CA Spectrum - 10.3.2 - Japanese - Japan

Cisco ASA (Adaptive Security Appliance)デバイスのフェールオーバ

Cisco Adaptive Security Appliance (ASA)デバイス ファミリは、あらゆる分散ネットワーク環境のあらゆるフォーム ファクタ(スタンドアロン アプライアンス、ブレード、および仮想アプライアンス)の ASA デバイス向けのエンタープライズ クラスのファイアウォール機能を提供します。また、ASA ソフトウェアは、他の重要なセキュリティ技術と統合して、進化し続けるセキュリティ ニーズに対応する包括的なソリューションを提供します。Cisco ASA デバイスは、包括的な次世代ネットワーク セキュリティ サービスを活用する、エンタープライズ クラスのステートフル ファイアウォールの組み合わせを提供します。
casp1032jp
Cisco Adaptive Security Appliance (ASA)デバイス ファミリは、あらゆる分散ネットワーク環境のあらゆるフォーム ファクタ(スタンドアロン アプライアンス、ブレード、および仮想アプライアンス)の ASA デバイス向けのエンタープライズ クラスのファイアウォール機能を提供します。また、ASA ソフトウェアは、他の重要なセキュリティ技術と統合して、進化し続けるセキュリティ ニーズに対応する包括的なソリューションを提供します。Cisco ASA デバイスは、包括的な次世代ネットワーク セキュリティ サービスを活用する、エンタープライズ クラスのステートフル ファイアウォールの組み合わせを提供します。
Cisco ASA (Adaptive Security Appliance)デバイスのフェールオーバにより、CA Spectrum には以下の機能が追加されました。
  • プライマリおよびセカンダリ デバイスを識別し、モデル名にテキストを追加します。
  • プライマリ デバイスがスタンバイ状態になった場合にアラームを生成します。
  • ASA デバイスのステータスをアクティブ/スタンバイまたはアクティブ/アクティブに変更します。
  • Cisco ASA ファイアウォールのフェールオーバ状態の変更をポーリングして検出します。
  • フェールオーバが発生した場合、接続を検出してトポロジを更新します。
CA Spectrum は、Cisco ASA ファイアウォール デバイスで Network Configuration Manager (NCM)機能をサポートしていません。
 
Cisco ASA ファイアウォール デバイス フェールオーバ シナリオの前提条件:
  • 2 つの Cisco ASA ファイアウォールは、
    プライマリ
     モードおよび
    セカンダリ
     モードです。これは、プライマリ ファイアウォールが
    アクティブ
    であるのに対して、セカンダリ モードのファイアウォールは
    スタンバイ
    であることを意味しています。
    以下の図を参照してください。左側の ASA デバイスはプライマリ(アクティブ)デバイスであり、右側のデバイスはセカンダリ(スタンバイ)デバイスです。
    ASA_1.png
  • フェールオーバが発生すると、2 つのファイアウォール デバイスは設定を切り替えます。
  • つまり、これらはその管理 IP アドレスも切り替えます。この管理 IP アドレスは、Spectrum で両方のデバイスをモデリングするために使用されます。
  • アクティブ インターフェースの MAC アドレスも切り替えられます。
その結果、このようなフェールオーバが発生すると、IP アドレスの切り替えのため、Spectrum のモデリング情報は不正確になります。
ASA_2.png
予期される結果
  • プライマリ デバイスでフェールオーバが発生すると、セカンダリ ファイアウォール デバイスが
    アクティブ
    になり、プライマリ ファイアウォール デバイスが
    スタンバイ
    になります。
  • デフォルト値が True に設定されている場合、トポロジ ビューで、「
    _Primary
    」および「
    _Secondary
    」が自動的にモデル名に追加されます。 
Cisco ASA ファイアウォール デバイスがダウンするか、または管理者ユーザによって手動でスタンバイに設定されると、以下のイベント シーケンスが発生します。
  1. プライマリ ASA デバイスの状態が
    アクティブ
    から
    スタンバイ
    にオンに変わります。
  2. メジャー アラーム「
    プライマリ ユニットは現在スタンバイです
    」がプライマリ デバイス上でトリガされます。
    ASA_Alarms.png
  3. プライマリ ASA デバイスが再び
    稼働中
    になるか、手動で
    アクティブ
    状態に設定されます。
    アラーム「
    プライマリ ユニットは現在スタンバイです
    」がプライマリ デバイス上でクリアされます。
  4. デバイスのハードウェア ステータスを確認するには、選択された
    プライマリ Cisco ASA デバイス
    [情報タブ]
    に移動して、
    [Cisco ASA]
    -
    [ファイアウォール]
    サブビューを展開します。
    ハードウェア ステータスに基づいて、デバイスが
    アクティブ
    /
    スタンバイ
    かどうかを識別できます。
    [コンポーネント詳細]
    -
    [情報タブ]
    -
    [Cisco ASA]
    に、Cisco ASA デバイスに関する以下の情報が表示されます。
    ASA_Hardware_Status.png
  5. デフォルト値が True に設定されている場合、各ポーリング間隔の後に、モデル名(
    _primary
     または
    _secondary
     付き)がデバイス名に追加されます。 
注:
 Cisco ASA デバイスの場合、デフォルト ポーリング間隔は 300 秒から 60 秒に変更されます。
[ポーリング間隔(秒)]
属性値を 60 から 300 に変更した場合、モデル名の変更は 300 秒後に反映されます。
注:
 CA Spectrum 10.2.2 リリースでは、属性 suffixFWModeToModelName/0x00215325 が導入されます。この属性のデフォルト値は、デバイス モデル タイプ CiscoASA 上で TRUE に設定されています。そのため、デバイス モデル名に対して追加されたファイアウォール モード(_Primary/_Secondary)の既存の機能は同じままです。
この値が FALSE に設定されている場合、追加されたファイアウォール モード(_Primary/_Secondary)は、デバイス モデル名には追加されません。したがって、ファイアウォール モードがすでにデバイス モデル名に追加されている場合は、次のポーリング サイクルでデバイス モデル名から削除されます。
 
 

Content feedback and comments