シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA の failover での interface monitoring における注意点

ASA で failover の設定を行っている場合に、health 状態がよりよい方を Active の
Unit とするための判断材料として ASA の Interface の monitoring を行うことが
できます。
 
Primary と Secondary の双方の I/F 間で定期的に hello message のやりとりを行い、
それぞれの Interface の状態が正常であるかどうかの確認を行います。もし hold time
の半分の時間、hello message を受信できなかった場合は interface test を実行し、
Interface の health check を実施します。interface test の実施内容については下記の
URL に詳説されておりますので、こちらをご確認ください。
http://www.cisco.com/c/en/us/td/docs/security/asa/asa90/configuration/guide/asa_90_cli_config/ha_overview.html#pgfId-1079057
 
ご留意いただきたい点としまして、ASA にて VPN の設定が入れる場合、暗号化の
対象となる通信を ACL にて設定しますが、Acitve - Standby 間の通信がその対象に
含まれている場合 failover の hello message も through-the-box の通信と同様に暗号化
され peer に送信されます。ASA の failover での interface monitoring では、hello 
message を Active - Standby 双方の interface にてやりとりできることを想定して
おりますので、VPN の暗号化対象の通信には外していただけますようお願いいたします。
299
閲覧回数
0
いいね!
0
コメント