• Redundant Interface 概要
• Redundant Interface 設定例
• Redundant Interface 動作確認
• Redundant Interface 制限事項
• 参考情報

Redundant Interface 概要

Redundant Interfaceは、シンプルな物理リンクの冗長化手段として利用できます。 主にハブ/スイッチと接続し利用します。 同じリンク冗長技術のLACP利用時とは異なり、対向機器のプロトコル(i.e.LACP)の相性問題の影響を受けない利点があります。

Redundant Interfaceは、ワンペアの物理リンクを 1つの論理リンクに集約します。 片側物理リンクがActiveとなり、もう片側がStandbyとなります。 Active Interfaceがダウン時に、Standby InterfaceがActiveに切替わり、通信の継続を可能とします。 

 
【Redundant Interface 利用構成例】

 
【正常時 通信経路】

 
【Active Interface障害時】
  - Standby Interfaceが Activeに切り替わり、通信継続が可能

 
 

 

Redundant Interface 設定例

以下は、ASA5506-Xと Catalyst6500間を、Redundant Interfaceで接続時の設定例です。 本例では、ASA5506X バージョン 9.4(3)12を利用しています。

なお、Catalyst側ポート設定は、クライアント接続時に用いるような 一般的なアクセスポートの設定です。

 

【ASA側】

interface GigabitEthernet1/2
 no shutdown
!
interface GigabitEthernet1/3
 no shutdown
!
interface redundant 1
 member-interface GigabitEthernet 1/2
 member-interface GigabitEthernet 1/3
 nameif inside
 security-level 100
 ip address 192.168.0.254 255.255.255.0
!

 

【Catalyst側】 

interface GigabitEthernet2/6
 switchport
 switchport access vlan 100
 switchport mode access
 logging event link-status
 spanning-tree portfast edge
!
interface GigabitEthernet2/7
 switchport
 switchport access vlan 100
 switchport mode access
 logging event link-status
 spanning-tree portfast edge
!

 

 

Redundant Interface 動作確認

"show interface redundant [Num]"コマンドで、Redundant Interfaceの状態と、現在 ActiveなMember-Interfaceを確認できます。

Internet-FW-01# show interface redundant 1
Interface Redundant1 "inside", is up, line protocol is up
  Hardware is Accelerator rev01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        MAC address 00c8.8b96.4431, MTU 1500
        IP address 192.168.0.254, subnet mask 255.255.255.0
        18975 packets input, 5970937 bytes, 0 no buffer
        Received 1297 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        2112 L2 decode drops
        15509 packets output, 8259844 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (1859/882)
        output queue (blocks free curr/low): hardware (2046/979)
  Traffic Statistics for "inside":
        16788 packets input, 5464809 bytes
        15509 packets output, 7945262 bytes
        1413 packets dropped
      1 minute input rate 27 pkts/sec,  18959 bytes/sec
      1 minute output rate 27 pkts/sec,  14150 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 2 pkts/sec,  137 bytes/sec
      5 minute output rate 1 pkts/sec,  397 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Redundancy Information:
        Member GigabitEthernet1/2(Active), GigabitEthernet1/3
        Last switchover at 11:21:25 JST Dec 19 2016

 

以下は、Gigabit Ethernet1/2の対向リンクをダウンさせた後の出力です。 ASAがリンクダウンを検知し、 GigabitEthernet1/3がActiveに切り替わっていることを確認できます。

Internet-FW-01# show interface redundant 1
Interface Redundant1 "inside", is up, line protocol is up
  Hardware is Accelerator rev01, BW 1000 Mbps, DLY 10 usec
        Auto-Duplex(Full-duplex), Auto-Speed(1000 Mbps)
        Input flow control is unsupported, output flow control is off
        MAC address 00c8.8b96.4431, MTU 1500
        IP address 192.168.0.254, subnet mask 255.255.255.0
        26668 packets input, 8596968 bytes, 0 no buffer
        Received 1395 broadcasts, 0 runts, 0 giants
        0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort
        0 pause input, 0 resume input
        2133 L2 decode drops
        25299 packets output, 14921300 bytes, 0 underruns
        0 pause output, 0 resume output
        0 output errors, 0 collisions, 0 interface resets
        0 late collisions, 0 deferred
        0 input reset drops, 0 output reset drops
        input queue (blocks free curr/low): hardware (1912/882)
        output queue (blocks free curr/low): hardware (2046/969)
  Traffic Statistics for "inside":
        24435 packets input, 7925894 bytes
        25299 packets output, 14407344 bytes
        1513 packets dropped
      1 minute input rate 7 pkts/sec,  756 bytes/sec
      1 minute output rate 2 pkts/sec,  754 bytes/sec
      1 minute drop rate, 0 pkts/sec
      5 minute input rate 30 pkts/sec,  11790 bytes/sec
      5 minute output rate 37 pkts/sec,  21033 bytes/sec
      5 minute drop rate, 0 pkts/sec
  Redundancy Information:
        Member GigabitEthernet1/3(Active), GigabitEthernet1/2
        Last switchover at 11:36:30 JST Dec 19 2016

 

"show interface ip brief"コマンドで 各Interfaceの IPアドレスや、Down/Up状態を確認できます。

Internet-FW-01# show interface ip brief
Interface                  IP-Address      OK? Method Status                Protocol
GigabitEthernet1/1         172.16.0.1      YES CONFIG up                    up
GigabitEthernet1/2         unassigned      YES unset  down                  down
GigabitEthernet1/3         unassigned      YES unset  up                    up
GigabitEthernet1/4         unassigned      YES unset  administratively down down
GigabitEthernet1/5         unassigned      YES unset  administratively down down
GigabitEthernet1/6         unassigned      YES unset  administratively down down
GigabitEthernet1/7         unassigned      YES unset  administratively down down
GigabitEthernet1/8         unassigned      YES unset  administratively down down
Internal-Control1/1        127.0.1.1       YES unset  up                    up
Internal-Data1/1           unassigned      YES unset  down                  down
Internal-Data1/2           unassigned      YES unset  up                    up
Internal-Data1/3           unassigned      YES unset  up                    up
Management1/1              unassigned      YES unset  administratively down down
Redundant1                 192.168.0.254   YES manual up                    up

 

 

Redundant Interface 制限事項

• Redundant Interfaceと LACPは、混合し利用することはできません
   
• Management Portを Redundant Interfaceとして利用することはできません
   
• Redundant Interfaceに追加する Member-Interface(=物理Interface)は、他の用途で使われてない状態である必要があります。 Redundant Interfaceを設定する場合、事前に、組み込むMember-interfaceに設定がないことを確認してください。 特定Interfaceの設定初期化は、"clear configure interface [interface名]"コマンド(※)で可能です。
    ※注意： 既に設定済みのInterfaceを初期化すると、そのInterfaceに紐づいたNATや Access-group設定も消えてしまいます。 初期化して問題ないInterfaceか確認してから実行するようにしてください
   

• Redundant Interface はレイヤー２の冗長技術で動的な死活監視を行わないため、対向機器間のActiveポートのミスマッチを防ぐため、ASA-ASA間で物理リンク直結で接続する場合、Redundant Interfaceの利用は避けてください。 ASA-ASA間を接続するには、LACPの利用か、中継にハブ もしくは スイッチを挟むようにしてください

   

•  Firepower4100/9300-ASAでは Redundant Interfaceはサポートされません

 

 

参考情報

CLI Book 1: Cisco ASA Series General Operations CLI Configuration Guide, 9.4
http://www.cisco.com/c/en/us/td/docs/security/asa/asa94/config-guides/cli/general/asa-94-general-config/interface-echannel.html

ファイアウォール トラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733