマリ/セカンダリの役割とアクティブ/スタンバイステータス

フェールオーバーペアの 2 つのユニットの主な相違点は、どちらのユニットがアクティブでどちらのユニットがスタンバイであるか、つまりどちらの IP アドレスを使用するか、およびどちらのユニットがアクティブにトラフィックを渡すかということに関連します。

しかし、プライマリユニット（設定で指定）とセカンダリユニットとの間には、いくつかの相違点があります。

両方のユニットが同時にスタートアップした場合（さらに動作ヘルスが等しい場合）、プライマリユニットが常にアクティブユニットになります。
プライマリユニットの MAC アドレスは常に、アクティブ IP アドレスと結び付けられています。このルールの例外は、セカンダリユニットがアクティブであり、フェールオーバーリンク経由でプライマリユニットの MAC アドレスを取得できない場合に発生します。この場合、セカンダリユニットの MAC アドレスが使用されます。

起動時のアクティブ装置の判別

アクティブ装置は、次の条件で判別されます。

装置がブートされ、ピアがすでにアクティブとして動作中であることを検出すると、その装置はスタンバイ装置になります。
装置がブートされてピアを検出できないと、その装置はアクティブ装置になります。
両方の装置が同時に起動された場合は、プライマリ装置がアクティブ装置になり、セカンダリ装置がスタンバイ装置になります。

フェールオーバーイベント

アクティブ/スタンバイフェールオーバーでは、フェールオーバーはユニットごとに行われます。マルチコンテキストモードで動作中のシステムでも、個々のコンテキストまたはコンテキストのグループをフェールオーバーすることはできません。

次の表に、各障害イベントに対するフェールオーバーアクションを示します。この表には、各フェールオーバーイベントに対して、フェールオーバーポリシー（フェールオーバーまたはフェールオーバーなし）、アクティブユニットが行うアクション、スタンバイユニットが行うアクション、およびフェールオーバー条件とアクションに関する特別な注意事項を示します。

表 3. フェールオーバーイベント
障害イベント	ポリシー（Policy）	アクティブユニットのアクション	スタンバイユニットのアクション	注意
アクティブユニットが故障（電源またはハードウェア）	フェールオーバー	適用対象外	アクティブになるアクティブに故障とマークする	モニタ対象インターフェイスまたはフェールオーバーリンクで hello メッセージは受信されません。
以前にアクティブであったユニットの復旧	フェールオーバーなし	スタンバイになる	動作なし	なし。
スタンバイユニットが故障（電源またはハードウェア）	フェールオーバーなし	スタンバイに故障とマークする	適用対象外	スタンバイユニットが故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブユニットはフェールオーバーを行いません。
動作中にフェールオーバーリンクに障害が発生した	フェールオーバーなし	フェールオーバーリンクに故障とマークする	フェールオーバーリンクに故障とマークする	フェールオーバーリンクがダウンしている間、ユニットはスタンバイユニットにフェールオーバーできないため、できるだけ早くフェールオーバーリンクを復元する必要があります。
スタートアップ時にフェールオーバーリンクに障害が発生した	フェールオーバーなし	アクティブになるフェールオーバーリンクに故障とマークする	アクティブになるフェールオーバーリンクに故障とマークする	スタートアップ時にフェールオーバーリンクがダウンしていると、両方の装置がアクティブになります。
ステートリンクの障害	フェールオーバーなし	動作なし	動作なし	ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。
アクティブユニットにおけるしきい値を超えたインターフェイス障害	フェールオーバー	アクティブに故障とマークする	アクティブになる	なし。
スタンバイユニットにおけるしきい値を超えたインターフェイス障害	フェールオーバーなし	動作なし	スタンバイに故障とマークする	スタンバイユニットが故障とマークされている場合、インターフェイス障害しきい値を超えても、アクティブユニットはフェールオーバーを行いません。

アクティブ/アクティブフェールオーバーの概要

この項では、アクティブ/アクティブフェールオーバーについて説明します。

アクティブ/アクティブフェールオーバーの概要

アクティブ/アクティブフェールオーバーコンフィギュレーションでは、両方の ASA がネットワークトラフィックを渡すことができます。アクティブ/アクティブフェールオーバーは、マルチコンテキストモードの ASA でのみ使用できます。アクティブ/アクティブフェールオーバーでは、ASA のセキュリティコンテキストを 2 つまでのフェールオーバーグループに分割します。

フェールオーバーグループは、1 つまたは複数のセキュリティコンテキストの論理グループにすぎません。フェールオーバーグループをプライマリ ASA でアクティブに割り当て、フェールオーバーグループ 2 をセカンデリ ASA でアクティブに割り当てることができます。フェールオーバーが行われる場合は、フェールオーバーグループレベルで行われます。たとえば、インターフェイス障害パターンに応じて、フェールオーバーグループ 1 をセカンデリ ASA にフェールオーバーし、続いてフェールオーバーグループ 2 をプライマリ ASA にフェールオーバーすることができます。このイベントは、プライマリ ASA でフェールオーバーグループ 1 のインターフェイスがダウンしたがセカンデリではアップしており、セカンデリ ASA でフェールオーバーグループ 2 のインターフェイスがダウンしたがプライマリ ASA ではアップしている場合に発生する可能性があります。

管理コンテキストは、常にフェールオーバーグループ 1 のメンバです。未割り当てセキュリティコンテキストもまた、デフォルトでフェールオーバーグループ 1 のメンバです。アクティブ/アクティブフェールオーバーが必要であるが複数コンテキストは必要ない場合、最もシンプルな設定は他のコンテキストを 1 つ追加し、それをフェールオーバーグループ 2 に割り当てることです。

（注）

アクティブ/アクティブフェールオーバーを構成する場合は、両方の装置の合計トラフィックが各装置の容量以内になるようにしてください。

（注）

必要に応じて両方のフェールオーバーグループを 1 つの ASA に割り当てることもできますが、この場合、アクティブな ASA を 2 つ持つというメリットはありません。

フェールオーバーグループのプライマリ/セカンデリロールとアクティブ/スタンバイステータス

アクティブ/スタンバイフェールオーバーと同様、アクティブ/アクティブフェールオーバーペアの 1 つの装置がプライマリユニットに指定され、もう 1 つの装置がセカンダリユニットに指定されます。アクティブ/スタンバイフェールオーバーの場合とは異なり、両方の装置が同時に起動された場合、この指定ではどちらの装置がアクティブになるか指示しません。代わりに、プライマリまたはセカンダリの指定時に、次の 2 つの点を判定します。

ペアが同時に起動したときに、プライマリ装置が実行コンフィギュレーションを提供します。
コンフィギュレーションの各フェールオーバーグループは、プライマリまたはセカンダリ装置プリファレンスが設定されます。プリエンプションで使用すると、このプレファレンスはフェールオーバーグループが起動後に正しいユニットで実行されるようにします。プリエンプションがない場合、両方のグループは最初に起動したユニットで動作します。

起動時のフェールオーバーグループのアクティブ装置の決定

フェールオーバーグループがアクティブになる装置は、次のように決定されます。

ピア装置が使用できないときに装置がブートされると、両方のフェールオーバーグループがピア装置でアクティブになります。
ピア装置がアクティブ（両方のフェールオーバーグループがアクティブ状態）の場合に装置がブートされると、フェールオーバーグループは、アクティブ装置でアクティブ状態のままになります。これは、次のいずれかの状態になるまで、フェールオーバーグループのプライマリプリファレンスまたはセカンダリプリファレンスには関係ありません。
- フェールオーバーが発生した。
- 手動でフェールオーバーを強制実行した。
- フェールオーバーグループのプリエンプションを設定した。この設定により、優先する装置が使用可能になると、フェールオーバーグループはその装置上で自動的にアクティブになります。

フェールオーバーイベント

アクティブ/アクティブフェールオーバーコンフィギュレーションでは、フェールオーバーは、システムごとに行うのではなく、フェールオーバーグループごとに行われます。たとえば、プライマリユニットで両方のフェールオーバーグループをアクティブと指定し、フェールオーバーグループ 1 が故障すると、フェールオーバーグループ 2 はプライマリユニットでアクティブのままですが、フェールオーバーグループ 1 はセカンダリユニットでアクティブになります。

フェールオーバーグループには複数のコンテキストを含めることができ、また各コンテキストには複数のインターフェイスを含めることができるので、1 つのコンテキストのインターフェイスがすべて故障しても、そのコンテキストに関連するフェールオーバーグループが故障と判断されない可能性があります。

次の表に、各障害イベントに対するフェールオーバーアクションを示します。各障害イベントに対して、ポリシー（フェールオーバーまたはフェールオーバーなし）、アクティブフェールオーバーグループのアクション、およびスタンバイフェールオーバーグループのアクションを示します。

表 4. フェールオーバーイベント
障害イベント	ポリシー	アクティブグループのアクション	スタンバイグループのアクション	注記
装置で電源断またはソフトウェア障害が発生した	フェールオーバー	スタンバイになる故障とマークする	アクティブになるアクティブに故障とマークする	フェールオーバーペアの装置が故障すると、その装置のアクティブフェールオーバーグループはすべて故障とマークされ、ピア装置のフェールオーバーグループがアクティブになります。
アクティブフェールオーバーグループにおけるしきい値を超えたインターフェイス障害	フェールオーバー	アクティブグループに故障とマークする	アクティブになる	なし。
スタンバイフェールオーバーグループにおけるしきい値を超えたインターフェイス障害	フェールオーバーなし	動作なし	スタンバイグループに故障とマークする	スタンバイフェールオーバーグループが故障とマークされている場合、インターフェイスフェールオーバー障害しきい値を超えても、アクティブフェールオーバーグループはフェールオーバーを行いません。
以前にアクティブであったフェールオーバーグループの復旧	フェールオーバーなし	動作なし	動作なし	フェールオーバーグループのプリエンプションが設定されている場合を除き、フェールオーバーグループは現在の装置でアクティブのままです。
スタートアップ時にフェールオーバーリンクに障害が発生した	フェールオーバーなし	アクティブになる	アクティブになる	スタートアップ時にフェールオーバーリンクがダウンしていると、両方の装置の両方のフェールオーバーグループがアクティブになります。
ステートリンクの障害	フェールオーバーなし	動作なし	動作なし	ステート情報が古くなり、フェールオーバーが発生するとセッションが終了します。
動作中にフェールオーバーリンクに障害が発生した	フェールオーバーなし	適用対象外	適用対象外	各装置で、フェールオーバーリンクが故障とマークされます。フェールオーバーリンクがダウンしている間、装置はスタンバイ装置にフェールオーバーできないため、できるだけ早くフェールオーバーリンクを復元する必要があります。

フェールオーバーのライセンス

ほとんどのモデルでは、フェールオーバーユニットは、各ユニット上で同一のライセンスを必要としません。両方のユニット上にライセンスがある場合、これらのライセンスは単一の実行フェールオーバークラスタライセンスに結合されます。このルールには、いくつかの例外があります。フェールオーバーの正確なライセンス要件については、次の表を参照してください。

モデル

ライセンス要件

ASA 5506-X および ASA 5506W-X

アクティブ/スタンバイ：両方のユニットの Security Plus ライセンス。
アクティブ/アクティブ：サポートなし。

（注）

各ユニットに同じ暗号化ライセンスが必要です。

Asa 5525- x ～ asa 5555-X

基本ライセンス。

（注）

各ユニットに同じ暗号化ライセンスが必要です。
マルチコンテキストモードでは、各ユニットに同じ AnyConnect Apex ライセンスが必要です。
各ユニットに同じ IPS モジュールライセンスが必要です。両方の装置の IPS 側で IPS シグニチャサブスクリプションも必要です。次のガイドラインを参照してください。
- IPS シグニチャサブスクリプションを購入するには、IPS がプリインストールされた ASA が必要です（製品番号に、たとえば ASA5515-IPS-K9 のように「IPS」が含まれている必要があります）。IPS ではない製品番号の ASA に IPS シグニチャサブスクリプションを購入することはできません。
- 両方の装置に IPS シグニチャサブスクリプションが必要です。このサブスクリプションは ASA ライセンスではないため、フェールオーバー間で共有されません。
- IPS シグニチャサブスクリプションには、装置ごとに個別の IPS モジュールライセンスが必要です。他の ASA のライセンスと同様に、IPS モジュールライセンスも技術的にはフェールオーバークラスタライセンスで共有されます。しかし、IPS シグニチャサブスクリプションの要件によって、装置ごとに個別の IPS モジュールライセンスを購入する必要があります。

ASAv

ASAv のフェールオーバーライセンスを参照してください。

Firepower 1010

両方のユニットの Security Plus ライセンス。Firepower 1010 のフェールオーバーライセンスを参照してください。

Firepower 1100

Firepower 1100 のフェールオーバーライセンスを参照してください。

Firepower 2100

Firepower 2100 のフェールオーバーライセンスを参照してください。

Firepower 4100/9300

Firepower 4100/9300のフェールオーバーライセンスを参照してください。

ISA 3000

両方のユニットの Security Plus ライセンス。

（注）

各ユニットに同じ暗号化ライセンスが必要です。

（注）

有効な永続キーが必要です。まれに、PAK 認証キーを削除できることもあります。キーがすべて 0 の場合は、フェールオーバーを有効化するには有効な認証キーを再インストールする必要があります。

フェールオーバーのガイドライン

コンテキストモード

アクティブ/アクティブモードは、マルチコンテキストモードでのみサポートされます。
マルチコンテキストモードでは、特に注記がない限り、手順はすべてシステム実行スペースで実行します。

モデルのサポート

ASA 5506W-X：内部 GigabitEthernet 1/9 インターフェイスのインターフェイスモニタリングを無効にする必要があります。これらのインターフェイスは、デフォルトのインターフェイスモニターリングチェックを実行するために通信することができないため、予期されたインターフェイス通信の障害により、スイッチがアクティブからスタンバイに切り替えられ、元に戻ります。
Firepower 1010：
- フェールオーバーを使用する場合は、スイッチポート機能を使用しないでください。スイッチポートはハードウェアで動作するため、アクティブユニットとスタンバイユニットの両方でトラフィックを通過させ続けます。フェールオーバーは、トラフィックがスタンバイユニットを通過するのを防ぐように設計されていますが、この機能はスイッチポートには拡張されていません。通常のフェールオーバーのネットワーク設定では、両方のユニットのアクティブなスイッチポートがネットワークループにつながります。スイッチング機能には外部スイッチを使用することをお勧めします。VLAN インターフェイスはフェールオーバーによってモニターできますが、スイッチポートはモニターできません。理論的には、1 つのスイッチポートを VLAN に配置して、フェールオーバーを正常に使用することができますが、代わりに物理ファイアウォールインターフェイスを使用する設定の方が簡単です。
- ファイアウォールインターフェイスはフェールオーバーリンクとしてのみ使用できます。
FirePOWER 9300：シャーシ間フェールオーバーを使用して最良の冗長性を確保することを推奨します。
Microsoft Azure や Amazon Web Services などのパブリッククラウドネットワーク上の ASAv では、レイヤ 2 接続が必要なため、通常のフェールオーバーはサポートされません。代わりに、パブリッククラウドでのハイアベイラビリティのためのフェールオーバーを参照してください。

ASA FirePOWER モジュールはフェールオーバーを直接サポートしていません。ASA がフェールオーバーすると、既存の ASA FirePOWER フローは新しい ASA に転送されます。新しい ASA の ASA FirePOWER モジュールが、その転送の時点からトラフィックの検査を開始します。古いインスペクションのステートは転送されません。

フェールオーバーの動作の整合性を保つために、ハイアベイラビリティな ASA ペアの ASA FirePOWER モジュールで一貫したポリシーを保持する必要があります。

（注）

ASA FirePOWER モジュールを設定する前に、フェールオーバーペアを作成します。モジュールが両方のデバイスにすでに設定されている場合は、フェールオーバーペアを作成する前にスタンバイデバイスのインターフェイスの設定をクリアします。スタンバイデバイスの CLI から、 clear configure interface コマンドを入力します。

ハイアベイラビリティのための ASAv フェールオーバー

ASAv を使用してフェールオーバーペアを作成する場合は、データインターフェイスを各 ASAv に同じ順序で追加する必要があります。完全に同じインターフェイスが異なる順序で各 ASAv に追加されると、ASAv コンソールにエラーが表示される可能性があります。また、フェールオーバー機能にも影響が出ることがあります。

その他のガイドライン

アクティブ装置がスタンバイ装置にフェールオーバーするときに、スパニングツリープロトコル（STP）を実行している接続済みスイッチポートが、トポロジの変化を検出すると 30 ～ 50 秒間ブロッキング状態になる可能性があります。ポートがブロッキングステートである間のトラフィック損失を防ぐには、スイッチで STP PortFast 機能を有効にします。

interface interface_id spanning-tree portfast

この回避策は、ルーテッドモードおよびブリッジグループインターフェイスの両方に接続されているスイッチに適用されます。PortFast 機能を設定すると、リンクアップと同時にポートが STP フォワーディングモードに遷移します。ポートは引き続き STP に参加しています。したがって、ポートがループの一部になる場合、最終的には STP ブロッキングモードに遷移します。
ASA フェールオーバーペアに接続されたスイッチ上でポートセキュリティを設定すると、フェールオーバーイベントが発生したときに通信の問題が起きることがあります。この問題は、あるセキュアポートで設定または学習されたセキュア MAC アドレスが別のセキュアポートに移動し、スイッチのポートセキュリティ機能によって違反フラグが付けられた場合に発生します。
すべてのコンテキストにわたり、1 台の装置の最大 1025 のインターフェイスをモニタできます。
アクティブ/スタンバイフェールオーバーと VPN IPsec トンネルの場合、SNMP を使用して VPN トンネル上でアクティブユニットとスタンバイユニットの両方をモニターすることはできません。スタンバイユニットにはアクティブ VPN トンネルがないため、NMS に向けられたトラフィックはドロップされます。代わりに暗号化付き SNMPv3 を使用すれば、IPsec トンネルが不要になります。
アクティブ/アクティブフェールオーバーでは、同じコンテキスト内の 2 つのインターフェイスを同じ ASR グループ内で設定することはできません。
アクティブ/アクティブフェールオーバーでは、最大 2 つのフェールオーバーグループを定義できます。
アクティブ/アクティブフェールオーバーでフェールオーバーグループを削除する場合は、フェールオーバーグループ 1 を最後に削除する必要があります。フェールオーバーグループ 1 には常に管理コンテキストが含まれます。フェールオーバーグループに割り当てられていないコンテキストはすべて、デフォルトでフェールオーバーグループ 1 になります。コンテキストが明示的に割り当てられているフェールオーバーグループは削除できません。
フェールオーバーの直後に、syslog メッセージの送信元アドレスが数秒間フェールオーバーインターフェイスアドレスになります。
評価モードで HA フェールオーバー暗号化を設定すると、システムは暗号化に DES を使用します。エクスポート準拠アカウントを使用してデバイスを登録すると、デバイスはリブート後に AES を使用します。したがって、アップグレードのインストール後など、何らかの理由でシステムがリブートすると、ピアは通信できなくなり、両方のユニットがアクティブユニットになります。デバイスを登録するまで、暗号化を設定しないことを推奨します。評価モードで暗号化を設定する場合は、デバイスを登録する前に暗号化を削除することを推奨します。
フェールオーバーで SNMPv3 を使用する場合、フェールオーバーユニットを交換すると、SNMPv3 ユーザは新しいユニットにレプリケートされません。ユーザを新しいユニットに強制的にレプリケートするには、SNMPv3 ユーザをアクティブユニットに再度追加する必要があります。または、新しいユニットにユーザを直接追加できます。アクティブユニットで snmp-server user username group-name v3 コマンドを入力するか、暗号化されていない形式の priv-password オプションと auth-password オプションを使用してスタンバイユニットに直接入力することにより、各ユーザを再設定します。
ASAは、SNMP クライアントのエンジンデータをピアと共有しません。
非常に多数のアクセスコントロールルールと NAT ルールがある場合、設定のサイズによって効率的な設定のレプリケーションが妨げられる可能性があり、その結果、スタンバイユニットがスタンバイ準備完了状態に達するまでの時間が長くなります。これは、コンソールまたは SSH セッションを介したレプリケーション中にスタンバイユニットに接続する機能にも影響を与える可能性があります。設定のレプリケーションのパフォーマンスを向上させるには、asp rule-engine transactional-commit access-group および asp rule-engine transactional-commit nat コマンドを使用して、アクセスルールと NAT の両方でトランザクションコミットを有効にします。

フェールオーバーのデフォルト

デフォルトでは、フェールオーバーポリシーは次の事項が含まれます。

ステートフルフェールオーバーでの HTTP 複製は行われません。
単一のインターフェイス障害でフェールオーバーが行われます。
インターフェイスのポーリング時間は 5 秒です。
インターフェイスのホールド時間は 25 秒です。
装置のポーリング時間は 1 秒です。
装置のホールド時間は 15 秒です。
仮想 MAC アドレスはマルチコンテキストモードで無効化されていますが。
すべての物理インターフェイスをモニターリングします。

アクティブ/スタンバイフェールオーバーの設定

アクティブ/スタンバイフェールオーバーを設定するには、プライマリ装置とセカンデリ装置の両方で基本的なフェールオーバー設定を構成します。その他すべての設定をプライマリ装置でのみ行った後、セカンデリ装置に設定を同期させます。

High Availability and Scalability Wizard を使用して、手順を踏んでアクティブ/スタンバイフェールオーバーコンフィギュレーションを作成することができます。

手順

ステップ 1	[Wizards] > [High Availability and Scalability] を選択します。次の手順でこのウィザードのガイドラインを確認してください。
ステップ 2	[Failover Peer Connectivity and Compatibility] 画面で、ピア装置の IP アドレスを入力します。このアドレスは、ASDM アクセスがイネーブルになっているインターフェイスである必要があります。デフォルトでは、ピアアドレスは ASDM 管理インターフェイスのスタンバイアドレスに割り当てられます。
ステップ 3	[LAN Link Configuration] 画面で次のように設定します。 [インターフェイス（Interface）]：物理インターフェイス ID、サブインターフェイス ID、冗長インターフェイス ID、または EtherChannel インターフェイス ID を指定できます。Firepower 1010 では、インターフェイスはファイアウォールインターフェイス ID です。スイッチポート ID または VLAN ID を指定することはできません。ASA 5506H-X の場合に限り、管理 1/1 インターフェイスをフェールオーバーリンクとして指定できます。その場合は、設定を保存してからデバイスをリロードする必要があります。デバイスをリロードした後は、このインターフェイスと ASA FirePOWER モジュールの両方をフェールオーバーに使用できなくなります。ASA FirePOWER モジュールには管理用インターフェイスが必要であり、そのインターフェイスは 1 つの機能にのみ使用できます。Firepower 4100/9300 では、任意のデータタイプインターフェイスを使用できます。 [Active IP Address]：この IP アドレスは、未使用のサブネット上にある必要があります。このサブネットは IP アドレスが 2 つだけの 31 ビット（255.255.255.254）にすることができます。169.254.0.0/16 と fd00:0:0:*::/64 は内部的に使用されるサブネットであり、フェールオーバーリンクやステートリンクに使用することはできません。 [Standby IP Address]：この IP アドレスは、アクティブ IP アドレスと同じネットワーク上にある必要があります。（オプション）[Communications Encryption]：フェールオーバーリンクの通信を暗号化します。注：秘密キーの代わりに、IPsec 事前共有キーを使用することをお勧めします。これはウィザードを終了した後に設定できます（フェールオーバーの設定変更を参照）。
ステップ 4	ステートフルフェールオーバー用に別のインターフェイスを選択する場合は、[State Link Configuration] 画面で次の設定を行います。 [Active IP Address]：この IP アドレスは、フェールオーバーリンクとは異なる未使用のサブネット上にある必要があります。このサブネットは IP アドレスが 2 つだけの 31 ビット（255.255.255.254）にすることができます。169.254.0.0/16 と fd00:0:0:*::/64 は内部的に使用されるサブネットであり、フェールオーバーリンクやステートリンクに使用することはできません。 [Standby IP Address]：この IP アドレスは、アクティブ IP アドレスと同じネットワーク上にある必要があります。
ステップ 5	[Finish] をクリックすると、ウィザードは [Waiting for Config Sync] 画面を表示します。指定された時間が経過した後に、ウィザードはセカンデリ装置にフェールオーバー設定を送信し、フェールオーバー設定が完了したことを示す情報画面が表示されます。フェールオーバーがセカンデリ装置でイネーブルになっているかどうかわからない場合は、指定した時間だけ待ちます。フェールオーバーがすでにイネーブルなことがわかっている場合は、[Skip configuring peer] をクリックします。セカンダリ装置でフェールオーバーがイネーブルでないことがわかっている場合は、[Stop waiting xx more seconds] をクリックすると、フェールオーバーのブートストラップ設定はすぐにセカンダリ装置に送信されます。

アクティブ/アクティブフェールオーバーの設定

ここでは、アクティブ/アクティブフェールオーバーの設定方法について説明します。

High Availability and Scalability Wizard を使用して、手順を踏んでアクティブ/アクティブフェールオーバーコンフィギュレーションを作成することができます。

手順

ステップ 1	[Wizards] > [High Availability and Scalability] を選択します。次の手順でこのウィザードのガイドラインを確認してください。
ステップ 2	[Failover Peer Connectivity and Compatibility Check] 画面では、ピアの IP アドレスは、ASDM アクセスが有効になっているインターフェイスである必要があります。デフォルトでは、ピアアドレスは、ASDM の接続先インターフェイスのスタンバイアドレスに割り当てられます。
ステップ 3	[Security Context Configuration] 画面では、ウィザード内でマルチコンテキストモードに変換した場合、管理コンテキストのみが表示されます。ウィザードを終了した後に他のコンテキストを追加できます。
ステップ 4	[LAN Link Configuration] 画面で次のように設定します。 [Interface]：物理インターフェイス ID、サブインターフェイス ID、冗長インターフェイス ID、または EtherChannel インターフェイス ID を指定できます。ASA 5506H-X の場合に限り、管理 1/1 インターフェイスをフェールオーバーリンクとして指定できます。その場合は、設定を保存してからデバイスをリロードする必要があります。デバイスをリロードした後は、このインターフェイスと ASA FirePOWER モジュールの両方をフェールオーバーに使用できなくなります。ASA FirePOWER モジュールには管理用インターフェイスが必要であり、そのインターフェイスは 1 つの機能にのみ使用できます。Firepower 4100/9300 では、任意のデータタイプインターフェイスを使用できます。 [Active IP Address]：この IP アドレスは、未使用のサブネット上にある必要があります。このサブネットは IP アドレスが 2 つだけの 31 ビット（255.255.255.254）にすることができます。169.254.0.0/16 と fd00:0:0:*::/64 は内部的に使用されるサブネットであり、フェールオーバーリンクやステートリンクに使用することはできません。 [Standby IP Address]：この IP アドレスは、アクティブ IP アドレスと同じネットワーク上にある必要があります。（オプション）[Communications Encryption]：フェールオーバーリンクの通信を暗号化します。注：秘密キーの代わりに、IPsec 事前共有キーを使用することをお勧めします。これはウィザードを終了した後に設定できます（フェールオーバーの設定変更を参照）。
ステップ 5	ステートフルフェールオーバー用に別のインターフェイスを選択する場合は、[State Link Configuration] 画面で次の設定を行います。 [Active IP Address]：この IP アドレスは、フェールオーバーリンクとは異なる未使用のサブネット上にある必要があります。このサブネットは IP アドレスが 2 つだけの 31 ビット（255.255.255.254）にすることができます。169.254.0.0/16 と fd00:0:0:*::/64 は内部的に使用されるサブネットであり、フェールオーバーリンクやステートリンクに使用することはできません。 [Standby IP Address]：この IP アドレスは、アクティブ IP アドレスと同じネットワーク上にある必要があります。
ステップ 6	[Finish] をクリックすると、ウィザードは [Waiting for Config Sync] 画面を表示します。指定された時間が経過した後に、ウィザードはセカンデリ装置にフェールオーバー設定を送信し、フェールオーバー設定が完了したことを示す情報画面が表示されます。フェールオーバーがセカンデリ装置でイネーブルになっているかどうかわからない場合は、指定した時間だけ待ちます。フェールオーバーがすでにイネーブルなことがわかっている場合は、[Skip configuring peer] をクリックします。セカンダリ装置でフェールオーバーがイネーブルでないことがわかっている場合は、[Stop waiting xx more seconds] をクリックすると、フェールオーバーのブートストラップ設定はすぐにセカンダリ装置に送信されます。

オプションのフェールオーバーパラメータの設定

必要に応じてフェールオーバー設定をカスタマイズできます。

フェールオーバー基準とその他の設定の構成

この項で変更可能な多くのパラメータのデフォルト設定については、フェールオーバーのデフォルトを参照してください。アクティブ/アクティブモードでは、ほとんどの条件をフェールオーバーグループごとに設定します。ここでは、アクティブ/アクティブモードでのフェールオーバーグループごとの HTTP 複製のイネーブル化について説明します。アクティブ/スタンバイモードで HTTP 複製を設定する場合は、フェールオーバーの設定変更を参照してください。

始める前に

マルチコンテキストモードのシステム実行スペースで次の設定を行います。
ユニットのヘルスモニターリングの Bidirectional Forwarding Detection（BFD）については次の制限を参照してください。
- FirePOWER 9300 および 4100 のみ
- アクティブ/スタンバイのみ
- ルーテッドモードのみ

手順

ステップ 1

[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] の順に選択します。

ステップ 2

スタンバイ装置またはコンテキストのコンフィギュレーションを直接変更できないようにするには、[Setup] タブをクリックし、[Disable configuration changes on the standby unit] チェックボックスをオンにします。

デフォルトでは、スタンバイユニットまたはスタンバイコンテキストに対するコンフィギュレーションは、警告メッセージ付きで許可されます。

ステップ 3

[BFD Health Check] で、[Manage] をクリックして、フェールオーバーのヘルス検出に使用する BFD テンプレートを定義します。CPU の使用率が高い場合、通常のユニットのモニターリングにより誤ってアラームが発生する可能性があります。BFD メソッドは分散されていてるため、CPU の使用率が高い場合でも動作に影響はありません。

[Configuration] > [Device Setup] > [Routing] > [BFD] > [Template] ページが開きます。[Add] をクリックして、シングルホップテンプレートを作成します。マルチホップはサポートされていません。間隔の設定には、ミリ秒を指定できます。マイクロ秒はサポートされていません。テンプレートの詳細については、BFD テンプレートの作成を参照してください。

ステップ 4

[Criteria] タブをクリックします。

ステップ 5

装置のポーリング時間を設定します。

[Failover Poll Times] 領域で、次を設定します。

[Unit Failover]：装置間の Hello メッセージの間の時間。範囲は 1 ～ 15 秒または 200 ～ 999 ミリ秒です。
[Unit Hold Time]：装置がフェールオーバーリンク上で Hello メッセージを受信する必要がある時間（この時間に受信しなかった場合は、装置がピアの障害のテストプロセスを開始する）を設定します。範囲は 1 ～ 45 秒または 800 ～ 999 ミリ秒です。ポーリング時間の 3 倍より少ない値は入力できません。

（注）

このペインの他の設定はアクティブ/スタンバイモードにのみ適用されます。アクティブ/アクティブモードでは、フェールオーバーグループごとに残りのパラメータを設定する必要があります。

ステップ 6

（アクティブ/アクティブモードのみ）[Active/Active] タブをクリックし、フェールオーバーグループを選択して [Edit] をクリックします。

ステップ 7

（アクティブ/アクティブモードのみ）プリエンプションでの使用時にフェールオーバーグループの優先するロールを変更するには、[Primary] または [Secondary] をクリックします。

ウィザードを使用した場合、フェールオーバーグループ 1 はプライマリ装置に割り当てられ、フェールオーバーグループ 2 はセカンダリ装置に割り当てられます。標準以外の設定が必要な場合は、別の装置を優先するように指定できます。これらの設定は、プリエンプション処理の設定と併用してのみ使用されます。グループの primary または secondary の設定にかかわらず、両方のフェールオーバーグループが最初にブートしたユニットでアクティブになります（それらが同時に起動したように見える場合でも、一方のユニットが最初にアクティブになります）。

ステップ 8

（アクティブ/アクティブモードのみ）フェールオーバーグループプリエンプションを設定するには、[Preempt after booting with optional delay of] チェックボックスをオンにします。

グループの primary または secondary の設定にかかわらず、両方のフェールオーバーグループが最初にブートしたユニットでアクティブになります（それらが同時に起動したように見える場合でも、一方のユニットが最初にアクティブになります）。

オプションの delay 値に秒数を入力して、その時間フェールオーバーグループが現在の装置でアクティブ状態に維持され、その後に指定された装置で自動的にアクティブになるようにできます。有効な値は 1 ～ 1200 です。

手動でフェールオーバーすると、プリエンプション処理のオプションが無視されます。

（注）

ステートフルフェールオーバーがイネーブルの場合、プリエンプションは、フェールオーバーグループが現在アクティブになっている装置から接続が複製されるまで遅延されます。

ステップ 9

[Interface Policy] を設定します。

[Number of failed interfaces that triggers failover]：フェールオーバーをトリガーするために必要な障害が発生したインターフェイスの具体的な数を 1 ～ 250 で定義します。障害が発生したモニター対象インターフェイスの数が指定した値を超えると、ASA はフェールオーバーします。
[Percentage of failed interfaces that triggers failover]：フェールオーバーをトリガーするために必要な障害が発生した設定済みインターフェイスの割合を定義します。障害が発生したモニター対象インターフェイスの数が設定した割合を超えると、ASA はフェールオーバーします。

（注）

[Use system failover interface policy] オプションは使用しないでください。現時点ではグループごとのポリシーのみが設定できます。

ステップ 10

（アクティブ/スタンバイモード）インターフェイスのポーリング時間を設定します。

[Failover Poll Time] 領域で、次を設定します。

Monitored Interfaces：インターフェイスのポーリング時間を指定します。ピアに hello パケットを送信するまで待機する時間。範囲は 1 ～ 15 秒または 500 ～ 999 ミリ秒です。デフォルトは 5 秒です。
[Link State]：デフォルトでは、フェールオーバーのペアの ASA では、インターフェイスのリンクステートが 500 ミリ秒ごとに確認されます。polltime はカスタマイズできます。たとえば、polltime を 300 ミリ秒に設定すると、ASA ではインターフェイスの障害やトリガーのフェールオーバーをより早く検出できるようになります。範囲は 300 ～ 799 ミリ秒です。
Interface Hold Time：ピアユニットからの最後に受信した hello メッセージとインターフェイステストの開始との間の時間（計算として）を設定して、インターフェイスの健全性を判断します。また、各インターフェイステストの期間を holdtime/16 として設定します。有効な値は 5 ～ 75 秒です。デフォルトは、polltime の5倍です。polltime の 5 倍よりも短い holdtime 値は入力できません。

インターフェイステストを開始するまでの時間（y）を計算するには、次のようにします。
1. x = (holdtime/polltime)/2、最も近い整数に丸められます。（.4 以下は切り下げ、.5 以上は切り上げ。）
2. y = x*polltime
たとえば、デフォルトの holdtime は 25 で、polltime が 5 の場合は y は 15 秒です。

アクティブ/アクティブモードの場合、[Add/Edit Failover Group] ダイアログボックスでインターフェイスポーリング時間を設定します。

ステップ 11

（アクティブ/アクティブモードのみ）HTTP 複製をイネーブルにするには、[Enable HTTP Replication] チェックボックスをオンにします。

セッションの複製レートについては、「フェールオーバーの設定変更」の項を参照してください。

（注）

フェールオーバーを使用しているときに、スタンバイ装置から HTTP フローを削除すると遅延が生じます。このため show conn count 出力には、アクティブ装置とスタンバイ装置で異なる数が表示されることがあります。数秒待ってコマンドを再発行すると、両方の装置で同じカウントが表示されます。

ステップ 12

仮想 MAC アドレスを設定します。

アクティブ/スタンバイモード：[MAC Addresses] タブをクリックし、[Add] をクリックします。

[Add/Edit Interface MAC Address] ダイアログボックスが表示されます。
アクティブ/アクティブモード：[Active/Active] [タブの下部に移動します。

他の方法を使用して MAC アドレスを設定することもできますが、1 つの方法だけを使用することを推奨します。複数の方法を使用して MAC アドレスを設定した場合は、どの MAC アドレスが使用されるかは多くの可変要素によって決まるため、予測できないことがあります。

[Physical Interface] ドロップダウンリストからインターフェイスを選択します。
[Active MAC Address] フィールドに、アクティブインターフェイスの新しい MAC アドレスを入力します。
[Standby MAC Address] フィールドに、スタンバイインターフェイスの新しい MAC アドレスを入力します。
[OK] をクリックします。（アクティブ/アクティブモードのみ）再度 [OK] をクリックします。

ステップ 13

[Apply] をクリックします。

インターフェイスモニターリングの設定およびスタンバイアドレスの設定

デフォルトでは、すべての物理インターフェイス、または Firepower 1010 の場合、すべての VLAN インターフェイス、および ASA にインストールされるすべてのハードウェアまたはソフトウェアモジュール（ASA FirePOWER モジュールなど）でモニタリングが有効になっています。インターフェイスモニタリングの場合、Firepower 1010 スイッチポートが対象です。

重要度の低いネットワークに接続されているインターフェイスがフェールオーバーポリシーに影響を与えないように除外できます。

装置ごとに最大 1025 のインターフェイスをモニターできます（マルチコンテキストモードのすべてのコンテキストにわたって）。

ウィザードでスタンバイ IP アドレスを設定しなかった場合は、手動で設定できます。

始める前に

マルチコンテキストモードで、各コンテキスト内のインターフェイスを設定します。

手順

ステップ 1	シングルモードでは、[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces] の順に選択します。マルチコンテキストモードでは、コンテキスト内で [Configuration] > [Device Management] > [Failover] > [Interfaces] を選択します。設定されているインターフェイスのリストが、ASA FirePOWER モジュールなどのすべてのインストール済みのハードウェア/ソフトウェアモジュールとともに表示されます。[Monitored] カラムに、フェールオーバー基準の一部としてインターフェイスがモニターされているかどうかが表示されます。モニターされている場合は、[Monitored] チェックボックスがオンになっています。特定のハードウェア/ソフトウェアモジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニターリングを無効化できます。各インターフェイスの IP アドレスが [Active IP Address] カラムに表示されます。インターフェイスのスタンバイ IP アドレスが設定されている場合は、[Standby IP address] カラムに表示されます。フェールオーバーリンクおよびステートリンクについては IP アドレスは表示されません。これらのアドレスはこのタブから変更できません。
ステップ 2	表示されているインターフェイスのモニターリングをディセーブルにするには、インターフェイスの [Monitored] チェックボックスをオフにします。
ステップ 3	表示されているインターフェイスのモニターリングをイネーブルにするには、インターフェイスの [Monitored] チェックボックスをオンにします。
ステップ 4	スタンバイ IP アドレスを持っていない各インターフェイスに対して、[Standby IP Address] フィールドをダブルクリックしてフィールドに IP アドレスを入力します。ポイントツーポイント接続に 31 ビットサブネットマスクを使用する場合、スタンバイ IP アドレスを設定しないでください。
ステップ 5	[Apply] をクリックします。

非対称にルーティングされたパケットのサポートの設定（アクティブ/アクティブモード）

アクティブ/アクティブフェールオーバーでの実行中に、ピア装置を経由して開始された接続に対する返送パケットを、装置が受信する場合があります。そのパケットを受信する ASA にはそのパケットの接続情報がないために、パケットはドロップされます。このドロップが多く発生するのは、アクティブ/アクティブフェールオーバーペアの 2 台の ASA が異なるサービスプロバイダに接続されており、アウトバウンド接続に NAT アドレスが使用されていない場合です。

返送パケットのドロップは、非対称にルーティングされたパケットを許可することによって防ぐことができます。そのためには、それぞれの ASA の同様のインターフェイスを同じ ASR グループに割り当てます。たとえば、両方の ASA が、内部インターフェイスでは同じ内部ネットワークに接続している一方、外部インターフェイスでは別の ISP に接続しているとします。プライマリ装置で、アクティブコンテキストの外部インターフェイスを ASR グループ 1 に割り当て、セカンダリ装置でも、アクティブコンテキストの外部インターフェイスを同じ ASR グループ 1 に割り当てます。プライマリ装置の外部インターフェイスがセッション情報を持たないパケットを受信すると、同じグループ（この場合 ASR グループ 1）内のスタンバイコンテキストの他のインターフェイスのセッション情報をチェックします。一致する情報が見つからない場合、パケットはドロップされます。一致する情報が見つかると、次の動作のうちいずれかが開始します。

着信トラフィックがピア装置に発信されると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットは他の装置にリダイレクトされます。このリダイレクトは、セッションがアクティブである限り続行されます。
着信トラフィックが同じ装置の別のインターフェイスに発信されると、レイヤ 2 ヘッダーの一部またはすべてが書き直され、パケットはストリームに再注入されます。

（注）

この機能は、非対称ルーティングを提供しません。非対称にルーティングされたパケットを正しいインターフェイスに戻します。

次の図に、非対称にルーティングされたパケットの例を示します。

アウトバウンドセッションが、アクティブな SecAppA コンテキストを持つ ASA を通過します。このパケットは、インターフェイス外の ISP-A（192.168.1.1）から送信されます。
非対称ルーティングがアップストリームのどこかで設定されているため、リターントラフィックは、アクティブな SecAppB コンテキストを持つ ASA のインターフェイス外部の ISP-B（192.168.2.2）経由で戻ります。
通常、リターントラフィックは、そのインターフェイス 192.168.2.2 上にリターントラフィックに関するセッション情報がないので、ドロップされます。しかし、このインターフェイスは、ASR グループ 1 の一部として設定されています。装置は、同じ ASR グループ ID で設定された他のインターフェイス上のセッションを探します。
このセッション情報は、SecAppB を持つ装置上のスタンバイ状態のインターフェイス outsideISP-A（192.168.1.2）にあります。ステートフルフェールオーバーは、SecAppA から SecAppB にセッション情報を複製します。
ドロップされる代わりに、レイヤ 2 ヘッダーはインターフェイス 192.168.1.1 の情報で書き直され、トラフィックはインターフェイス 192.168.1.2 からリダイレクトされます。そこから、発信元の装置のインターフェイスを経由して戻ります（SecAppA の 192.168.1.1）。この転送は、必要に応じて、セッションが終了するまで続行されます。

始める前に

ステートフルフェールオーバー：アクティブフェールオーバーグループにあるインターフェイスのセッションのステート情報を、スタンバイフェールオーバーグループに渡します。
replication http：HTTP セッションのステート情報は、スタンバイフェールオーバーグループに渡されないため、スタンバイインターフェイスに存在しません。ASA が非対称にルーティングされた HTTP パケットを再ルーティングできるように、HTTP ステート情報を複製する必要があります。
プライマリ装置およびセカンダリ装置の各アクティブコンテキスト内でこの手順を実行します。
コンテキスト内に ASR グループとトラフィックゾーンの両方を設定することはできません。コンテキスト内にゾーンを設定した場合、どのコンテキストインターフェイスも ASR グループに含めることはできません。

手順

ステップ 1	プライマリ装置のアクティブコンテキストで、[Configuration] > [Device Setup] > [Routing] > [ASR Groups] の順に選択します。
ステップ 2	非対称にルーティングされたパケットを受信するインターフェイスについて、ドロップダウンリストから ASR グループ ID を選択します。
ステップ 3	[Apply] をクリックし、変更内容を実行コンフィギュレーションに保存します。
ステップ 4	ASDM をセカンダリ装置に接続し、プライマリ装置のコンテキストと同様のアクティブコンテキストを選択します。
ステップ 5	[Configuration] > [Device Setup] > [Routing] > [ASR Groups] の順に選択します。
ステップ 6	この装置の同様のインターフェイスについて、同じ ASR グループ ID を選択します。
ステップ 7	[Apply] をクリックし、変更内容を実行コンフィギュレーションに保存します。

フェールオーバーの管理

この項では、フェールオーバーの設定を変更する方法、ある装置から別の装置にフェールオーバーを強制実行する方法など、フェールオーバーを有効化した後にフェールオーバー装置を管理する方法について説明します。

フェールオーバーの設定変更

ウィザードを使用しない場合や、設定を変更する場合に、手動でフェールオーバーを設定できます。ここでは、ウィザードに含まれていないため手動で設定する必要がある次のオプションについても説明します。

フェールオーバートラフィックを暗号化するための IPsec 事前共有キー
HTTP 複製レート
HTTP 複製（アクティブ/スタンバイモード）

始める前に

マルチコンテキストモードでは、システム実行スペースでこの手順を実行します。

手順

ステップ 1

シングルモードでは、[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup] の順に選択します。

マルチコンテキストモードでは、システム実行スペースで [Configuration] > [Device Management] > [Failover] > [Setup] を選択します。

ステップ 2

[Enable Failover] チェックボックスをオンにします。

（注）

デバイスに変更を適用するまで、フェールオーバーは実際にはイネーブルになりません。

ステップ 3

フェールオーバーリンクおよびステートリンクの通信を暗号化するには、次のオプションのいずれかを使用します。

[IPsec Preshared Key]（優先）：フェールオーバー装置間のフェールオーバーリンクで IPsec LAN-to-LAN トンネルを確立するために、IKEv2 によって使用される事前共有キーです。注：フェールオーバー LAN-to-LAN トンネルは、IPsec（他の VPN）ライセンスには適用されません。
[Secret Key]：フェールオーバー通信の暗号化に使用される秘密キーを入力します。このフィールドを空白のままにした場合は、コマンド複製中に送信されるコンフィギュレーション内のパスワードまたはキーを含め、フェールオーバー通信がクリアテキストになります。

[Use 32 hexadecimal character key]：秘密キーに 32 文字の 16 進キーを使用するには、このチェックボックスをオンにします。

ステップ 4

[LAN Failover] 領域で、フェールオーバーリンクの次のパラメータを設定します。

[Interface]：フェールオーバーリンクに使用するインターフェイスを選択します。フェールオーバーには専用インターフェイスが必要ですが、ステートフルフェールオーバーとインターフェイスを共有できます。

このリストには、未設定のインターフェイスまたはサブインターフェイスのみが表示され、フェールオーバーリンクとして選択できます。インターフェイスをフェールオーバーリンクに指定すると、そのインターフェイスは [Configuration] > [Interfaces] ペインでは編集できません。
[Logical Name]：「failover」などのフェールオーバー通信に使用するインターフェイスの論理名を指定します。この名前は情報を提供するためのものです。
[Active IP]：インターフェイスのアクティブ IP アドレスを指定します。IP アドレスは、IPv4 または IPv6 アドレスのどちらにすることもできます。この IP アドレスは未使用のサブネット上になければなりません。
[Standby IP]：インターフェイスのスタンバイ IP アドレスを指定します。アクティブ IP アドレスと同じサブネット上のアドレスを指定します。
[Subnet Mask]：サブネットマスクを指定します。
[Preferred Role]：この ASA の優先されるロールがプライマリ装置であるかセカンダリ装置であるかを指定するために、[Primary] または [Secondary] を選択します。

ステップ 5

（オプション）次の手順でステートリンクを設定します。

[Interface]：ステートリンクに使用するインターフェイスを選択します。選択できるのは、未設定のインターフェイスまたはサブインターフェイス、フェールオーバーリンク、または [--Use Named--] オプションです。

（注）

フェールオーバーリンク専用インターフェイスとステートリンク専用インターフェイスの 2 つのインターフェイスを別々に使用することを推奨します。

未設定のインターフェイスまたはサブインターフェイスを選択した場合、そのインターフェイスのアクティブ IP、サブネットマスク、論理名、およびスタンバイ IP を入力する必要があります。

フェールオーバーリンクを選択した場合は、アクティブ IP、サブネットマスク、論理名、およびスタンバイ IP の値を指定する必要はありません。フェールオーバーリンクに指定されている値が使用されます。

[--Use Named--] オプションを選択した場合、[Logical Name] フィールドは、名前のついたインターフェイスのドロップダウンリストになります。このリストからインターフェイスを選択します。アクティブ IP、サブネットマスク/プレフィックスの長さ、スタンバイ IP の値を指定する必要はありません。そのインターフェイスに指定された値が使用されます。

[Logical Name]：「state」などのステート通信に使用するインターフェイスの論理名を指定します。この名前は情報を提供するためのものです。
[Active IP]：インターフェイスのアクティブ IP アドレスを指定します。IP アドレスは、IPv4 または IPv6 アドレスのどちらにすることもできます。この IP アドレスは、フェールオーバーリンクとは異なる未使用のサブネット上になければなりません。
[Standby IP]：インターフェイスのスタンバイ IP アドレスを指定します。アクティブ IP アドレスと同じサブネット上のアドレスを指定します。
[Subnet Mask]：サブネットマスクを指定します。

（オプション、アクティブ/スタンバイのみ）[Enable HTTP Replication]：このオプションにより、アクティブ HTTP セッションをスタンバイファイアウォールにコピーするステートフルフェールオーバーがイネーブルになります。HTTP 複製を許可しない場合、HTTP 接続はフェールオーバーの発生時に切断されます。アクティブ/アクティブモードでは、フェールオーバーグループごとに HTTP 複製を設定します。

（注）

ステップ 6

[Replication] 領域で、セッション複製レートを 1 秒あたり接続数で設定します。最小および最大レートはモデルによって決まります。デフォルトは最大レートです。デフォルトを使用するには、[Use Default] チェックボックスをオンにします。

ステップ 7

[Apply] をクリックします。

コンフィギュレーションがデバイスに保存されます。

ステップ 8

フェールオーバーをイネーブルにすると、フェールオーバーピアを設定するためのダイアログボックスが表示されます。

後でフェールオーバーピアに接続して手動で同様の設定を行う場合は、[No] をクリックします。
ASDM によって自動的にフェールオーバーピア上の関連するフェールオーバー設定が行われるようにするには、[Yes] をクリックします。[Peer IP Address] フィールドにピアの IP アドレスを指定します。

フェールオーバーの強制実行

スタンバイ装置を強制的にアクティブにするには、次の手順を実行します。

始める前に

マルチコンテキストモードでは、システム実行スペースでこの手順を実行します。

手順

ステップ 1

フェールオーバーを装置レベルで強制するには次を行います。

コンテキストモードに応じて画面を選択します。
- シングルコンテキストモードでは、[Monitoring] > [Properties] > [Failover] > [Status] を選択します。
- マルチコンテキストモードでは、システムで [Monitoring] > [Failover] > [System] を選択します。
次のいずれかのボタンをクリックします。
- [Make Active] をクリックすると、この装置がアクティブ装置になります。
- [Make Standby] をクリックすると、相手装置がアクティブ装置になります。

ステップ 2

（アクティブ/アクティブモードのみ）フェールオーバーをフェールオーバーグループレベルで強制するには次を行います。

システムで、[Monitoring] > [Failover] > [Failover Group #] を開きます。# は、制御するフェールオーバーグループの番号です。
次のいずれかのボタンをクリックします。
- [Make Active] をクリックすると、この装置でフェールオーバーグループがアクティブになります。
- [Make Standby] をクリックすると、相手装置でフェールオーバーグループがアクティブになります。

フェールオーバーのディセーブル化

1 つまたは両方の装置でフェールオーバーをディセーブルにすると、リロードするまで各装置のアクティブおよびスタンバイ状態が維持されます。アクティブ/アクティブフェールオーバーペアの場合、どの装置を優先するように設定されていようと、フェールオーバーグループはアクティブであるすべての装置でアクティブ状態のまま維持されます。

フェールオーバーをディセーブルにする際、次の特性を参照してください。

スタンバイ装置/コンテキストはスタンバイモードのまま維持されるので、両方の装置はトラフィックの転送を開始しません（これは疑似スタンバイ状態と呼ばれます）。
スタンバイ装置/コンテキストは、アクティブ装置/コンテキストに接続されていない場合でもそのスタンバイ IP アドレスを引き続き使用します。
スタンバイ装置/コンテキストによる、フェールオーバー上における接続に対するリッスンは継続されます。フェールオーバーをアクティブ装置/コンテキストで再度イネーブルにすると、そのコンフィギュレーションの残りが再同期化された後に、スタンバイ装置/コンテキストが通常のスタンバイ状態に戻ります。
スタンバイ装置で手動でフェールオーバーをイネーブルにしてアクティブ化しないでください。代わりに、フェールオーバーの強制実行を参照してください。スタンバイ装置でフェールオーバーをイネーブルにすると、MAC アドレスの競合が発生し、IPv6 トラフィックが中断される可能性があります。
完全にフェールオーバーをディセーブルにするには、no failover コンフィギュレーションをスタートアップコンフィギュレーションに保存してからリロードします。

始める前に

マルチコンテキストモードでは、システム実行スペースでこの手順を実行します。

手順

ステップ 1	シングルモードでは、[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup] の順に選択します。マルチコンテキストモードでは、システム実行スペースで [Configuration] > [Device Management] > [Failover] > [Setup] を選択します。
ステップ 2	[Enable Failover] チェックボックスをオフにします。
ステップ 3	[Apply] をクリックします。
ステップ 4	完全にフェールオーバーをディセーブルにするには、コンフィギュレーションを保存してをリロードします。 [Save] ボタンをクリックします。 [Tools] > [System Reload] を選択して、ASA をリロードします。

障害が発生した装置の復元

障害が発生した装置を障害のない状態に復元するには、次の手順を実行します。

始める前に

マルチコンテキストモードでは、システム実行スペースでこの手順を実行します。

手順

ステップ 1

フェールオーバーを装置レベルで復元するには次を行います。

コンテキストモードに応じて画面を選択します。
- シングルコンテキストモードでは、[Monitoring] > [Properties] > [Failover] > [Status] を選択します。
- マルチコンテキストモードでは、システムで [Monitoring] > [Failover] > [System] を選択します。
[Reset Failover] をクリックします。

ステップ 2

（アクティブ/アクティブモードのみ）フェールオーバーをフェールオーバーグループレベルで復元するには次を行います。

システムで、[Monitoring] > [Failover] > [Failover Group #] を開きます。# は、制御するフェールオーバーグループの番号です。
[Reset Failover] をクリックします。

コンフィギュレーションの再同期

複製されたコマンドは、実行コンフィギュレーションに保存されます。複製されたコマンドをスタンバイ装置のフラッシュメモリに保存するには、[File] > [Save Running Configuration to Flash] の順に選択します。

フェールオーバーのモニターリング

このセクションの手順に従うことで、フェールオーバーのステータスをモニターできます。

フェールオーバーメッセージ

フェールオーバーが発生すると、両方の ASA がシステムメッセージを送信します。

フェールオーバーの syslog メッセージ

ASA は、深刻な状況を表すプライオリティレベル 2 のフェールオーバーについて、複数の syslog メッセージを発行します。これらのメッセージを表示するには、syslog メッセージガイドを参照してください。フェールオーバーに関連付けられているメッセージ ID の範囲は次のとおりです：101xxx、102xxx、103xxx、104xxx、105xxx、210xxx、311xxx、709xxx、727xxx。たとえば、105032 および 105043 はフェールオーバーリンクとの問題を示しています。

（注）

フェールオーバーの最中に、ASA は論理的にシャットダウンした後、インターフェイスを起動し、syslog メッセージ 411001 および 411002 を生成します。これは通常のアクティビティです。

フェールオーバーデバッグメッセージ

デバッグメッセージを表示するには、debug fover コマンドを入力します。詳細については、コマンドリファレンスを参照してください。

（注）

CPU プロセスではデバッグ出力に高プライオリティが割り当てられているため、デバッグ出力を行うとシステムパフォーマンスに大きく影響することがあります。このため、特定の問題のトラブルシューティングを行う場合や、Cisco TAC とのトラブルシューティングセッションの間に限り debug fover コマンドを使用してください。

SNMP のフェールオーバートラップ

フェールオーバーに対する SNMP syslog トラップを受信するには、SNMP トラップを SNMP 管理ステーションに送信するように SNMP エージェントを設定し、syslog ホストを定義し、お使いの SNMP 管理ステーションに Cisco syslog MIB をコンパイルします。

フェールオーバーステータスのモニターリング

（注）

フェールオーバーイベントが発生した後、デバイスのモニターリングを継続するには、ASDM を再起動するか、または [Devices] ペインに表示される別のデバイスに切り替えて、元の ASA に戻る手順を実行する必要があります。この操作が必要なのは、ASDM がデバイスから切断されて再接続された場合、接続のモニターリングが再確立されないためです。

[Monitoring] > [Properties] > [Failover] を選択して、アクティブ/スタンバイフェールオーバーをモニターします。

[Monitoring] > [Properties] > [Failover] 領域で次の画面を使用して、アクティブ/アクティブフェールオーバーをモニターします。

System

[System] ペインには、システムのフェールオーバー状態が表示されます。また、システムのフェールオーバー状態を次の方法で制御できます。

デバイスのアクティブ/スタンバイ状態を切り替える。
障害が発生したデバイスをリセットする。
スタンバイ装置をリロードする。

フィールド

[Failover state of the system]：表示専用。ASA のフェールオーバー状態を表示します。表示される情報は、show failover コマンドで受け取る出力と同じです。表示出力に関する詳細については、コマンドリファレンスを参照してください。

[System] ペインでは、次のアクションを使用できます。

[Make Active]：アクティブ/スタンバイコンフィギュレーションで、このボタンをクリックすると、ASA がアクティブ装置になります。アクティブ/アクティブコンフィギュレーションで、このボタンをクリックすると、ASA で両方のフェールオーバーグループがアクティブになります。
[Make Standby]：アクティブ/スタンバイペアで、このボタンをクリックすると、ASA がスタンバイ装置になります。アクティブ/アクティブコンフィギュレーションで、このボタンをクリックすると、ASA で両方のフェールオーバーグループがスタンバイ状態になります。
[Reset Failover]：このボタンをクリックして、システムを障害状態からスタンバイ状態にリセットします。システムをアクティブ状態にはリセットできません。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。
[Reload Standby]：このボタンをクリックして、スタンバイ装置を強制的にリロードします。
[Refresh]：このボタンをクリックして、[system] フィールドのフェールオーバー状態にあるステータス情報をリフレッシュします。

フェールオーバーグループ 1 およびフェールオーバーグループ 2

[Failover Group 1] ペインおよび [Failover Group 2] ペインには、選択したグループのフェールオーバー状態が表示されます。また、グループのアクティブ/スタンバイ状態を切り替えるか、または障害が発生したグループをリセットして、グループのフェールオーバー状態を制御することもできます。

フィールド

[Failover state of Group[x]]：表示専用。選択したフェールオーバーグループのフェールオーバー状態を表示します。表示される情報は、show failover group コマンドで受け取る出力と同じです。

このペインで次のアクションを実行できます。

[Make Active]：このボタンをクリックして、フェールオーバーグループを ASA のアクティブユニットにします。
[Make Standby]：このボタンをクリックして、フェールオーバーグループを ASA で強制的にスタンドバイ状態にします。
[Reset Failover]：このボタンをクリックして、システムを障害状態からスタンバイ状態にリセットします。システムをアクティブ状態にはリセットできません。アクティブ装置でこのボタンをクリックすると、スタンバイ装置がリセットされます。
[Refresh]：このボタンをクリックして、[system] フィールドのフェールオーバー状態にあるステータス情報をリフレッシュします。

フェールオーバーの履歴

機能名

リリース

機能情報

アクティブ/スタンバイフェールオーバー

7.0(1)

この機能が導入されました。

アクティブ/アクティブフェールオーバー

7.0(1)

この機能が導入されました。

フェールオーバーキーの 16 進数値サポート

7.0(4)

フェールオーバーリンクの暗号化用に 16 進数値が指定できるようになりました。

次の画面が変更になりました。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。

フェールオーバーキーのマスターパスフレーズのサポート

8.3(1)

フェールオーバーキーが、実行コンフィギュレーションとスタートアップコンフィギュレーションの共有キーを暗号化するマスターパスフレーズをサポートするようになりました。一方の ASA から他方に共有秘密をコピーする場合、たとえば、more system:running-config コマンドを使用して、正常に暗号化共有キーをコピーして貼り付けることができます。

（注）

failover key の共有秘密は、show running-config の出力に ***** と表示されます。このマスクされたキーはコピーできません。

ASDM の変更はありませんでした。

フェールオーバーに IPv6 のサポートが追加

8.2(2)

次の画面が変更されました。

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。 

[Configuration] > [Device Management] > [High Availability] > [Failover] > [Interfaces]。

「同時」ブートアップ中のフェールオーバーグループのユニットの設定の変更

9.0(1)

以前のバージョンのソフトウェアでは「同時」ブートアップが許可されていたため、フェールオーバーグループを優先ユニットでアクティブにする preempt コマンドは必要ありませんでした。しかし、この機能は、両方のフェールオーバーグループが最初に起動するユニットでアクティブになるように変更されました。

フェールオーバーリンクおよびステートリンクの通信を暗号化する IPsec LAN-to-LAN トンネルのサポート

9.1(2)

フェールオーバーキーに独自の暗号化を使用する代わりに、フェールオーバーリンクおよびステートリンクの暗号化に IPsec LAN-to-LAN トンネルが使用できるようになりました。

（注）

フェールオーバー LAN-to-LAN トンネルは、IPsec（その他の VPN）ライセンスには適用されません。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability] > [Failover] > [Setup]。

ハードウェアモジュールのヘルスモニターリングの無効化

9.3(1)

ASA はデフォルトで、インストール済みハードウェアモジュール（ASA FirePOWER モジュールなど）のヘルスモニターリングを行います。特定のハードウェアモジュールの障害によってフェールオーバーをトリガーすることが望ましくない場合は、モジュールのモニターリングをディセーブルにできます。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Interfaces]

フェールオーバーペアのスタンバイ装置またはスタンバイコンテキストのコンフィギュレーション変更のロック

9.3(2)

通常のコンフィギュレーションの同期を除いてスタンバイ装置上で変更ができないように、スタンバイ装置（アクティブ/スタンバイフェールオーバー）またはスタンバイコンテキスト（アクティブ/アクティブフェールオーバー）のコンフィギュレーション変更をロックできるようになりました。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

ASA 5506H のフェールオーバーリンクとして、管理 1/1 インターフェイスを使用可能

9.5(1)

管理 1/1 インターフェイスは、ASA 5506H に限りフェールオーバーリンクとして設定できるようになりました。この機能により、デバイスの他のインターフェイスをデータインターフェイスとして使用できます。この機能を使用した場合、ASA FirePOWER モジュールは使用できません。このモジュールでは管理 1/1 インターフェイスを通常の管理インターフェイスとして維持することが必須です。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

キャリアグレード NAT の強化がフェールオーバーおよび ASA クラスタリングでサポート

9.5(2)

キャリアグレードまたは大規模 PAT では、NAT に 1 度に 1 つのポート変換を割り当てさせるのではなく、各ホストにポートのブロックを割り当てることができます（RFC 6888 を参照してください）。この機能は、フェールオーバーおよび ASA クラスタの導入でサポートされます。

変更された画面はありません。

アクティブ/スタンバイフェールオーバーを使用するときの AnyConnect からのダイナミック ACL の同期時間が改善

9.6(2)

フェールオーバーペアで AnyConnect を使用するとき、関連付けられているダイナミック ACL（dACL）のスタンバイユニットへの同期時間が改善されました。以前は、大規模な dACL の場合、スタンバイユニットが可用性の高いバックアップを提供するのではなく同期作業で忙しい間は、同期時間が長時間に及ぶことがありました。

変更された画面はありません。

マルチコンテキストモードの AnyConnect 接続のステートフルフェールオーバー

9.6(2)

マルチコンテキストモードで AnyConnect 接続のステートフルフェールオーバーがサポートされました。

変更された画面はありません。

より迅速に検出を行うためのインターフェイスのリンクステートモニターリングを設定可能

9.7(1)

デフォルトでは、フェールオーバーペアの ASA は、500 ミリ秒ごとにインターフェイスのリンクステートをチェックします。ポーリングの間隔を 300 ミリ秒から 799 ミリ秒の間で設定できるようになりました。たとえば、ポーリング時間を 300 ミリ秒に設定すると、ASA はインターフェイス障害やトリガーのフェールオーバーをより迅速に検出できます。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Criteria]

FirePOWER 9300 および 4100 でのアクティブ/スタンバイフェールオーバーヘルスモニターリングで、双方向フォワーディング検出（BFD）がサポートされました。

9.7(1)

FirePOWER 9300 および 4100 上のアクティブ/スタンバイペアの 2 つのユニット間のフェールオーバーヘルスチェックに対して、双方向フォワーディング検出（BFD）を有効にできるようになりました。ヘルスチェックに BFD を使用すると、デフォルトのヘルスチェックより信頼性が高まり、CPU の使用を抑えることができます。

次の画面が変更されました。[Configuration] > [Device Management] > [High Availability and Scalability] > [Failover] > [Setup]

ASDM ブック 1：Cisco ASA シリーズ ASDM 7.14 コンフィギュレーション ガイド（一般的な操作）

Bias-Free Language

Results

Chapter: ハイ アベイラビリティのためのフェールオーバー

ハイ アベイラビリティのためのフェールオーバー

フェールオーバーについて

フェールオーバー モード

フェールオーバー のシステム要件

ハードウェア要件

ソフトウェア要件

ライセンス要件

フェールオーバー リンクとステートフル フェールオーバー リンク

フェールオーバー リンク

フェールオーバー リンク データ

フェールオーバー リンクのインターフェイス

フェールオーバー リンクの接続

ステートフル フェールオーバー リンク

フェールオーバー リンクの共有

専用のインターフェイス

フェールオーバー リンクとデータ リンクの中断の回避

シナリオ 1：非推奨

シナリオ 2：推奨

シナリオ 3：推奨

シナリオ 4：推奨

フェールオーバー の MAC アドレスと IP アドレス

アクティブ/スタンバイ IP アドレスと MAC アドレス

アクティブ/アクティブ IP アドレスと MAC アドレス

仮想 MAC アドレス

ステートレス フェールオーバーとステートフル フェールオーバー

ステートレス フェールオーバー

ステートフル フェールオーバー

サポートされる機能

サポートされない機能

フェールオーバーのブリッジ グループ要件

アプライアンス、ASAv のブリッジグループ必須要件

フェールオーバーのヘルス モニターリング

装置のヘルス モニターリング

インターフェイス モニタリング

インターフェイス テスト

インターフェイス ステータス

フェールオーバー 時間

設定の同期

コンフィギュレーションの複製の実行

ファイルの複製

コマンドの複製

アクティブ/スタンバイ フェールオーバーについて

プライマリ/セカンダリの役割とアクティブ/スタンバイ ステータス

起動時のアクティブ装置の判別

フェールオーバー イベント

アクティブ/アクティブ フェールオーバーの概要

アクティブ/アクティブ フェールオーバーの概要

フェールオーバー グループのプライマリ/セカンデリ ロールとアクティブ/スタンバイ ステータス

起動時のフェールオーバー グループのアクティブ装置の決定

フェールオーバー イベント

フェールオーバーのライセンス

フェールオーバー のガイドライン

コンテキスト モード

モデルのサポート

ハイ アベイラビリティのための ASAv フェールオーバー

その他のガイドライン

フェールオーバーのデフォルト

アクティブ/スタンバイ フェールオーバーの設定

手順

アクティブ/アクティブ フェールオーバーの設定

手順

オプションのフェールオーバー パラメータの設定

フェールオーバー基準とその他の設定の構成

始める前に

手順

インターフェイス モニターリングの設定およびスタンバイ アドレスの設定

始める前に

手順

非対称にルーティングされたパケットのサポートの設定（アクティブ/アクティブ モード）

始める前に

手順

フェールオーバー の管理

フェールオーバーの設定変更

始める前に

手順

フェールオーバーの強制実行

ASDM ブック 1：Cisco ASA シリーズ ASDM 7.14 コンフィギュレーションガイド（一般的な操作）

Chapter: ハイアベイラビリティのためのフェールオーバー

ハイアベイラビリティのためのフェールオーバー

フェールオーバーモード

フェールオーバーのシステム要件

フェールオーバーリンクとステートフルフェールオーバーリンク

フェールオーバーリンク

フェールオーバーリンクデータ

フェールオーバーリンクのインターフェイス

フェールオーバーリンクの接続

ステートフルフェールオーバーリンク

フェールオーバーリンクの共有

フェールオーバーリンクとデータリンクの中断の回避

フェールオーバーの MAC アドレスと IP アドレス

ステートレスフェールオーバーとステートフルフェールオーバー

ステートレスフェールオーバー

ステートフルフェールオーバー

フェールオーバーのブリッジグループ要件

フェールオーバーのヘルスモニターリング

装置のヘルスモニターリング

インターフェイスモニタリング

インターフェイステスト

インターフェイスステータス

フェールオーバー時間

アクティブ/スタンバイフェールオーバーについて

プライマリ/セカンダリの役割とアクティブ/スタンバイステータス

フェールオーバーイベント

アクティブ/アクティブフェールオーバーの概要

アクティブ/アクティブフェールオーバーの概要

フェールオーバーグループのプライマリ/セカンデリロールとアクティブ/スタンバイステータス

起動時のフェールオーバーグループのアクティブ装置の決定

フェールオーバーイベント

フェールオーバーのガイドライン

コンテキストモード

ハイアベイラビリティのための ASAv フェールオーバー

アクティブ/スタンバイフェールオーバーの設定

アクティブ/アクティブフェールオーバーの設定

オプションのフェールオーバーパラメータの設定

インターフェイスモニターリングの設定およびスタンバイアドレスの設定

非対称にルーティングされたパケットのサポートの設定（アクティブ/アクティブモード）

フェールオーバーの管理

フェールオーバーメッセージ

フェールオーバーデバッグメッセージ

SNMP のフェールオーバートラップ

フェールオーバーステータスのモニターリング

フェールオーバーグループ 1 およびフェールオーバーグループ 2