CCIE Security ver5 (当時) 対策問題集からの抜粋 #1 [ASA Security Infrastructure - Basic Failover Configuration(Active/Standby)]
新シリーズとして、弊社、海外の協力校がCCIE Security ver5 当時
に提供していた、試験対策問題集からの抜粋です。
弊社サービス・教材のご紹介、及び皆様の自習目的としております。
CCIE Security ver5は、当時、2014 - 2020年前半まで開催されており、中国に拠点がある弊社の海外協力校の1校では、50-60名程度のCCIE Security ver5の合格者を輩出しました。
現行のCCIE Security ver6は、中国拠点では、コロナの外出規制が厳しい時期もあり、まだ数名のラボ合格者数となっています。
私自身も2019年終わり頃から、現在の協力校のCCIE Security ver5のコースに
参加し、受験準備をしておりましたが、コロナ感染の影響拡大により、ラボ予約をしていた香港への渡航が難しくなり、受験を諦めざるを得なかったという苦い思い出があります。。
(その後、2020年4月頃から現行のCCIE Security ver6に移行)
現行のCCIE Security ver6は、海外の協力校の安定的な合格者数の伸びを確認してから、今、秋冬頃に日本のCCIE Candidateの方々に対策教材、ラボ環境アクセスの提供を現在予定しています。
[ASA Security Infrastructure - Basic Failover Configuration]
以下のように、ASA1VとASA11Vの間でActive-Standbyのフェイルオーバーを
構成すること。また、このフェイルオーバー構成では、全てのインターフェ
イスがモニターされていること:
[ASA1V]
- Interface Gi0/0
Address Primary -Standby: 20.1.1.1/24 - 20.1.1.2/24
Name: outside
- Interface Gi0/1
Address Primary -Standby: 10.1.11.1/24 - 10.1.11.2/24
Name: inside
- Interface Management 0/0
Address Primary -Standby: 150.1.7.53/24 - 150.1.7.54/24
Name: mgmt
Security Level: 100
- Failover
Unit: Primary
LAN Link Interface: Gi0/2
Primary - Standby: 10.10.11.1/24 - 10.10.11.2/24
Name: FO
- EIGRP Routing
Autonomous System: 12
Network: 10.1.11.0/24
- EIGRP Authentication
Mode: MD5
Key-ID: 1
Password: cisco
[ASA11V]
- Failover
Unit: Secondary
LAN Link Interface: Gi0/2
Primary-Standby: 10.10.11.1/24 - 10.10.11.2/24
Name: FO
【模範解答のコンフィグ設定例】
[ASA1V]
interface Gi0/0 # To "client_PC"
nameif outside
ip address 20.1.1.1 255.255.255.0 standby 20.1.1.2
interface Management0/0
nameif mgmt
security-level 100
ip address 150.1.7.53 255.255.255.0 standby 150.1.7.54
router eigrp 12
network 10.1.11.0 255.255.255.0
interface Gi0/1 # To R1
nameif inside
ip address 10.1.11.1 255.255.255.0 standby 10.1.11.2
authentication mode eigrp 12 md5
authentication key eigrp 12 cisco key-id 1
interface Gi0/2 # ASA11V (スタンバイ)とのFW間接続
failover lan unit primary
failover lan interface FO Gi0/2
failover link FO Gi0/2
failover interface ip FO 10.10.11.1 255.255.255.0 standby 10.10.11.2
[ASA11V]
interface Gi0/2 # ASA1V (プライマリ)とのFW間接続
failover lan unit secondary
failover lan interface FO Gi0/2
failover link FO Gi0/2
failover interface ip FO 10.10.11.1 255.255.255.0 standby 10.10.11.2
【解説】
[ASA1V]
#interface Gi0/0
#nameif outside
#ip address 20.1.1.1 255.255.255.0 standby 20.1.1.2
<対応要件>
- Interface Gi0/0
Address Primary -Standby: 20.1.1.1/24 - 20.1.1.2/24
Name: outside
#interface Management0/0
#nameif mgmt
#security-level 100
#ip add 150.1.7.53 255.255.255.0 standby 150.1.7.54
<対応要件>
- Interface Management 0/0
Address Primary - Standby: 150.1.7.53/24 - 150.1.7.54/24
Name: mgmt
Security Level: 100
<メモ>
※Management用インターフェイスはアドレスのスワップを避けるためにモニターしないという観点 :
Failover構成の場合、Management用インターフェイス(management-only の指定をしているインターフェイス)も Primary/Secondary用ではなく、 Active/Standby用としてアドレスを用意しなければなりません。つまり、Failover 時はアドレスがスワップされてしまうということです。
管理用ならば、障害発生時もアドレスがスワップされない方が良いように思えるのですが、そのような設定をする方法は見つかりませんでした。ただし、Managementインターフェイスの障害による Failoverの発生を防ぐことはできます。以下のコマンドでインターフェイス名 managementを持つインターフェイスを監視対象からはずし、このインターフェイスの障害によるFailoverが発生しないようにできます。
no monitor-interface management
[Cisco ASA 冗長構成でのもろもろ]:
https://hetarena.com/archives/353
#router eigrp 12
#network 10.1.11.0 255.255.255.0
#interface Gi0/1
#nameif inside
#ip address 10.1.11.1 255.255.255.0 standby 10.1.11.2
#authentication mode eigrp 12 md5
#authentication key eigrp 12 cisco key-id 1
<対応要件>
- Interface Gi0/1
Address Primary -Standby: 10.1.11.1/24 - 10.1.11.2/24
Name: inside
- EIGRP Routing
Autonomous System: 12
Network: 10.1.11.0/24
- EIGRP Authentication:
Mode:MD5
Key-ID: 1
Password: cisco
#interface Gi0/2
#failover lan unit primary
※LANベースのフェールオーバーでの、プライマリデバイスまたはセカンダリデバイスを指定
#failover link FO Gi0/2
※ステートフルフェールオーバーに使用するインターフェイスを指定
・failover link <インターフェース名> <物理インターフェース>
#failover lan interface FO Gi0/2
※フェールオーバー通信に使用するインターフェイスを指定
・failover lan interface <インターフェース名> <物理インターフェース>
#failover interface ip FO 10.10.11.1 255.255.255.0 standby 10.10.11.2
※failoverコマンドおよびステートフルフェールオーバーインターフェイスのIPアドレスを設定
<メモ>
[Cisco ASAシリーズコマンドリファレンス、A~H コマンド]:
https://www.cisco.com/c/ja_jp/td/docs/security/asa/asa-command-reference/A-H/cmdref1/f1.html
<対応要件>
- Failover
Unit: Primary
LAN Link Interface: Gi0/2
Primary - Standby: 10.10.11.1/24 - 10.10.11.2/24
Name: FO
[ASA11V]
#interface Gi0/2
#failover lan unit secondary
#failover lan interface FO Gi0/2
#failover link FO Gi0/2
#failover interface ip FO 10.10.11.1 255.255.255.0 standby 10.10.11.2
<対応要件>
- Failover
Unit: Secondary
LAN Link Interface: Gi0/2
Primary-Standby: 10.10.11.1/24 - 10.10.11.2/24
Name: FO
[確認方法例]
【コンタクト】
メッセージの表題に「仮メンバー登録希望」や「ENCORテキスト希望」などコピペして頂くと助かります。
[代表メールアドレス]
onemind.it@gmail.com
[代表 Linkedin プロフィール]
https://www.linkedin.com/in/tsuchida-shunta-446aa9239/