シスコサポートコミュニティ
キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 
告知
シスコ サポート コミュニティへようこそ!あなたの ご意見 をお聞かせください。
New Member

Failover時に特定のポートのIPアドレスがセカンダリ機に引き継がれないようにする設定

Failoverの設定について疑問に思うことがあるので教えてください。

ActiveStandbyFailoverを使用しています。

insideとoutsideではFailoverをする(Link障害時にIPアドレスがセカンダリ機に引き継がれる)
ようにし、ManagementではFailoverをしないようにするには通常のFailoverの設定以外どのような
設定を入れればよいか疑問に思いました。

インタフェースに名前を付けるとFailoverが有効化され、名前を外すと設定しているIPアドレスが認識されなく
なりました。
モニタリングの対象から外すとManagementポートのLink障害では切り替わりが発生しないものの
insideやoutsideポートのLink障害でManagementポートのActive機のIPアドレスもセカンダリ機に
引き継がれてしまうのではと思っています。(現状でここまでの確認はできていません。)

inside、outside、Management共にIPアドレスを割り当てて使用するものとなります。

使用している機器はASA5510になります。

2 件の受理された解決策

受理された解決策

CSCO10795163さん、こんにちわ。

CSCO10795163さん、こんにちわ。

残念ですが、Management InterfaceのみIPアドレスの固定は難しいと思います。 各Interfaceに割り当てるIP設定コマンドは、"ip address <Active IP> standby <Standby IP>"であり、各ユニットのPriority(Primary/Secondary)ではなく、各ユニットのState(Active/Standby)に紐づいてます。 つまり、障害でActive機が変わった場合は、そのActive IPアドレスも切替わってしまいます。

なお、現在ログインしている機器がどのハードウェアか確認したい場合は、Priorityの確認が有効です。 Primary機か Secondary機かの情報は、Hardwareに紐づいてます。

"prompt hostname priority state"コマンドで、CLIのプロンプトで その機器のPriorityとStateを確認できます。 現在ログインしてるのがどちらのハードウェアか確認したい場合は、このPriority(Primary/Secondary)を見て確認するのが便利です。

ASA(config)# prompt hostname priority state
ASA/pri/act(config)# <---- pri(primary)機にログイン中だとわかる

CSCO10795163さん、こんにちわ!

CSCO10795163さん、こんにちわ! 早速のご返信有難うございます。

Active/Active構成の場合、設定できる Failover Groupは2つまで定義できます。 複数Contextを作成し、任意Contextを "Group 1"に、残りContextを "Group 2"に割当てます。 "Group 1"と "Group 2"ともに、各Group毎にActive/Standbyの構成を取ることが出来ます。 Active/ActiveのFailover構成の物理ASAの上で、2つのActive/Standbyの冗長ペアが仮想で動作してる・・・と、イメージ頂くと、しっくりくると思います。

そして、Primary機側を Group1をActiveに、Secondary機側を Group2をActiveにすることで、両機器とも何等かActiveで処理できるContextを用意する、という技術です。 つまり、Active/Activeは、従来のActive/Standbyを2重化した技術であって、両機器(PrimaryとSecondary)で同じContextを同時に処理・・という技術では残念ながら ありません。

また、Active/Active構成は、(私も含め) 導入後のメンテナンスで困っているお客様も多いので、個人的には避けられたほうが良い構成かなぁ・・・と思います。 両機器がContextが複雑に絡みあり同時に通信をする為、一度動かしてしまうと設定変更や 通信停止調整がし辛く、不具合対応でのアップグレードのメンテナンスなどもし辛い傾向になります。 仮に片側機器が停止すると、全てのContextが もう片側機器で全てActiveになってしまうため、片側器機器復旧後のContextの移動処理が必要で、それもまた通信停止調整が必要になってきます。 また、Active/Activeは その同期処理のため、その構成の維持でも、そこそこパフォーマンスを使ってしまったはずです。 

逆にActive/Standbyだと、常に片側が待機状態のため、設定もシンプルとなり、メンテもしやすいです。Standby機の停止処理にも、ほぼ気を使う必要がなく、気軽にできます。

4 件の返信

CSCO10795163さん、こんにちわ。

CSCO10795163さん、こんにちわ。

残念ですが、Management InterfaceのみIPアドレスの固定は難しいと思います。 各Interfaceに割り当てるIP設定コマンドは、"ip address <Active IP> standby <Standby IP>"であり、各ユニットのPriority(Primary/Secondary)ではなく、各ユニットのState(Active/Standby)に紐づいてます。 つまり、障害でActive機が変わった場合は、そのActive IPアドレスも切替わってしまいます。

なお、現在ログインしている機器がどのハードウェアか確認したい場合は、Priorityの確認が有効です。 Primary機か Secondary機かの情報は、Hardwareに紐づいてます。

"prompt hostname priority state"コマンドで、CLIのプロンプトで その機器のPriorityとStateを確認できます。 現在ログインしてるのがどちらのハードウェアか確認したい場合は、このPriority(Primary/Secondary)を見て確認するのが便利です。

ASA(config)# prompt hostname priority state
ASA/pri/act(config)# <---- pri(primary)機にログイン中だとわかる
New Member

ありがとうございます!

ありがとうございます!

やはりできないんですね。

監視をするときにこのIPアドレスからきたら1号機、このIPアドレスからきたら2号機というのが

わかるようにしておきたかったため確認しました。

今回の本題とは外れるかもしれませんが、確認する中でfailover groupというのがありました。

それはActiveActiveFailoverの場合のみ設定可能ということですよね。

同じ機器でコンテキストごとにActiveActiveFailoverとActiveStandbyFailoverを分けることは

聞いたことがないのですが、そういうことはできるのでしょうか?

CSCO10795163さん、こんにちわ!

CSCO10795163さん、こんにちわ! 早速のご返信有難うございます。

Active/Active構成の場合、設定できる Failover Groupは2つまで定義できます。 複数Contextを作成し、任意Contextを "Group 1"に、残りContextを "Group 2"に割当てます。 "Group 1"と "Group 2"ともに、各Group毎にActive/Standbyの構成を取ることが出来ます。 Active/ActiveのFailover構成の物理ASAの上で、2つのActive/Standbyの冗長ペアが仮想で動作してる・・・と、イメージ頂くと、しっくりくると思います。

そして、Primary機側を Group1をActiveに、Secondary機側を Group2をActiveにすることで、両機器とも何等かActiveで処理できるContextを用意する、という技術です。 つまり、Active/Activeは、従来のActive/Standbyを2重化した技術であって、両機器(PrimaryとSecondary)で同じContextを同時に処理・・という技術では残念ながら ありません。

また、Active/Active構成は、(私も含め) 導入後のメンテナンスで困っているお客様も多いので、個人的には避けられたほうが良い構成かなぁ・・・と思います。 両機器がContextが複雑に絡みあり同時に通信をする為、一度動かしてしまうと設定変更や 通信停止調整がし辛く、不具合対応でのアップグレードのメンテナンスなどもし辛い傾向になります。 仮に片側機器が停止すると、全てのContextが もう片側機器で全てActiveになってしまうため、片側器機器復旧後のContextの移動処理が必要で、それもまた通信停止調整が必要になってきます。 また、Active/Activeは その同期処理のため、その構成の維持でも、そこそこパフォーマンスを使ってしまったはずです。 

逆にActive/Standbyだと、常に片側が待機状態のため、設定もシンプルとなり、メンテもしやすいです。Standby機の停止処理にも、ほぼ気を使う必要がなく、気軽にできます。

New Member

ActiveActive構成についてもありがとうございます

ActiveActive構成についてもありがとうございます!

ActiveActive構成の実装はやったことありませんが、推奨ではないんですね。

また、ActiveActive構成についても理解できました。

111
閲覧回数
0
いいね!
4
返信