cisco ASA FWのmonitor-interfaceの仕様
今回はメモ的に記事を書かせてもらいます。
ちょっと「コレどうなの!?」というCisco ASA FWのmonitolrでの仕様がありました。簡単にいうと物理と論理IFによってshow runでの表示が変わるという仕様です。
物理IFでnameIF設定をして、monitoredの設定をしてもshow runに表示されない。しかし、no moniteor-interface 設定をすると「no monitor-interface」と表示される。
と、ここまでは「あーそうなんだぁ」というレベルで終わるのだが、ここから「コレどうなの!?」という仕様が出てくる。
論理IF(サブIFやinterface vlanなど」でmonitor-interface設定るをするとshow runに”表示される”。逆にno monitor-interface設定をすると”表示されない”
つまり、物理IFと逆なのです。
では、実際に見ていきましょう。
■前提条件
nameIF OUTSIDE = 物理IF
nameIF Seg-1 = 論理IF
nameIF Seg-2 = 論理IF
■物理IFのmoniter-interface設定の場合
[show failoverの表示例]
hostname/pri/act# show failover
Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
This host: Primary - Active
Active time: 65799 (sec)
Interface OUTSIDE (10.0.0.1): Normal
Interface Seg-1 (10.0.1.1): Normal
Interface Seg-2 (10.0.2.1): Normal|
[show run の表示]
hostname/pri/act# show running-config all monitor-interface
monitor-interface Seg-1
monitor-interface Seg-2
■物理IFのno monitor-interface設定の場合
[show failoverの表示例]
hostname/pri/act# show failover
Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
This host: Primary - Active
Active time: 65799 (sec)
Interface OUTSIDE (10.0.0.1): Normal (Not-Monitored)
Interface Seg-1 (10.0.1.1): Normal
Interface Seg-2 (10.0.2.1): Normal|
[show run の表示]
hostname/pri/act# show running-config all monitor-interface
no monitor-interface OUTSIDE
monitor-interface Seg-1
monitor-interface Seg-2
■論理IFのmoniter-interface設定の場合
[show failoverの表示例]
hostname/pri/act# show failover
Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
This host: Primary - Active
Active time: 65799 (sec)
Interface OUTSIDE (10.0.0.1): Normal
Interface Seg-1 (10.0.1.1): Normal
Interface Seg-2 (10.0.2.1): Normal|
[show run の表示]
hostname/pri/act# show running-config all monitor-interface
monitor-interface Seg-1
monitor-interface Seg-2
■論理IFのno monitor-interface設定の場合
[show failoverの表示例]
hostname/pri/act# show failover
Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
This host: Primary - Active
Active time: 65799 (sec)
Interface OUTSIDE (10.0.0.1): Normal
Interface Seg-1 (10.0.1.1): Normal (Not-Monitored)
Interface Seg-2 (10.0.2.1): Normal|
[show run の表示]
hostname/pri/act# show running-config all monitor-interface
monitor-interface Seg-2
とこのような仕様になっている。
つまり、開発者側の意識では物理IFはモニターして当然。 論理IFはモニターしていないのが当然ということだろう。まぁ分からなくもないがそこはといういつしてくれてもいいんじゃないか?と思ったりもする。
configを作成している時に、投入するconfigだったらいいんだが、比較するconfigを作成する場合、このトラップに引っかかる可能性が大だ。本番環境に適用する時に発覚すると大惨事なので要注意である。
みなさんはこんな事で悩まないでくださいね
以上、chocoでした。