元NWエンジニアが語るブログ

NWエンジニアの思いの丈サイト

cisco ASA FWのmonitor-interfaceの仕様

 今回はメモ的に記事を書かせてもらいます。

ちょっと「コレどうなの!?」というCisco ASA FWのmonitolrでの仕様がありました。簡単にいうと物理と論理IFによってshow runでの表示が変わるという仕様です。

f:id:choco_1120:20160910102210j:plain

*1

物理IFでnameIF設定をして、monitoredの設定をしてもshow runに表示されない。しかし、no moniteor-interface 設定をすると「no monitor-interface」と表示される。

と、ここまでは「あーそうなんだぁ」というレベルで終わるのだが、ここから「コレどうなの!?」という仕様が出てくる。

論理IF(サブIFやinterface vlanなど」でmonitor-interface設定るをするとshow runに”表示される”。逆にno monitor-interface設定をすると”表示されない”

つまり、物理IFと逆なのです。

では、実際に見ていきましょう。

 

■前提条件

nameIF OUTSIDE = 物理IF

nameIF Seg-1 = 論理IF

nameIF Seg-2 = 論理IF

 

 

■物理IFのmoniter-interface設定の場合

[show failoverの表示例]

hostname/pri/act# show failover

Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
        This host: Primary - Active
                Active time: 65799 (sec)
                Interface OUTSIDE (10.0.0.1): Normal 
                Interface Seg-1 (10.0.1.1): Normal
                Interface Seg-2 (10.0.2.1): Normal|

[show run の表示]

hostname/pri/act# show running-config all monitor-interface
monitor-interface Seg-1
monitor-interface Seg-2

 

 

■物理IFのno monitor-interface設定の場合

[show failoverの表示例]

hostname/pri/act# show failover

Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
        This host: Primary - Active
                Active time: 65799 (sec)
                Interface OUTSIDE (10.0.0.1): Normal (Not-Monitored)
                Interface Seg-1 (10.0.1.1): Normal
                Interface Seg-2 (10.0.2.1): Normal| 

[show run の表示]

hostname/pri/act# show running-config all monitor-interface

no monitor-interface OUTSIDE
monitor-interface Seg-1
monitor-interface Seg-2

 

 

■論理IFのmoniter-interface設定の場合

[show failoverの表示例]

hostname/pri/act# show failover

Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
        This host: Primary - Active
                Active time: 65799 (sec)
                Interface OUTSIDE (10.0.0.1): Normal 
                Interface Seg-1 (10.0.1.1): Normal
                Interface Seg-2 (10.0.2.1): Normal| 

[show run の表示]

hostname/pri/act# show running-config all monitor-interface
monitor-interface Seg-1
monitor-interface Seg-2

 

 

■論理IFのno monitor-interface設定の場合

[show failoverの表示例]

hostname/pri/act# show failover

Failover On
Failover unit Primary
(中略)
Last Failover at: 13:36:49 JST May 2 2000
        This host: Primary - Active
                Active time: 65799 (sec)
                Interface OUTSIDE (10.0.0.1): Normal 
                Interface Seg-1 (10.0.1.1): Normal (Not-Monitored)
                Interface Seg-2 (10.0.2.1): Normal|

[show run の表示]

hostname/pri/act# show running-config all monitor-interface
monitor-interface Seg-2

 

とこのような仕様になっている。

つまり、開発者側の意識では物理IFはモニターして当然。 論理IFはモニターしていないのが当然ということだろう。まぁ分からなくもないがそこはといういつしてくれてもいいんじゃないか?と思ったりもする。

configを作成している時に、投入するconfigだったらいいんだが、比較するconfigを作成する場合、このトラップに引っかかる可能性が大だ。本番環境に適用する時に発覚すると大惨事なので要注意である。

みなさんはこんな事で悩まないでくださいね

 

 

以上、chocoでした。

*1:写真:Cisco ASA5585-X