ASA: 冗長構成で Active機から Standby機の状態確認や再起動方法 (CLI)

Taisuke Nakamura · ‎2016-12-20

ASAの冗長構成(Failover pair)では、Active機と Standby機両方に、各TelnetやSSH、ASDM、Consoleなど管理アクセスが別々に可能です。ただ、別セッションで各機器(2台)にアクセスするのは、少々面倒です。

このような場合、1台にのみリモートアクセスし、Failover用のリンク経由で対向機のステータス確認や再起動などの操作も可能です。

Active機からの場合、"failover exec standby <任意command>"コマンドで、Standby機側での任意コマンドの実行結果を確認できます。 "failover reload-standby"コマンドで、Active機から Standby機の再起動が可能です。

以下はコマンド実行と確認例です。

【Primary(Active)機から、対向機の操作例】

Internet-FW-01/pri/act# failover exec standby show failover
Failover On
Failover unit Secondary
Failover LAN Interface: fover GigabitEthernet1/3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 40 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.4(3)12, Mate 9.4(3)12
Last Failover at: 09:42:40 JST Dec 19 2016
        This host: Secondary - Standby Ready  
                Active time: 105 (sec)
                slot 1: ASA5506 hw/sw rev (1.1/9.4(3)12) status (Up Sys)
                  Interface outside (172.16.0.2): Unknown (Waiting)
                  Interface inside (192.168.0.253): No Link (Waiting)
                           --- snip ---
Internet-FW-01/pri/act#
Internet-FW-01/pri/act# failover exec standby show boot

BOOT variable = disk0:/asa943-12-lfbff-k8.SPA
Current BOOT variable = disk0:/asa943-12-lfbff-k8.SPA
CONFIG_FILE variable =
Current CONFIG_FILE variable =
Internet-FW-01/pri/act#
Internet-FW-01/pri/act# failover reload-standby         <--- 当コマンド実行後 Standbyが再起動
Internet-FW-01/pri/act#

Standby機からの場合、"failover exec active <任意command>"コマンドで、Active機側での任意コマンドの実行結果を確認できます。 "failover exec active reload noconfirm"コマンド(※)で、Standby機から Active機の再起動が可能です。 ※Active機の再起動・停止は通信停止を伴いますので、実運用ではまず行いません。検証時など特定用途での利用向けです

以下はコマンド実行と確認例です。

【Secondary(Standby)機から、対向機の操作例】

Internet-FW-01/sec/stby# failover exec active show failover
Failover On
Failover unit Primary
Failover LAN Interface: fover GigabitEthernet1/3 (up)
Reconnect timeout 0:00:00
Unit Poll frequency 1 seconds, holdtime 15 seconds
Interface Poll frequency 5 seconds, holdtime 25 seconds
Interface Policy 1
Monitored Interfaces 2 of 40 maximum
MAC Address Move Notification Interval not set
Version: Ours 9.4(3)12, Mate 9.4(3)12
Last Failover at: 23:07:43 JST Dec 19 2016
        This host: Primary - Active
                Active time: 61392 (sec)
                slot 1: ASA5506 hw/sw rev (1.1/9.4(3)12) status (Up Sys)
                  Interface outside (172.16.0.1): Normal (Monitored)
                  Interface inside (192.168.0.254): Normal (Monitored)
                           --- snip ---
Internet-FW-01/sec/stby#
Internet-FW-01/sec/stby# failover exec active show boot

BOOT variable = disk0:/asa943-12-lfbff-k8.SPA
Current BOOT variable = disk0:/asa943-12-lfbff-k8.SPA
CONFIG_FILE variable =
Current CONFIG_FILE variable =
Internet-FW-01/sec/stby#
Internet-FW-01/sec/stby# failover exec active reload noconfirm
Internet-FW-01/sec/stby# Waiting for the earlier webvpn instance to terminate...
Previous instance shut down. Starting a new one.

        Switching to Active     <---- Active機の再起動に伴い、自身がActiveに昇格

Internet-FW-01/sec/act# Beginning configuration replication: Sending to mate.
End Configuration Replication to mate

Internet-FW-01/sec/act#

当ドキュメントは、ASAバージョン 9.4(3)12を用いて確認、作成しております。

参考情報

ファイアウォールトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161736

Firepower System and FTDトラブルシューティング
https://community.cisco.com/t5/-/-/ta-p/3161733