シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA: Failover: 筐体間で設定同期が不完全な場合の対処例

ASA冗長構成では、Primary機とSecondary機で冗長構成を組み、Active機とStandby機間で設定やセッションの逐次同期を行っています。

asa-ha-feature-02.jpg

   

事例としては稀ですが Active機とStandby機間で設定の同期にズレや差分が発生することがあります。また、関連した問題として、Active機とStandby機で 一部機能動作に差分が出たり、セッション同期量の差分(なお、HTTPや一部コネクションはデフォルト同期されません)が発生することがあります。

これら原因は、通信量過多やASAプロセスの過負荷に伴う一時的な同期漏れや、継続した同期障害(S/W もしくはH/W、構成の何れか、もしくは複合が起因)、仕様の影響、不具合の影響、など様々です。

ASA冗長構成では、Active機側で通信処理を行うため、Standby機側で発生した差分は実影響がない事が殆どです。  しかし、これら同期問題を対処したい場合、以下対応が効果的です。

  

1. Standby機の再起動

暫定復旧策としては、最も簡単で、かつ効果の高い方法です。 Standby機は通信処理しないため、手軽に試せる復旧方法でもあります。 

Standby機の再起動の方法は、以下などから選択可能です。

    • 実機の電源OFF/ON
    • Active機にログインし"failover reload-standby"コマンド実行
    • Standby機にログインし"reload"コマンド実行

 
Standby機の再起動に伴い、そのプロセスのリセットと、起動時にActive機から最新設定やセッション情報の再同期が可能です。 当対応により、多くの同期問題は解決します。

Standby機側を再起動しても問題が解決しない場合、Active機側に被疑がある可能性が高まりますので、Standby機で"failover active"コマンドで自身をActive機を切り替えてから、新Standby機(=旧Active機)の再起動を検討します。 もしくは、Active機のFailoverプロセスの動作トラブルの場合は、ダウンタイムを設けての Active機とStandby機の同時再起動が必要となるケースもあります。

  

2. 冗長構成のアップグレード

仮に問題が継続する場合は、ASAソフトウェアが古いバージョンを利用している場合、既知不具合に該当するリスクがあがります。 不具合修正対応のためには、利用中バージョンと同じトレイン内の最新Interim もしくはメンテナンスバージョンへのアップグレードを検討してください。 バージョン選定について詳しくは、ASA: ASDMを用いた、同じトレイン内の 最新バージョンへのアップグレード方法 を参照してください。

  

3. 筐体間の接続構成・状態の確認と、ケーブルの予防交換

筐体間の設定やセッション情報を交換する物理リンク、もしくはその接続経路の問題の可能性もあります。 その場合は、ASAのFailover LAN Interface間のLANケーブルが直結されているかの確認(つまり中継機を介さずFailover LAN Interfaceが直結されていること)、および、そのLANケーブルに破損がないかの確認と、LANケーブルの予防交換を検討してください。

 

4. write standbyコマンドの実行

推奨はできませんが、即座に回復を試みたい時に利用可能な方法です。 Active機で"write standby"コマンドを実行することで、Standby機の初期化と再同期を素早く強制的に実行します。 しかし、強引な再同期を行うため、別障害につながる可能性があります。 そのため、当コマンドの実行は何らかの事情がある時のみに留め、基本は項番1のStandby機の再起動を検討してください。  より詳しくは、ASA failover write standby の実行について を参照してください。

バージョン履歴
改訂番号
1/1
最終更新:
‎12-26-2016 08:16 PM
更新者:
 
ラベル(1)