ここ数年担当しているお客さんの環境ではFWにFortigateを導入することが多かったのですが、直近の案件でCiscoのASAを導入することになりました。
ASAは触ったことはありますが、1からの構築経験がなかったので調べていたところCluster構成なる機能が増えていたのでメモしておきます。
私は従来のFailoverしか知らなかったのでちょっと調べてみました。
詳しいことは公式サイトを見ればわかるのでメモ程度のまとめになります。
Failover
昔からあるHA構成です。
- 2台のASAで構成
- お互いの専用リンク
- Active unitとインターフェースを監視し、フェイルオーバーの契機とする
- モード
- Active/Standby
- Active/Active
- HAの同期
- Config同期
- セッション同期
ASA Cluster
コマンドリファレンス見た感じだと9系から追加になったのでしょうか。
型番はASA5516Xから、それ以上のモデルで使用できるようです。
コンフィグレーションガイドより
2台で、とは書いていないので3台以上でもクラスタに組み込めそうですね。
設計思想は違いそうですが、スイッチで言うStack構成的な動きですかね。
パケットの転送
クラスタの場合は上下の機器がクラスタへロードバランスを行うようです。
方式は3通り。
- Spanned EtherChannel
- これがメーカ推奨
- クラスタ内の機器をまたいでChannelを組めるようです (今どきどの機器でも出来るか)
- Policy Based Routing
- 等コストマルチパスルーティング
Unit role
- master: コントロールユニット
- member: データユニット
よくあるクラスタ内ユニット毎の役割分割ですね。
これもスタックみたいな役割です。
Cluster interface
- Cluster Control Link
クラスタ用リンクは直結ではなくスイッチを咬ませてChannelでクラスタ組むのが一般的な構成のようですね。
複数台クラスタを組めるようにするからですかね。
このChannelはSpanned Channelとは別モノみたいです。
まとめ
ASAのClusterはSRXでいうシャーシクラスタみたいな感じですね。
柔軟で便利そうですが、逆にシンプルな構成例が出てこなくてある程度の規模向けの機能な感じがしました。
主系、副系の2台構成だと従来のFailover構成でもいいかなという感じです。
画像の貼り付けも無く、私の気になったところのメモになってすいませんが、
文字だけだと分からなくなってくるので主な機能をざっくりとまとめました。
| Failover | Cluster | |
|---|---|---|
| 冗長構成方法 | 2台 | 複数台可能 |
| ユニットの役割 | Active/Standyまたは Active/Active |
Master: コントロールユニット Member: データユニット |
| クラスタ用インターフェース | 専用リンク(直結が多い) ・ファイルオーバーリンク ・ステートフルフェイルオーバーリンク |
専用リンク(SWを咬ませてChannelの例が多い) ・クラスタコントロールリンク |
| HAのモニタ | お互いのノードとインターフェース | お互いのノードとインターフェース |
| パケットの転送 | Active機が処理 | クラスタ内でロードバランスする |
細かい部分は確認できていませんが、冗長の方式はガラッと変わりましたね。
JuniperのSSG NSRPからSRX Chassis clusterへ変わったようなもんでしょうかw
ASA Clusterの構成例だとVSSのスイッチを介してClusterを組んでいるので、大規模システムに対応できるようやスケールアウトやパケット転送をより効率化できるようになったのかもしれませんね。
私のやっている案件では従来のFailoverを採用したのでClusterを試す機会が無く残念です。
NW屋をやっているとどうしてもアプライアンスが多く、予算の都合等で遊んでいい機器が無いんですよね。
直結でCluster構成とかできるのかやってみたいです。
いつもライセンスでぐぬぬとなるんですが、VIRL購入を検討したいですね。
参考サイト
ググってすぐ出てきた9.6を参考にしました。
